Når en virksomhed bliver ramt af et cyberangreb, kan de samlede tab og omkostninger hurtigt løbe op. Det skriver Ashish Khanna, Senior Managing Director, Verizon Business (Security Consulting Services) i denne klumme. Han argumenterer for, at selv om brud på datasikkerheden kan være en dyr fornøjelse for den enkelte virksomhed i form af produktionsstop mv., så er det ikke realistisk at eliminere alle cyber-sikkerhedsrisici. I stedet vil virksomheder gøre klogt i at stille skarpt på de angrebsmønstre, der udgør de største trusler – de angreb, hvor kriminelle har størst sandsynlighed for at få et stort udbytte, og hvor omkostningerne er størst for den enkelte virksomhed.
Når kriminelle stjæler virksomhedens intellektuelle ejendom (IP), tager hele IT-systemet som gidsel gennem eller begår ID-falskneri for at opnå uautoriseret netværksadgang skal man ikke kun medregne det økonomiske tab ved et kortere eller længere produktionsstop.
Den slags brud på datasikkerheden skader også virksomhedens omdømme og føre til dårlige konkurrenceevne og indtægtstab. Medregnes skal også, at hele processen med at håndtere en sikkerhedshændelse kan være omkostningstung og tage værdifulde supportressourcer fra vigtige IT-funktioner.
Derfor bør virksomhederne blive gode til at fokusere strategisk på deres sikkerhedsindsats over for de typer angreb, der med størst sandsynlighed vil påvirke dem og deres specifikke branche. For sagen er, at det ikke er realistisk at eliminere alle cyber-sikkerhedsrisici. I stedet vil virksomheder stille skarpt på de angrebsmønstre, der udgør de største trusler – de angreb, hvor kriminelle har størst sandsynlighed for at få et stort udbytte, som fx ransomware- og pretexting-angreb.
Et ransomware-angreb koster i snit virksomheder 45.000 USD, ifølge Verizons globale IT-sikkerhedsundersøgelse 2024 Data Breach Investigations Report (DBIR). Et ransomware-angreb kan lægge et enormt pres på virksomheder, som ikke har råd til nedetid. Det er ikke noget let valg enten at betale løsesummen eller at leve med et driftsstop og tabt fortjeneste, mens man forsøger at genoprette sine systemer.
Pretexting – som betegner den type angreb, hvor fortrolige oplysninger under påskud lokkes ud af medarbejdere i en virksomhed – er ikke kun dyrt, men bliver også mere udbredt og tegner sig for ikke mindre end en fjerdedel af økonomisk motiverede cyber-angreb. Angrebs-taktikken bruges ofte til at udføre såkaldte business email compromise (BEC) angreb, som koster organisationer i gennemsnit omkring 50.000 USD. BEC-angreb kan være særligt farlige, fordi de ofte er rettet mod de øverste ledere i virksomheder, der typisk har adgang til meget følsomme oplysninger. Selv om man kunne tro, at ledere bedst sikret, er det ofte ikke tilfældet, fordi IT-afdelingerne er mere tilbøjelige til at gøre undtagelser for dem.
Industrier med høj risiko
Industrier og brancher, som opererer med kritisk infrastruktur eller følsomme informationer, er ofte værdifulde mål for cyber-kriminelle, og derfor, som nævnt, kan ransomware-angreb være særligt ødelæggende her.
Fx kan en producent ikke tillade sig, at en produktionslinje står stille i en længere periode. Det kan påvirke forsyningskæden og potentielt føre til eksponentielt stigende omkostninger. Samtidig kan det skade omdømmet og forholdet til leverandører og forhandlere. Det kan alt sammen medføre, at producenten føler sig presset til at betale løsesummen.
Hospitaler og andre sundhedsorganisationer står over for en dobbelt trussel. De skal sikre, at fortrolige patientinformationer ikke falder i de forkerte hænder, og at livreddende medicinsk udstyr, såsom infusionspumper, ikke bliver hacket. Lækkede patientjournaler kan skabe kaos på en sundhedsorganisations omdømme, mens kompromitteret medicinsk udstyr kan tvinge et hospital til at betale en løsesum, så deres patienters helbred ikke er truet.
Truslen fra menneskelige fejl
Ofte benytter cyber-kriminelle sig af medskyldige, som er uvidende om det: nemlig virksomhedens egne ansatte. Mere end to tredjedele (68 pct.) af brudene er forårsaget af ikke-ondsindede menneskelige fejl (DBIR), såsom en medarbejder, der ved et uheld klikker på en ondsindet e-mail eller et link, hvilket fører til et sikkerhedsbrud. Medarbejdere kan blive narret gennem pretexting, som resulterer i et BEC-angreb. De bliver ikke nødvendigvis selv skadet som følge af et angreb. De sender simpelthen bare følsomme oplysninger til en forkerte e-mail, fx en sundhedsarbejder, der sender fortrolige patientoplysninger til en utilsigtet modtager.
Reducering af den økonomiske risiko ved brud på it-sikkerheden
Når det gælder diskussionen om digitale identiteter, bliver de ikke-menneskelige identiteter (NHI’er) ofte overset og marginaliseret. NHI’er omfatter en bred vifte af digitale identiteter knyttet til applikationer, tjenester og maskiner. Disse omfatter bots, OAuth-tokens, API-nøgler og servicekonti – legitimationsoplysninger, der gør det muligt for maskiner at godkende, få adgang til ressourcer og kommunikere med hinanden i både kritiske og ikke-kritiske miljøer. Virksomheder inden for dette område skal nøje overveje omfattende dækning, der muliggør effektiv beskyttelse og minimerer risikoeksponering.
Eftersom menneskelige fejl så ofte udnyttes af cyber-kriminelle, kan træning af virksomhedens medarbejdere i de bedste praksis’er inden for cyber-sikkerhed og de angrebsmønstre, de med størst sandsynlighed vil se, ganske væsentligt reducere virksomhedens eksponering. Alligevel er medarbejdertræning alene ikke nok. For at reducere de økonomiske omkostninger yderligere bør virksomheder også investere i robuste trusselsdetektions- og perimetersikkerhedsløsninger. Selv om det hedder, at det kræver penge at tjene flere penge, så kræver det også penge at spare penge.