Hvorfor mislykkes organisasjoner i å forhindre cyberangrep?

Mann i dress. "System hacked"-melding på mobilen

Cyberangrep er en stadig økende trussel for bedrifter og organisasjoner over hele verden. Men til tross for økt bevissthet og investeringer i cybersikkerhet, mislykkes mange bedrifter og organisasjoner i å forhindre disse angrepene. I denne artikkelen vil jeg se nærmere på noen av årsakene til hvorfor de mislykkes.

Et av hovedproblemene når det gjelder cybersikkerhet er manglende forståelse for alvoret av trusselen. Mens mange organisasjoner anerkjenner behovet for å beskytte seg mot cyberangrep, kan de undervurdere risikoen eller tro at de ikke vil være et mål for angrep. Dette kan føre til at organisasjoner undervurderer kostnadene ved et vellykket angrep og tar for lett på behovet for å investere i sikkerhet.

Et eksempel på en organisasjon som undervurderte trusselen og ikke investerte tilstrekkelig i IT-sikkerhet, er det danske transportselskapet Mærsk. I juni 2017 ble Mærsk utsatt for et omfattende cyberangrep (NotPetya) som i stor grad lammet selskapets IT-systemer og førte til at selskapet mistet millioner i inntekter. I etterkant av angrepet har i midlertid Mærsk iverksatt «forskjellige og ytterligere beskyttelsestiltak» for å styrke IT-sikkerheten.
(Cyber attack update – A.P. Møller – Mærsk A/S (maersk.com))
(Maersk says NotPetya cyberattack could cost $300 million (cnbc.com))

Det er også flere selskaper som vurderer risikoen som liten, fordi de selv ikke er et stort selskap. Men ifølge en rapport fra Verizon var 43 % av datainnbruddene rettet mot små bedrifter i 2019, mens gjennomsnittskostnaden for et datainnbrudd var 3,92 millioner dollar. Liten størrelse på selskapet eller organisasjonen, er med andre ord ikke noe beskyttelse mot cyberangrep.
(Small Business Cyber Security and Data Breaches | Verizon)


Manglende sikkerhet

En annen årsak til cyberangrep, er manglende investeringer i sikkerhet. Selv om mange organisasjoner anerkjenner behovet for å beskytte seg mot cyberangrep, kan de nøle med å investere i sikkerhet på grunn av kostnadene og usikkerheten rundt ROI (avkastning på investering). Dette kan føre til at organisasjoner aksepterer større risiko enn de burde og dermed gjør seg utsatt for angrep.

Et eksempel på en organisasjon som ikke investerte tilstrekkelig i sikkerhet er det finske helsevesenet. I 2020 ble det finske helsevesenet utsatt for et alvorlig cyberangrep som førte til at pasientdata ble stjålet og publisert på nettet. Ifølge rapporter hadde det finske helsevesenet ikke investert tilstrekkelig i IT-sikkerhet før angrepet, og de ble kritisert for å ha tatt for lett på trusselen. Hacker seeks to extort Finnish mental health patients after data breach – POLITICO


Menneskelige faktorer

En viktig årsak til at bedrifter og organisasjoner mislykkes i å forhindre cyberangrep, er manglende fokus på menneskelige faktorer. Selv om organisasjoner kan ha de nyeste sikkerhetsløsningene og teknologiene på plass, kan de fortsatt være sårbare for angrep hvis de ansatte ikke er godt nok opplært i å gjenkjenne og unngå sikkerhetsrisikoer. Menneskelige feil kan utgjøre en stor risiko for organisasjoners cybersikkerhet, og det er viktig å ha en kultur som legger vekt på sikkerhet og å sørge for at de ansatte har tilstrekkelig opplæring og bevissthet om sikkerhet.


Skiftende trusselbilde

Manglende evne til å tilpasse seg den stadig skiftende trusselbildet, er også en faktor. Cyberkriminelle utvikler stadig nye teknikker og taktikker for å omgå sikkerhetssystemer, og organisasjoner som ikke kan tilpasse seg disse endringene, vil være sårbare for angrep.

Et eksempel på en organisasjon som ikke klarte å tilpasse seg trusselbildet er det norske universitetet Norges Handelshøyskole (NHH). I 2018 ble NHH utsatt for et omfattende cyberangrep som førte til at en stor mengde konfidensielle data ble stjålet og publisert på nettet. I etterkant ble det klart at NHH hadde ignorert flere advarsler om sårbarheter i sine systemer og ikke hadde klart å tilpasse seg det stadig skiftende trusselbildet.
(Internasjonalt dataangrep mot Norges Handelshøyskole (universitetsavisa.no))


Informasjonsdeling

Samarbeid og deling av informasjon kan værer med på å redusere risiko for cyberangrep. Men mange organisasjoner nøler med å dele informasjon om sikkerhetsrisikoer, noe som kan begrense mulighetene for samarbeid og samhandling mellom organisasjoner og hindre en helhetlig tilnærming til cybersikkerhet.


De vanligste årsakene

De vanligste årsakene til at bedrifter og organisasjoner utsettes for cyberangrep, synes altså å være:


1. Utilstrekkelig opplæring av ansatte

En av de viktigste årsakene til at bedrifter ikke klarer å forhindre cyberangrep er mangel på opplæring av ansatte. Ansatte er den første forsvarslinjen mot cyberangrep, men de mangler ofte den nødvendige kunnskapen og ferdighetene for å gjenkjenne og rapportere mistenkelig aktivitet. Flere studier, blant annet utført av Stanford Research, viser at så mye som 9 av 10 datainnbrudd er et resultat av menneskelige feil, som for eksempel ansatte som falt for phishing-svindel eller svake passord. Likevel er det mange virksomheter som ikke gir sine ansatte regelmessig sikkerhetsopplæring.

Et eksempel på manglende sikkerhetsopplæring er cyberangrepet mot Capital One i 2019, der personopplysningene til over 100 millioner kunder ble stjålet. Bruddet var forårsaket av en feilkonfigurert brannmur, noe som ble utnyttet av en hacker. Den ansatte hadde ikke fått nødvendig opplæring for å identifisere feilen som førte til bruddet.
(2019 Capital One Cyber Incident | What Happened | Capital One)


2. Svikt i grunnleggende sikkerhetstiltak

En annen vanlig årsak til at virksomheter ikke klarer å forhindre cyberangrep, er manglende implementering av grunnleggende sikkerhetstiltak. Grunnleggende tiltak, som bruk av sterke passord, regelmessig oppdatering av programvare og bruk av tofaktorautentisering, kan bidra langt for å forhindre nettangrep. Imidlertid forsømmer mange virksomheter disse tiltakene, noe som gjør det lettere for hackere å utnytte sårbarheter.

I 2017 ble Equifax utsatt et datainnbrudd som avslørte personopplysningene til over 145 millioner mennesker. Bruddet skjedde fordi Equifax unnlot å rette en kjent sårbarhet i systemene sine, selv om en oppdatering hadde vært tilgjengelig i flere måneder. Bruddet kunne vært forhindret dersom Equifax hadde implementert grunnleggende sikkerhetstiltak og regelmessig oppdatert programvaren.
(2017 Equifax data breach – Wikipedia)


3. Utilstrekkelig investering i cybersikkerhet

En annen grunn til at bedrifter ikke klarer å forhindre cyberangrep er utilstrekkelig investering i cybersikkerhet. Cybersikkerhet er et felt i stadig utvikling, og bedrifter må investere i den nyeste teknologien og ekspertisen for å ligge i forkant av hackere. Imidlertid ser mange virksomheter på cybersikkerhet som en utgift snarere enn en investering, og tildeler utilstrekkelige ressurser til det.

Et eksempel på dette skjedde i 2013, da Target ble utsatt for et datainnbrudd som avslørte kredittkortinformasjonen til over 40 millioner kunder. Innbruddet skjedde fordi Target hadde unnlatt å investere i et inntrengningsdeteksjonssystem som kunne ha varslet selskapet om mistenkelig aktivitet. Target klarte heller ikke å sikre sine salgssteder tilstrekkelig, noe som ble utnyttet av hackerne. Hendelsen er estimert til å ha kostet Target mer enn 200 millioner dollar, noe som understreker viktigheten av å investere i cybersikkerhet.
(Warnings (& Lessons) of the 2013 Target Data Breach (redriver.com))


4. For stor tiltro til egne sikkerhetstiltak

Bedrifter kan også mislykkes i å forhindre cyberangrep på grunn av overdreven tillit til egne sikkerhetstiltak. Mange virksomheter antar at deres sikkerhetstiltak er tilstrekkelige, og klarer ikke å forberede seg på muligheten for et datainnbrudd. Denne selvsikkerheten kan føre til unnlatelse av å oppdage og svare på nettangrep i tide, noe som forverrer virkningen.

Et eksempel på dette skjedde i 2018, da Marriott ble utsatt for et datainnbrudd som avslørte personopplysningene til over 500 millioner kunder.  Marriott hadde investert i cybersikkerhetstiltak, men disse viste seg å ikke være tilstrekkelige, selv om de selv mente de var det. Cyberangrepet kostet Marriott millioner av dollar, noe som understreker viktigheten av å være årvåken selv med avanserte sikkerhetstiltak på plass.
(Marriott Data Breach FAQ: What Really Happened? (hoteltechreport.com))
(Marriott discloses massive data breach affecting up to 500 million guests – The Washington Post)


Hvordan kan da bedrifter og organisasjoner forbedre sin cybersikkerhet?

For å forbedre cybersikkerheten sin, må organisasjonen ha en helhetlig tilnærming til cybersikkerhet, som tar hensyn til teknologiske, menneskelige og organisatoriske faktorer. Dette kan blant annet bety følgende tiltak:

  • Legg vekt på menneskelige faktorer ved å sørge for god sikkerhetskultur, at de ansatte har tilstrekkelig opplæring og bevissthet om cybersikkerhet. Dette kan inkludere opplæring i å gjenkjenne og unngå sikkerhetsrisikoer, og å utvikle en kultur som legger vekt på sikkerhet. Organisasjoner kan også implementere digital sikkerhetskultur gjennom retningslinjer og prosedyrer for å sikre at de ansatte følger beste praksis når det gjelder cybersikkerhet.
  • Ha en plan for krisehåndtering i tilfelle av et cyberangrep. Dette kan inkludere å ha en klar kommunikasjonsplan, å sørge for at kritisk data er sikkerhetskopiert og kan gjenopprettes, og å ha en klar plan for å håndtere eventuelle skader på organisasjonens omdømme.
  • Tilpasse seg det stadig skiftende trusselbildet ved å sørge for at sikkerhetssystemene og -prosedyrene oppdateres regelmessig. Dette kan inkludere å bruke analytiske verktøy for å identifisere potensielle sikkerhetsrisikoer og å utføre regelmessige risikovurderinger.
  • Samarbeide og dele informasjon med andre organisasjoner i bransjen for å bidra til å forbedre cybersikkerheten på tvers av sektorer og landegrenser. Dette kan inkludere å delta i bransjesamarbeid eller å etablere en formell samarbeidsavtale med andre organisasjoner.

Håndtering av cyberangrep med FACT24

FACT24 …

  • er en fleksibel alt-i-ett-krisehåndterings- og varslingsløsning – for profesjonell støtte fra forebygging til evaluering.
    • er umiddelbart klar til bruk: Første oppsett vanligvis innen 48 timer.
      • er utviklet og drives under et styringssystem som har flere ISO-sertifiseringer (ISO/IEC 27001:2013, ISO 22301:2019).
      • er garantert GDPR-kompatibel (datalagring utelukkende i Europa og iht. europeisk forordning om personvern)
      • er svært tilgjengelig som SaaS-løsning – det garanteres i kontrakten! 99,99 % garantert tilgjengelighet for varslingstjenester, 99,50 % for alle andre tjenester.

      Prøv FACT24 gratis i 30 dager

      Test din individuelle demokonto fra FACT24 i 30 dager – helt gratis

      fact24_paa_imac


      LES OGSÅ:

      • Det nye NIS2-direktivet innebærer blant annet at bedrifter og organisasjoner pålegges å rapportere om cyberangrep rettet mot virksomheten innen 24 timer. Det gir også krav om cybersikkerhet og beredskap for krisehåndtering, samt krav om å håndtere cybersikkerhetsrisiko i forsyningskjeder og hos leverandører. Se vårt webinar: NIS2 – hva betyr det for norske virksomheter.
      • FACT24 gir støtte for integrert varsling og håndtering av uønskede hendelser og kriser. I vårt webinar: FACT24 presenterer Bjørn vårt standardsystem for varsling og krisehåndtering.
      Jan Terje Sæterbø

      Jan Terje Sæterbø

      Jan Terje Sæterbø er sikkerhetsleder i F24 Nordics. Han har vært med på å designe løsninger for digital krisehåndtering helt fra slutten av 1990-tallet og har ledet implementeringen av slike løsninger for en rekke både nasjonale og internasjonale aktører. Han har bakgrunn fra forsvaret og har mange års erfaring fra IT-bransjen både som leder og prosjektleder. Han har en bachelorutdannelse i beredskap og krisehåndtering fra Høgskolen i Innlandet og en master i kriseledelse og beredskap fra Nord Universitet.

      Vi er her for deg!

      Har du noen spørsmål om F24?
      Fyll ut kontaktskjema under, så kommer vi snarlig tilbake til deg.

      Vi er her for deg!

      Har du noen spørsmål om F24?
      Fyll ut kontaktskjema under, så kommer vi snarlig tilbake til deg.

      Vi holder deg oppdatert.

      Vil du motta aktuelle pressemeldinger rett fra oss?
      Meld deg på e-postlisten for nyhetsbrev fra F24.