Branchen

Pas på - Hackerne kommer. Cyber-sikkerhed – Hvordan forholder du dig til en verden, der konstant ændrer sig?

Artikel fra Effektivitet nr. 4, 2015

15.02.2016

Sponseret

Martin Povelsen, Partner, PA Consulting Group og Emilie Norsk, Management-konsulent, PA Consulting Group, effektivitet.dk

Der er mange udfordringer for virksomhederne, når vi taler om cyber-sikkerhed, og det er nødvendigt, at de i dag tænker sikkerhed på en helt ny måde. Vi lever i en verden, hvor det ikke længere er et spørgsmål, om virksomheden bliver udsat for cyber-kriminalitet, men i stedet et spørgsmål om hvornår det sker.

En ny verden

I 2014 blev Sony Pictures Entertainment hacket, hvilket betød, at flere medarbejdere fik stjålet deres kreditkortinformationer eller var udsat for identitetstyveri. De berørte medarbejdere kan nu se frem til at dele en erstatning på 8 millioner dollar (ca. 53 millioner danske kroner). Det er blot et af mange eksempler gennem de seneste år, hvor virksomheder får kompromitteret deres sikkerhed – og det er blot toppen af isbjerget. Det gælder også for danske virksomheder, ikke mindst spillere inden for produktion og logistik, hvor digitalisering i dag spiller en langt større rolle end hidtil. Og med øget digitalisering øges sårbarheden over for udefrakommende trusler også.

PA Consulting Group lavede i begyndelsen af 2015 en undersøgelse af, hvordan danske virksomheder og offentlige institutioner håndterer cyber-sikkerhedstrusler1. Det står klart, at i en verden, hvor de teknologiske muligheder er endeløse og i konstant forandring, bliver det mere og mere komplekst for virksomheder at drive deres forretning sikkert. De teknologiske muligheder giver virksomheder chancen for at udvikle og vækste deres forretning på nye måder, men samtidig bliver det også sværere at overskue, hvad der skal til for at beskytte deres forretning i tilstrækkelig grad.

Det er dog ikke kun den øgede kompleksitet, som stiller virksomhederne over for en stor udfordring. Den nye verden har også fostret et yderst velorganiseret og ressourcestærkt cyber-kriminelt miljø. Vi har i de seneste år set utallige eksempler på statsstøttet cyber-kriminalitet, særligt cyber-spionage, hvor kriminelle har fået adgang til kritisk data fra for eksempel medicinal-, forsvars- og transportindustrien2.

Hackere er ikke længere bare computernørder. At være "hacker" er i dag nærmest blevet et almindeligt job. Figuren nedenfor stammer fra en rapport fra FireEye, som har analyseret den russiske hackergruppe ATP283. Den viser, at langt størstedelen af malware forsøg fra ATP28 ligger inden for normal russisk arbejdstid. Det er en tendens, der ses i langt højere grad i dag, hvor analyser af internettrafik viser, at arbejdet med at trænge ulovligt ind i virksomheder i langt højere grad end tidligere bliver udført inden for normal arbejdstid.

Den øgede teknologiske kompleksitet og en professionel industri af cyber-kriminelle gør, at den traditionelle tilgang til cyber-sikkerhed ikke længere er tilstrækkelig. Cyber-angreb bliver mere og mere sofistikerede, og i dag har de cyber-kriminelle let ved at omgå de traditionelle sikkerhedsløsninger. Styring af informationssikkerheden gennem sikkerhedspolitikker og tekniske sikkerhedsløsninger, såsom firewalls, netværkssegmentering og antivirus, er slet ikke nok til at opretholde et acceptabelt risikoniveau.

PA Consulting Groups undersøgelse viser også, at danske virksomheder investerer mere i at udvikle sikkerhedspolitikker og –procedurer, end på at overvåge at medarbejderne rent faktisk efterlever disse. Overvågningsaktiviteter er dog helt essentielle, da virksomheden på denne måde sikrer en effektiv overholdelse af sikkerhedspolitikker og -procedurer. Sikrer man ikke, at virksomheden overholder de regler, der er etableret for at sikre et højt sikkerhedsniveau, har investeringen været spildt. En fokuseret cyber-sikkerhedsindsats kræver desuden en forankring hos topledelsen. Hvis virksomhederne skal have en chance for at modstå det øgede pres, kræver det, at ledelsen er klar til at dedikere specifikke ressourcer, både i form af tid og penge, til en fokuseret cyber-sikkerheds indsats.

Ultratransparens

Internettets evne til at skabe transparens samt den øjeblikkelige og massive negative omtale, man som virksomhed kan få via sociale- og digitale nyhedsmedier, stiller yderligere krav til virksomhedernes indsats. Virksomheder bør bl.a. forberede sig på, hvordan de mediemæssigt vil håndtere et cyber-angreb. Det sker desværre ofte, at virksomheder først opdager, at deres systemer er blevet angrebet, og data er kommet på forkerte hænder, når nyheden allerede har spredt sig via internettet eller de sociale medier.

Et effektivt cyber-forsvar til beskyttelse af virksomhedens data, kunder og medarbejdere hænger i denne sammenhæng uløseligt sammen med en effektiv plan for håndtering af medier. Hvis én af delene fejler, kan det få katastrofale konsekvenser for virksomhedens omdømme.

Indbygget sikkerhed

Konceptet "indbygget sikkerhed" stammer fra persondata beskyttelsesfeltet, men kan også bruges i en bredere cyber-sikkerhedskontekst. Dette koncept indeholder syv grundprincipper som, hvis de anvendes i sammenhæng med hinanden, sikrer en holistisk tilgang til designet af virksomhedens cyber-forsvar, som omfatter både virksomhedens IT-systemer, forretningsprocesser samt den fysiske og logiske infrastruktur:

  1. Proaktiv, ikke reaktiv – En proaktiv tilgang til cyber-sikkerhed indebærer, at virksomheden overvåger det nuværende trusselsbillede og i designet af sit cyber-forsvar forsøger at designe sikringsforanstaltninger, der foregriber morgendagens trusler, i stedet for at designe sit forsvar på baggrund af allerede indtrufne hændelser.
  2. Sikkerhed som standardindstilling – Hvis sikkerhed gøres til en standardindstilling, medfører det, at såfremt der ikke ændres noget i systemer og processer, er sikkerheden intakt og på det højest mulige niveau. Det skal altså kræve en aktiv handling at sænke sikkerhedsniveauet.
  3. Sikkerhed indbygget i designet – I forbindelse med design af nye systemer eller processer skal sikkerhed medtages som en del af designet, så sikkerhed ikke bliver en eftertanke eller et add-on, men i stedet en del af kernefunktionaliteten.
  4. Fuld funktionalitet – Indbygget sikkerhed er ikke et koncept, som behøver betyde, at man mister funktionalitet. Det skal ses som et "win-win" koncept, hvor de forretningsmæssige behov tilgodeses, samtidig med at sikkerhedsmæssige krav efterleves.
  5. Start-til-slut-sikkerhed – Når sikkerhed indbygges fra starten, øges sikkerheden i forbindelse med en eventuel efterfølgende indsamling af data, og disse data vil hermed være beskyttet fra vugge til grav.
  6. Synlighed og transparens – En transparent tilgang til virksomhedens cyber-forsvar betyder ikke, at virksomheden skal give indsigt i designet. Men virksomheden skal være åben om, hvordan kunders, medarbejderes samt andre interessenters data behandles af virksomheden.
  7. Respekt for personlige data – Personlige oplysninger skal behandles med stor omhu af virksomheden og skal være omgivet af særlige skærpede sikringsforanstaltninger. Ligeledes skal virksomheden sikre, at information om behandling af personlige oplysninger skal være let tilgængelig for de omfattede personer4.

Loven ændrer sig også

Den nye cyber-verden har også betydet, at der er stærkt øget fokus på sikkerheden fra lovgivende myndigheder.

Europæiske virksomheder venter i spænding på den kommende EU-persondataforordning, som skal harmonisere den europæiske datalovgivning. Vedtagelsen af denne forordning vil have en enorm betydning for samtlige danske virksomheder og offentlige institutioner med bl.a. skærpede sanktions- og bødemuligheder ved manglende overholdelse af forordningens krav til håndtering af persondata. Forordningen vil stille krav om udpegning af en databeskyttelsesansvarlig, udarbejdelse af konsekvensvurderinger i forbindelse med behandling af personlige oplysninger og krav til persondatasikkerhed som standardindstilling og indbygget persondatasikkerhed.

I starten af oktober 2015 fremsatte regeringen et forslag til en ny net- og informationssikkerhedslov5. Loven skal være med til at styrke informationssikkerheden i telesektoren og give Center for Cybersikkerhed bemyndigelse til at fastsætte minimumskrav til teleudbyderes håndtering af informationssikkerhed. Der stilles bl.a. krav om, at det skal ske gennem dokumenterede og ledelsesforankrede risikostyringsprocesser. Forslaget udspringer af den nationale strategi for cyber- og informationssikkerhed, som regeringen lancerede i december 20146.

Digitaliserede logistikprocesser skaber nye sikkerhedsmæssige udfordringer

Den teknologiske udvikling har haft stor indflydelse på udviklingen inden for transportindustrien, hvor hele logistikprocessen er blevet digitaliseret. Det er nu muligt at indsamle data vedrørende GPS-tracking, leveringstider, lagerbeholdninger m.v. Dermed er det blevet muligt at lave trend-analyser, så leverandører nu gives kortere frister for levering, samtidig med at lagerstyringen er gjort langt mere effektiv og agil.

Digitalisering af logistikprocessen har også betydet, at de forskellige virksomheders logistikkæder er fuldt integreret og afhængige af hinanden. I forbindelse med denne integration kan to potentielle, katastrofale situationer opstå. Da mange virksomheder i transport- og logistikindustrien både kan fungere som naturligt led i forsyningskæden og samtidig som konkurrenter, er det meget vigtigt, at data, der indsamles fra de medvirkende virksomheder, adskilles fra hinanden. Det skal sikre, at konkurrenter ikke kan få adgang til hinandens data. På grund af denne integration mellem virksomhedernes systemer har vi også set eksempler på, at hackere får adgang til én virksomhed i kæden og gennem denne adgang kommer videre ind i andres systemer. Et tænkt eksempel kunne være, at et lille transportfirma, som leverer mælk til et stort dansk mejeri, bliver hacket. Gennem dette firmas systemer har de ubudne gæster derefter mulighed for at trænge ind mejeriets systemer.

Denne udvikling betyder også, at selv små afbrydelser eller nedbrud af systemer, som påvirker tilgængeligheden af data, kan have stor betydning for den enkelte virksomhed og forsyningskæden i sin helhed. Det kan for eksempel medføre forsinket levering af varer, som kan ende med bøder eller kontraktophør. Sådanne nedbrud kan ske på grund af en kompromitteret cyber-sikkerhed.

For at blive betragtet som en betroet leverandør, og forblive en sådan, er det nødvendigt, at virksomheder i transport- og logistikindustrien kan demonstrere, at de har identificeret hvor de største cyber-trusler eksisterer i forsyningskæden, og hvordan sådanne trusler vil påvirke hele kæden. På baggrund af en sådan vurdering er virksomhederne nødt til at tilrettelægge deres cyber-forsvar således, at afbrydelser minimeres og afhjælpende aktiviteter iværksættes.

Hacking af medicinsk udstyr

Produktionsvirksomheder bliver også sat på prøve i den nye cyber-verden, både i forbindelse med deres produktudvikling og i hele produktionskæden.

I oktober 20147 præsenterede de amerikanske sundhedsmyndigheder, FDA, en vejledning for cyber-sikkerhed i medicinsk udstyr. Det skyldes bl.a., at flere sikkerhedseksperter i de seneste år har påvist, at det er muligt at hacke medicinsk udstyr som for eksempel insulinpumper. Risikoen er opstået i takt med, at medicinsk udstyr i stigende grad er koblet til internettet, så data kan registreres i elektroniske patientsystemer8.

Hacking af medicinsk udstyr kan give de kriminelle adgang til fortrolige persondata, blodprøveresultater eller hospitalsjournaler. Hacking kan også i værste tilfælde have dødelige konsekvenser, hvis for eksempel doseringen fra en morfinpumpe ændres.

FDA’s vejledning indeholder cyber-sikkerhedsaspekter, som producenter af medicinsk udstyr bør overveje i forbindelse med design og udvikling af deres udstyr. Det skal reducere patientrisikoen ved at reducere sandsynligheden for, at udstyrets funktionalitet kompromitteres på grund af utilstrækkelig cyber-sikkerhed.

  • Ifølge vejledningen bør producenter ved udvikling af nyt medicinsk udstyr tage stilling til:
  • Identifikation af informationsaktiver, trusler og sårbarheder
  • Vurdering af truslers og sårbarheders påvirkning på udstyrets funktionalitet og brugere/patienter
  • Vurdering af sandsynligheden for at hver trussel og sårbarhed udnyttes
  • Fastsættelse af risikoniveauer og passende forebyggende og afhjælpende strategier
  • Vurdering af den resterende risiko og fastlæggelse af acceptkriterier for risici

Løsningen er et agilt cyber-forsvar

Kombinationen af en teknologibaseret verden i konstant udvikling, en voksende industri for cyber-kriminalitet, og et trusselsbillede som hele tiden ændrer sig, gør det nødvendigt for virksomheder at udvikle et agilt cyber-forsvar. Cyber-sikkerhed sikres ikke gennem udvikling af et statisk værktøj, der som minimum kun vil repræsentere et øjebliksbillede. Værktøjet skal bestå af en samling af agile processer, der sikrer kontinuerlige forbedringer og fleksibilitet9.

Sørg for at have fundamentet i orden

Et agilt cyber-forsvar kræver dog, at fundamentet er på plads. Det er derfor ikke nok, at virksomheden har udviklet omfattende IT- og informationssikkerhedspolitikker og –procedurer. Det skal også sikres, at disse politikker løbende opdateres, i takt med at nye trusler opstår, at love og regler ændres, og at nye systemer tilføres IT-landskabet. Procedurer skal også omfatte konkrete og operationelle kontroller, som sikrer opretholdelse af det fastlagte cyber-sikkerhedsniveau.

Som omtalt ovenfor er "indbygget sikkerhed" et vigtigt koncept at have in mente for at sikre en holistisk tilgang til designet af virksomhedens cyber-forsvar. Som minimum skal en virksomheds projektmodel sikre, at der altid involveres sikkerhedsarkitekt, så sikkerhed tænkes ind i alle IT-projekter fra starten.

Tillid er godt, kontrol er bedre

Til trods for at politikker og procedurer er udarbejdet og implementeret samvittighedsfuldt i organisationen, er det ingen garanti for, at de er forstået korrekt eller at de efterleves. Det er man nødt til at kontrollere. Overvågningsprocedurer skal designes og indføres i samspil med de øvrige cyber-sikkerhedskontroller, så ledelsen har mulighed for løbende at tjekke, at politikker og procedurer efterleves.

Flerlaget cyber-forsvar

Ser man på virksomheder, som har formået at forsvare sig succesfuldt mod et cyber-angreb, finder man ét fælles træk – de har opdelt deres cyber-forsvar i flere lag.

Et flerlaget cyber-forsvar kræver, at virksomheden har identificeret sine mest kritiske aktiver, som har den største betydning for virksomhedens forretning. Det er disse aktiver, som skal beskyttes bedst. Det betyder ikke, at aktiver i de nedre lag ikke skal beskyttes, men sikkerhedsniveauet her er lavere, og omkostningerne er dermed også lavere. Det gør det muligt for virksomheden at dedikere flere ressourcer til at beskytte virksomhedens vigtigste aktiver, så sikkerhedsniveauet for de aktiver bliver højere, end hvis samtlige aktiver skulle beskyttes på samme niveau.

1-2-3: Sæt i gang

Et godt cyber-forsvar kræver en grundig forberedelse. Som minimum bør du kunne svare på følgende spørgsmål i forbindelse med planlægningen af dit cyber-forsvar:

  • Bliver vores sikkerhedspolitikker og -procedurer løbende opdateret, så de reflekterer det gældende trusselsbillede?
  • Hvordan tænker jeg sikkerhed ind i vores projekter?
  • Hvilke overvågningskontroller og -aktiviteter skal jeg etablere for at sikre, at sikkerhedspolitikker og -procedurer efterleves?
  • Hvad er mine mest kritiske aktiver, og er disse beskyttet tiltrækkeligt?
  • Hvad gør jeg, når et angreb opdages, og hvad gør jeg for at reetablere min forretning efter et angreb?

Når det ikke længere er et spørgsmål om virksomheden bliver angrebet, men et spørgsmål om hvornår, når professionelle hackere hele tiden finder nye måder, hvorpå de kan angribe virksomhedens netværk og systemer, så er virksomheden nødt til at være omstillingsparat og klar med en effektiv plan for, hvad der skal se, når uheldet er ude.

1PA Consulting Group: Cyber Security Threat Survey 2015.

2Efterretningsmæssig Risikovurdering 2014 (https://fe-ddis.dk/cfcs/CFCSDocuments/Risikovurdering_2014.pdf)

3FireEye – APT28: A window into Russia’s cyber espionage operations?

4Privacy by Design (https://www.privacybydesign.ca/content/uploads/2013/02/7foundationalprin...)

5Center for Cybersikkerhed (https://fe-ddis.dk/cfcs/nyheder/arkiv/2015/Pages/forslagtilnynet-oginfor...)

6Forsvarsministeriet (http://www.fmn.dk/nyheder/Documents/National-strategi-for-cyber-og-infor...)

7FDA (http://www.fda.gov/downloads/medicaldevices/deviceregulationandguidance/...).

8Is the future in Modern Technological Medicine actually dangerous for our Health? (http://www.igze.com/is-the-future-in-modern-technological-medicine-actua...).

9PA Consulting Group: Cyber Security Threat Survey 2015.

Læs her flere artikler fra Effektivitet med temaet Risikostyring i globale supply chains

?

Mere fra...

Partner

effektivitet.dk

Branchen

26.09.2018effektivitet.dk

Sponseret

Servitization: Extended Business Model for more Revenue and Profit

Branchen

12.09.2018effektivitet.dk

Sponseret

Ny efteruddannelse i Operations og Supply Chain Management på DTU

Branchen

29.08.2018effektivitet.dk

Sponseret

Brug problemer til at skabe innovation og udvikling

Branchen

15.08.2018effektivitet.dk

Sponseret

Spring Servitization Conference på Copenhagen Business School

Branchen

17.07.2018effektivitet.dk

Sponseret

Aktuelle værktøjer: 6 steps - og på vej mod Toyotas A3 niveau

Branchen

05.07.2018effektivitet.dk

Sponseret

Vind fremtiden

Udgiver

Horisont Gruppen a/s

Strandlodsvej 44

2300 København S

Telefon: 53506060

www.horisontgruppen.dk

Indhold

Digital & tech
Distribution
Lager
Planlægning
Produktion
Sourcing
Strategi & ledelse
Rapporter og relevante filer
Events
Jobmarked
Partnere
RSS-feed
Nyhedsbrev

Copyright 2023