Cybersikkerhed er igen blevet et varmt emne. Især efter nyheden om, at Forsvarets Efterretningstjeneste op mod 1.000 gange om året opfanger cyberangreb rettet mod danske virksomheder og forsyningsselskaber.
Nu taler forsvarsministeren om behovet for øgede bevillinger til dansk cyberforsvar, og ministeren for offentlig innovation melder, at regeringen er gået i gang med at forberede en strategi for cyber -og informationssikkerhed.
Strategi kommer fra ledelsesgangen
Det er positivt at høre regeringen erkende behovet for en cybersikkerhedsstrategi, for forudsætningen for effektiv cybersikkerhed er lige netop en god strategi. Og strategi kommer som bekendt oppefra – fra ledelsesgangen.
Schneider Electric anbefaler altid virksomheder at have en helhedsorienteret strategi for deres cybersikkerhed. For cybersikkerhed handler om andet og mere end at beskytte virksomheden, dens anlæg og installationer mod angreb udefra.
Langt de fleste sikkerhedshændelser er nemlig utilsigtede og opstår inden for virksomhedens egne vægge.
Erfaringen viser, at størstedelen – langt over halvdelen – af registrerede sikkerhedshændelser er utilsigtede og har deres oprindelse inden for virksomhedens egne vægge. I et tilfælde var en systemintegrators laptop inficeret med malware, som spredte sig til en kundes kritiske systemer, da systemintegratoren loggede på netværket hos kunden. I et andet fik en tekniker på kundebesøg produktionen til at gå ned i flere timer, fordi teknikerens laptop havde samme ip-adresse som en komponent på applikationens netværk. Hertil kommer de “klassiske synder” som passwords, der ikke bliver skiftet, ubeskyttede enheder og brugerkonti, der ikke bliver slettet efter medarbejderes fratræden.
Mange kostbare nedbrud kan forhindres med enkle midler. Kun en mindre del af det samlede antal sikkerhedshændelser er tilsigtede. Og i over halvdelen af disse hændelser er der misbrugt viden, som kommer inde fra virksomheden – eksempelvis fra en tidligere medarbejder.
Pointen er, at bedre træning af medarbejdere, en klart formuleret sikkerhedspolitik og faste procedurer kan forhindre mange sikkerhedshændelser og kostbare nedbrud.
Derfor må og skal en strategi for cybersikkerhed være helhedsorienteret og ikke kun fokusere på hegn, hardware og firewalls. Derfor begynder cybersikkerhed på ledelsesgangen.
Heldigvis behøver det ikke være en uoverskuelig opgave at komme i gang med sikkerhedsarbejdet, hverken på strategisk eller konkret niveau. Et godt udgangspunkt er Defense in Depth-strategien. Og på et mere konkret niveau er der inspiration, best practices og anden hjælp at hente på Schneider Electrics supportsider for cybersikkerhed.