2 mar. 2020
hacker

Til kamp mod Hackerne: Security by Design og nye venner. Hvad er nu det for noget?

Af

EY Danmark

EY er en af verdens førende organisationer inden for revision, skat, transaktioner og rådgivning.

2 mar. 2020
Relaterede emner Cybersecurity

Optimal informations- og cyber-sikkerhed inkluderer også forretningskendskab, og den it-sikkerhedsansvarlige CISO[1] bør stille sig i spidsen.

I efteråret 2019 lavede EY en undersøgelse, der viste, at CEO’er fra store virksomheder for første gang pegede på trusler fra cyber-angreb, som den største bekymring for verdensøkonomien de næste 10 år i forhold til såvel organisationen selv som nationalt.

Bekymringer om trusler fra cyber-angreb er naturligvis ikke et nyt fænomen. Manglende cyber-sikkerhed ses i dag som en systemisk og eksistentiel trussel for mange forretningsmodeller, og angreb kan ramme organisationen selv, dens supply chain og leverandører, fordi systemer er tættere forbundne end nogensinde før.

Alligevel viser EY’s netop offentliggjorte Global Information Security Survey 2020, GISS, at it-sikkerhed kun hos 36 % af respondenterne indtænkes fra starten af design af nye it- eller teknologiprojekter, men er initiativer, der iværksættes efterfølgende. 65 % overvejer først it-sikkerhed, når det er for sent. Vi kalder det manglende Security by Design.

Og ud over den økonomiske betydning for både efterfølgende initiativer, oprydning efter en cyber-relateret hændelse, bøder, mistet omsætning m.m., peger GISS på et andet forhold, der styrker bekymringerne.

GISS-rapporten viser, at cyber-sikkerhed også ses som nært sammenhængende med de omgivelser og forretningsmiljø, som organisationen indgår i.

Andre trusler som fx klimaforandringer, digitalisering, geopolitisk ustabilitet og social ulighed spiller ind på det samlede trusselsbillede, og EY’s undersøgelse viser, at andelen af angreb, der er forsaget af de såkaldte hacktivister, er stigende og ligger i hælene på de traditionelle cyber-kriminelle grupper.

Hacktivister har et andet motiv end fx økonomisk vinding. Det kan være vrede over mistede jobs, organisationens involvering i miljømæssige forhold, det kan være politisk motiveret eller fx udspringe af et ønske om blot at genere en organisation mest muligt. Hacktivister er svære at identificere, og deres angreb svære at forudse for en CISO.

Hacktivister kan iværksætte angreb, der kan lægge hjemmesider eller fx et produktionsanlæg ned, hvis en organisation har investeret i kulminer eller våben, ikke behandler dets ansatte ordentligt m.m.

Der er intet, der indikerer, at nogle brancher går ram forbi.

Man opererer ofte med nedenstående typer af ondsindede aktører

Typer af trusselsaktører og motiver i generelle træk

  • Statssponsorerede aktører ønsker typisk at stjæle militærinformationer, patenter eller destabilisere/ påvirke fx et demokrati.
  • Cyber-kriminelle aktører har økonomisk vinding som motiv.
  • Ondsindede medarbejdere kan have et økonomisk motiv eller fx et ønske om hævn.
  • Lone Wolfs kan have mange forskellige motiver, men ses ofte motiveret af religiøse eller politiske overbevisninger og kan sprede frygt og uro.
  • Hacktivister er ofte motiverede af politiske eller ideologiske motiver og ønsker at påvise, hvad de mener er forkert adfærd, få hævn eller genere.
  • Script kiddies motiveres af at vise, at de kan hacke et bestemt mål, så de kan vise sig.

Den seneste Global Risks Landscape 2020-rapport fra World Economic Forum inddeler de globale risici i rapporten i fem hovedgrupper: Economic, Environmental, Geopolitical, Societal og Technological.

Rapporten viser, at grupperne Environmental (klimarelaterede risici) og Technological (cyber-angreb og it-nedbrud) i selskab med Weapons of mass destruction (Geopolitical) og Water Crisis (Societal) topper de øverste pladser, i forhold til risiko (impact).

Dette betyder, at viden om andre risici i organisationens omgivelser er et must for CISO’en.

CISO’ens nye rolle

CISO’en kan derfor gøre følgende for at tilpasse sig og drive to nye dagsordener.

  • Sikre, at Security by Design bliver den naturlige tilgang til alle udviklingsprojekter.
  • Sikre, at brobygning til resten af forretningen styrkes, så alle trusler kan adresseres.

Hvor it og teknologi har bevæget sig fra at være et understøttende værktøj til omdrejningspunktet i mange forretningsmodeller, og it-sikkerhed noget der tilføjes efterfølgende, er Security by Design den nye tilgang, og det kræver viden.

GISS-resultaterne viser, at 59 % af CISO’erne karakteriserer deres forhold til forretningen som neutral, uden tillid eller ikke-eksisterende.

CISOs who do not work collaboratively with colleagues across the business will inevitably be side-stepped by other functions and lines of business which could, for example, launch new products or services that expose the organization to new threats.

Følgende aktiviteter kan styrke den nye dagsorden:

CISO’en skal styrke sit kendskab til forretningen og sørge for at blive involveret tidligere i design af transformations-, produkt- eller serviceprojekter. Det kan være i Artificiel Intelligence- eller Machine Learning-projekter, eller fx når forretningen anvender eller implementerer IoT-komponenter uden at involvere CISO’en. Derved kan organisationen sikre, at sikkerhed er en naturlig del af nye projekter.

CISO’en skal derudover analysere organisationens nøgleforretningsprocesser sammen med it-sikkerhedsteamet for at øge forståelsen af, hvordan organisationen kan blive påvirket, og hvordan teamet kan styrke resten af forretningen. Stærkere bånd til forretningen kan øge kendskab til fx produktlancering, marketingkampagner, kommunikation af årsregnskaber, HR-begivenheder m.m., så potentielle risici kan vurderes i forhold til reaktioner fra ondsindede aktører.

Endvidere bør CISO’en implementere nøgletal og risikoindikatorer, der kan bruges til at kommunikere i en risikobaseret tilgang til ledelsen.

CISO’en bør også kommunikere i et sprog, som ledelsen og forretningen kan forstå. Man kan fx anvende kvantitative termer – konkrete tal i kroner og øre for et tab, hvis denne risiko X indtræder, fremfor kvalitativt baserede termer i form af talmæssige (1-5) eller relative (lav-medio-høj) skalaer, der kan opfattes for abstrakte.

Og slutteligt bør CISO’en identificere behovet for kompetenceudvikling og iværksætte uddannelse.

Tiden er kommet til at skabe nye venner i organisationen

Hvis du har kommentarer til ovenstående eller har spørgsmål, er du velkommen til at kontakte os.

Jesper Due Sørensen, Partner, Advisory Risk, tlf. 3093 6420
Henriette Brandstrup, Manager, Advisory Cyber, tlf. 2529 3543

[1] CISO, Chief Information Security Officer, vil blive brugt som en samlende betegnelse for it-sikkerhedsansvarsområdet, selvom mange andre titler anvendes.
  • Security by Design

    Security by Design is a new approach that builds cybersecurity into any initiative from the onset, rather than as an afterthought, enabling innovation with confidence. It is a strategic and pragmatic approach that works across all parts of the organization. Security by Design remains in the initiative’s lifecycle to help with the ongoing management and mitigation of security risks.

Sammendrag

EY's Global Information Security Survey, GISS, viser, at it-ansvarlige bør øge deres kendskab til forretningen. Derved kan forretningen indarbejde sikkerhed allerede ved udviklingen af nye tiltag af fx digitalisering eller teknologisk karakter, og ikke bagefter. Forretningsforståelse øger også muligheden for forudse trusler fra fx hacktivister.

Om denne artikel

Af

EY Danmark

EY er en af verdens førende organisationer inden for revision, skat, transaktioner og rådgivning.

Relaterede emner Cybersecurity