Såväl de konkreta attackerna som oron ökar kring cybersäkerhet och statsunderstödda cyberintrång. I fredagspanelen svarar PwC:s expert Carolin Runnquist på frågor om detta aktuella ämne tillsammans med IT-säkerhetsexperten David Jacoby på Kaspersky Lab och Kaja Narum, chef för säkerhet på IBM i Norden.
"Gör alltid en due diligence kopplad till cybersäkerhet"
Cybersäkerhetshoten ökar för varje år och de ekonomiska konsekvenserna för företag är stora, inte minst för banker och finansinstitut. Just nu har tonläget höjts kring industrispionage och cyberkrigföring och oron ökar kring hot från hackare inte minst från Kina och Ryssland. Nyligen varnade Must-chefen Gunnar Karlsson för att svenska företag är naiva.
Carolin Runnquist, Director Cyber Security, revisionsjätten PwC:1. Tar svenska företag cyberhoten på tillräckligt stort allvar?
– Det finns en otroligt stor spridning mellan både förmåga och resurser kopplat till cybersäkerhet. Inom vissa bolag är man extremt medveten och stärker sin robusthet kontinuerligt, medan man inom andra bolag tar alldeles för lätt på frågan. Det är viktigt att förstå att vi lever i en tid när det går att köpa en ddos-attack på darkweb för fem dollar, vilket gör att tillgängligheten och närheten till cyberbrott ständigt ökar.
2. Hur försiktiga bör svenska företag vara när det gäller investeringar eller köp från länder som Kina och Ryssland?
– Precis som alltid bör man som företag göra en due diligence kopplat till cybersäkerhet på de leverantörer man väljer. Sen är det klart att det finns en något högre risk kopplat till länder som Kina och Ryssland, men det gäller många andra länder också. Som aktör inom finansbranschen finns det många cybersäkerhetsområden jag skulle prioritera och oroa mig för innan just det.
3. Vilka särskilda risker eller problem står finansbranschen inför?
– Generellt ser vi att bolag inom bank och finans har svårt att få ihop sin hantering av cyberrisker med sin ordinarie operationella riskhantering. Det gör att det blir svårt att kvantifiera och mäta cyberrisker för att jämföra dem med bolagets andra typer av risker. Att cyberriskerna dessutom är betydligt mer snabbrörliga och utvecklas på veckobasis gör det ännu mer komplext.
– Företag är idag ofta för godtrogna när det kommer till vilka underleverantörer och samarbetspartners de väljer. Det är få bolag som har koll på sin tredjepartsrisk, samtidigt som ”point zero”, punkten där hotaktörer tar sig in, i vart fjärde fall ligger hos företagens underleverantörer.
4. Investeringarna i cybersäkerhet ökar stort. Vilka områden är särskilt angelägna just nu för finansbranschens del?
– Det är svårt att ge ett generellt svar på det. Man måste förstå vilka hot ens verksamhet är utsatta för, vilka sårbarheter man har och slutligen definiera sin riskaptit. Däremellan uppstår ett del som man som bolag behöver hantera. Att göra grundarbetet är enda sättet att säkerställa att man gör sina cybersäkerhetsinvesteringar på rätt ställe och inte exponerar sig för onödig risk.
David Jacoby, IT-säkerhetsexpert på det ryska IT-säkerhetsföretaget Kaspersky Lab:
1. Tar svenska företag cyberhoten på tillräckligt stort allvar?
– Internationellt sett har vi under året som gått kunnat se att många företag, bland annat nya fintechbolag och kryptoväxlare är särskilt utsatta för cyberhot, just för att de inte prioriterar IT-säkerheten. Till exempel hackergruppen Lazarus, en av de mest aktiva grupperna under 2018. Den har under förra året haft som strategi att bredda måltavlan för att nå nya företag och organisationer – däribland banker och unga fintech-bolag.
– Svenska företag är generellt rätt bra på att skydda sig om man jämför Sverige mot den globala marknaden. Men svenska har företag svårt att prioritera arbetet och vi har en mentalitet att fokusera på allting som är nytt och häftigt. Detta skapar ett problem eftersom vi har lätt att bli hackade av gamla och ”tråkiga” sårbarheter.
2. Hur försiktiga bör svenska företag vara när det gäller investeringar eller köp från länder som Kina och Ryssland?
– Ska man blanda in politik i IT-säkerhet kommer man inte någon vart. Det är så lätt att peka finger på Kina och Ryssland och glömma bort att vi gång på gång sett bevis för att andra stora länder och världsdelar har en väldigt offensiv IT-säkerhetsstrategi. Det gäller att hitta de produkter och tjänster som hjälper dig och din organisation att höja säkerheten och att planera din säkerhet så man du stå emot hot och attacker oavsett vart de kommer ifrån.
3. Vilka särskilda risker eller problem står finansbranschen inför?
– Eftersom internet och IT-säkerhet är ett globalt problem är det svårt att säga vilka speciella risker just finansbranschen står inför. Men det kan finnas ett större intresse av organiserad brottslighet att attackera bolag i finansbranschen.
– För bara några månader sedan såg vi att minst åtta banker i Östeuropa utsattes för attacker, och som en konsekvens av detta förlorade de tiotals miljoner dollar. Attackerna gick att genomföra eftersom en hackare tagit sin in i bankernas byggnader och kopplat upp en enhet mot det lokala nätverket, som senare kunde användas för att få tillgång till andra delar av organisationen.
– Det största problemet är att komma fram till ett hållbart sätt att utföra internetbetalningar idag, samt att hantera spårbarhet på digitala valutor.
4. Investeringarna i cybersäkerhet ökar stort. Vilka områden är särskilt angelägna just nu för finansbranschens del?
– Generellt borde vi satsa mer pengar på utbildning och så att våra användare förstår vilket ansvar de själva har för företagets IT-säkerhet. Det beror också helt på bolagets struktur och vilka ”worst case scenarios” som de olika bolagen har. Det finns bolag som ALDRIG NÅGONSIN får ligga nere, då förlorar de kunder och pengar medan det finns företag som är mer intresserade av att skydda kunders data. Investeringarna måste matcha dessa förväntningar.
Kaja Narum, chef för amerikanska IT-bjässen IBM:s säkerhetslösningar i Norden:
1. Tar svenska företag cyberhoten på tillräckligt stort allvar?
– Det ligger nog mycket i det Must-chefen Gunnar Karlsson säger att svenska företag är naiva inför de cyberhot vi står inför. World Economic Forum har cyberhot och datastölder bland sina topp fem största globala risker, på samma nivå som naturkatastrofer.
– Ur vårt perspektiv finns medvetenheten och förståelsen hos CISO/CSO/IT-säkerhteschefer, men många företag behöver lyfta cybersäkerhetsfrågorna till en annan nivå och ta det på större allvar.
2. Hur försiktiga bör svenska företag vara när det gäller investeringar eller köp från länder som Kina och Ryssland?
– Vi ser att det i allt större utsträckning förekommer statsunderstödd cyberkrigföring och industrispionage från olika aktörer. Så svenska företag bör ha tydliga regler och riktlinjer angående hur man köper och investerar i andra länder.
3. Vilka särskilda risker eller problem står finansbranschen inför?
– Ökande regleringar har inneburit att finansbranschen börjar använda sig av så kallad inbyggd säkerhet från molntjänstleverantörer som Amazon, Microsoft och IBM. Många inom finansbranschen planerar använda sig av två eller fler molntjänstleverantörer och finansbranschen är på väg från IAAS (Infrastructure As A Service) till PAAS (Plaform As A Service).
– Här finns ett ökande behov av att komplettera och överbrygga det gap som molntjänstleverantörerna inte adresserar med sin inbyggda säkerhet – som till exempel ha konsoliderad översikt av säkerheten. Molntjänstleverantörerna framhäver sin inbyggda säkerhet som bra nog och med det ökar säkerhetsrisken för finansbranschen.
4. Investeringarna i cybersäkerhet ökar stort. Vilka områden är särskilt angelägna just nu för finansbranschens del?
– Investera särskilt i AI (Artificial Intelligence) för att effektivisera arbetet inom cybersäkerhet och compliance. Det är också viktigt att säkerhet blir än mer integrerat i system- och applikations-utvecklingen för att upprätthålla snabbhet och flexibilitet.
De områden som vi ser investeringar i just nu är:
- IAM (Identity & Access Management) – vem har access, till vad – i molnet.
- Visibilitet – ökad visibilitet, upptäcka och svar på hot i molnet.
- Data protection – alltså skydda verksamhetsdata i molnet.
- App Security – alltså skydda och upptäcka sårbarheter molnet och i mobila appar.