Hantera det största säkerhetshotet mot små och medelstora företag
Kommer din svaghet i cybersäkerheten inifrån ditt företag? Vår forskning visar hur mänskliga fel kan störa ditt digitala försvar.
Vad är insiderhot?
Dina medarbetare är hjärtat i ditt företag. Oavsett om det är personen som tar mått för en nybyggnation, administratörerna som behandlar ansökningar till universitet eller kontorschefen som skriver ut viktiga dokument – alla spelar en viktig roll. Men samtidigt är alla människor också mottagliga för fel.
Insiderhot avser personer som arbetar inom företaget och vars fel kan hota företagets säkerhet. Tyvärr kan även det minsta misstag som en anställd gör få stora konsekvenser. Detta gäller särskilt för små och medelstora företag (SMF), där effekterna av en attack kan visa sig vara avgörande för verksamheten.
Cyberkriminella vet redan att den svaga punkten i ett företags digitala försvar är de anställda som arbetar där. De är beroende av personer som saknar utbildning eller uppmärksamhet, till exempel när de loggar in eller svarar på ett e-postmeddelande, och hoppas att de anställda är omedvetna om riskerna.
För att ta reda på hur företag riskerar att bli utsatta för insiderhot genomförde vi undersökningar med små och medelstora företag i hela Europa. Genom att prata med 5 770 st IT-beslutsfattare inom affärssektorer som bygg, juridik, utbildning och hälso- och sjukvård belyser våra resultat sårbarheter och problem på nätet. Som det ser ut nu i Sverige anser nästan fyra av tio (35 %) av de tillfrågade att anställda som inte följer processer eller riktlinjer är en betydande risk för effektiviteten i IT-säkerheten.1 Men det finns mer i historien.
Utmaningen med den mänskliga faktorn
Ditt digitala försvar är bara så starkt som din utbildade personal. Även med traditionella affärssäkerhetssystem på plats kan mänskliga fel göra cyberskyddet ineffektivt. Det är därför inte förvånande att en tredjedel av våra respondenter angav brist på kunskap eller utbildning hos de anställda som något som har ökat oron för IT-säkerheten.2
En hel rad vanliga misstag kan leda till ett säkerhetsintrång. Kanske skickar din marknadschef av misstag känslig kundinformation till fel konto. Eller så kanske en lärarassistent av misstag följer en skadlig länk i ett e-postmeddelande och exponerar elevdata (en attack som kallas nätfiske). Det kan till och med vara så att någon gör kopior av konfidentiella sidor vid skrivaren, men glömmer att ta bort originaldokumentet från facket efteråt.
Naturligtvis finns det olika faktorer som spelar in. Anställda kanske helt enkelt inte känner till riskerna, vilket avsevärt försvagar försvaret mot dem. Många anställda i företaget kanske inte svarar på utbildningsförfrågningar, eftersom de är för upptagna eller för att de tror att de redan är utbildade. Vissa kan till och med vara medvetna om företagets säkerhetsrutiner, men kan ändå vara benägna att göra enstaka fel. Låt oss ta en titt på vad våra resultat från små och medelstora företag avslöjade.
Det visar undersökningen
Resultat av svenska små och medelstora företag
Alla företag, stora som små, använder e-post för att kommunicera på något sätt. Skräppostmappar kan vara ganska bra på att automatiskt filtrera bort skräppost från okända avsändare. Men i takt med att cyberbrottsligheten blir mer sofistikerad ökar nätfiskeattackerna. Phishing-attacker, som nu är den vanligaste formen av cyberbrottslighet, är beroende av att dina anställda gör en felbedömning. Samtidigt kan attacker med skadlig kod inträffar när enheter i ditt nätverk (till exempel dina telefoner, surfplattor och skrivare) inte är helt säkra. Varje attack kan leda till förödande resultat. 20 % av de små och medelstora företag som vi undersökte angav dataförlust som sitt största säkerhetsproblem.4 För att undvika misstag bör företagsledare se till att deras anställda är fullt medvetna om vad de ska hålla utkik efter i varje e-postmeddelande och konsekvenserna av att inte kontrollera ordentligt.
Trots alla dess fördelar har hybridarbete ökat oron för säkerhetstekniska risker för små och medelstora företag. Samtidigt är 29 % nu också mer oroade på grund av att anställda använder sina egna enheter.6 Många anställda kommer att arbeta både på kontoret och hemmet, men vissa kan välja att arbeta på kaféer eller i samarbetsutrymmen. Ställen där nätverken inte är säkra. Trots denna oro har nästan tre femtedelar (59 %) av de små och medelstora företagen inte ökat sin utbildning i IT-säkerhet sedan de gick över till en hybridmodell.7 Kombinationen av potentiellt osäkra nätverk och föråldrad säkerhetskunskap innebär att det finns en grogrund för misstag.
Man hanterar massor av känslig data i företag varje dag. Oavsett om denna data tillhör studenter, patienter, kunder eller själva verksamheten så går det inte att förneka att man bör hantera den med försiktighet. Intrång i datasäkerheten kan inträffa vid vilken slutpunkt som helst (enheter som är anslutna till nätverket) – från din kontorsskrivare till anställdas surfplattor. Eftersom endast en tredjedel av de små och medelstora företagen har säkerhet för att täcka skrivare är det tyvärr många som inte täcker alla baser. Dessutom känner inte alla anställda till vart riskerna ligger. Faktum är att en tredjedel av de små och medelstora företagen antingen inte är särskilt säkra (14 %) eller inte litar på (15 %) på att de anställda har tillräcklig kunskap om IT-säkerhetsrisker.9
Två sätt att hantera insiderhot
Med hänsyn till vår forskning bör små och medelstora företag göra det till sin högsta prioritet att minska insiderhotet. Det finns två olika tillvägagångssätt för att göra detta effektivt – som båda är lika viktiga.
För det första handlar det om att förstå och ta itu med den mänskliga sidan av säkerheten inom verksamheten. Det är viktigt att bygga en onlinesäkerhetskultur som når alla anställda, inte bara din IT-avdelning och kontorsarbetare. Alla, från de som levererar varor till de som svarar i telefon, bör ha bästa praxis för säkerhet i åtanke när de arbetar. Ett sätt att testa de anställdas svar på ett säkert och förebyggande sätt kan vara att simulera "phishing-bedömningar". Där falska skadliga e-postmeddelanden skickas ut av företaget. En annan är att göra säkerhetsutbildning online obligatorisk för alla anställda att delta i.
För det andra, se till att tekniken blir rätt. Även om insiderhot beror på människors handlingar, kan tekniken hjälpa till att förhindra misstag – och en säkerhetsstrategi i flera lager hjälper till att täcka alla baser. Detta skulle i huvudsak omfatta en rad säkerhetskontroller, regelbundna riskbedömningar och utbildning, mer regelbundna penetrationstester (där man testar ditt nätverk för tillgänglighet från tredje part) samt övervakning dygnet runt. Att hitta balansen mellan teknik och att påminna de anställda om den roll de spelar är nyckeln.
Misstag händer, cyberattacker behöver inte göra det
Precis som alla andra kommer anställda att göra misstag. Oavsett om du är företagsledare eller administrativ assistent kan olyckor hända. Men det betyder inte att cyberattacker måste göra det. Att tillhandahålla adekvat utbildning och öka de anställdas medvetenhet, noggrannhet och ansvarsskyldighet kommer att bidra till att minimera fel som leder till verklig skada.
Om eller när ett misstag inträffar är det viktigt att ha rätt cyberskydd på plats. På Sharp hjälper vi små och medelstora företag att bygga upp ett robust digitalt försvar genom att se till att de har rätt nivå av cyberskydd i sina verksamheter idag. Vårt omfattande utbud av skräddarsydda säkerhetstjänster och lösningar ger ett extra lager av försvar till ditt företags säkerhetssystem.
