Beslutsfattare ger den egna cybersäkerheten underbetyg
En ny undersökning visar på en betydande oro kring cybersäkerheten hos många företag. 39 procent av de beslutsfattare som medverkar i Nixu Cybersecurity Index anser själva att deras organisationer har ”dålig” eller ”bristfällig” mognad i sin cybersäkerhet. Undersökningen avslöjar också att säkerheten i leveranskedjan har seglat upp som den hetaste frågan inom cybersäkerhet.
Nixu Cybersecurity Index är en undersökning som mäter cybersäkerhetsmognaden hos organisationer baserat på fyra aspekter: nuläget, ledning och styrning, finansiella investeringar samt utvecklingsplaner. Resultatet i den aktuella undersökningen ger ett snitt på 67 – ett knappt godkänt resultat på skalan 10–100. Svenska organisationer, som svarar för en fjärdedel av svaren, når bara upp till 63, vilket är under den godkända nivån på 65.
Ett tydligt resultat från undersökningen är att säkerhetsmedvetenhet betraktas som den mest kritiska förmågan hos organisationen när det gäller cybersäkerhet, och arbetet för att stärka detta är därför prioriterat.
Riskhantering bedöms däremot av beslutsfattarna som en mindre viktig förmåga. Endast 24 procent uppger att riskhantering är en av de mest avgörande faktorerna inom cybersäkerhet och 21 procent planerar att stärka den under det närmaste året. Trots detta säger mer än en tredjedel av de tillfrågade (38 procent) att de saknar en väl organiserad riskhantering.
– Vi ser att cybersäkerhet hanteras mer som en teknisk och operativ fråga än som en naturlig del i organisationens riskhantering. Men det är ett faktum att cybersäkerhet har en direkt koppling till verksamhets- och affärsrisker, något som annars ganska självklart behandlas som ledningsfrågor, säger Peter Hellström, Business Unit Lead, Advisory, på cybersäkerhetsföretaget Nixu som låtit göra undersökningen.
Nixu Cybersecurity Index genomfördes i september-oktober 2022 och har besvarats av 180 beslutsfattare inom cybersäkerhet från olika branscher och länder i norra Europa, vilka redogör för hur de ser på cybersäkerheten i sina organisationer, i dag och i framtiden. Poängen baseras på de svarandes egna uppskattningar.
Den digitala leveranskedjan blir hetaste säkerhetsfrågan
Att en säker digital leveranskedja blir allt viktigare är en tydlig trend som framkommer i Nixu Cybersecurity Index. I svaren kan man tydligt se att leveranskedjan betraktas som ett av de hetaste ämnena inom cybersäkerhet under det kommande året. En typisk cybersäkerhetsattack av denna typ riktas först mot en programvaruleverantör genom att skadlig kod planteras i dess produkter. Den komprometterade mjukvaran sprids sedan till användarna som i sin tur kan utsättas för utpressning, sabotage eller datastöld.
– När hotet gömmer sig i programvara från en betrodd källa reagerar inte det digitala skalskyddet i form av brandväggar och antivirus. Därför är det väldigt svårt att försvara sig mot den här sortens attacker, men de går att förebygga, menar Peter Hellström.
Han tillägger att de verkliga bristerna och det största ansvaret för att hindra attacker via leveranskedjan ligger på leverantörerna, främst mjukvaruföretagen. De måste övertyga kunderna om att deras produkter både fungerar och är säkra.
– Länge har vi mer eller mindre kunnat ta säkerheten hos leverantörerna för givet, men det är rimligt att ansvarsfrågor och garantier kommer att prioriteras högre vid upphandlingar framöver, säger Peter Hellström.
De mest kända cyberattackerna mot leveranskedjan är Solarwinds (2020) och Kaseya (2021). Det var den senare som i Sverige blev känd genom Coop, där smittad programvara slog ut butikernas kassasystem. Utgångspunkten var då alltså inte en hackerattack direkt mot Coop utan mot ett företag två steg bort i deras leveranskedja.
Svårt att hitta säkerhetskompetens– men den värderas högt
I undersökningen framkommer att kvalitet är viktigare än pris vid beslut om cybersäkerhet. Djup kompetens hos en tjänsteleverantör värderas högt eller mycket högt av 97 procent av de tillfrågade.
Många upplever i dag svårigheter med kompetensförsörjning inom cybersäkerhet. Och även om det går att hitta rätt personal finns på många håll ett motstånd mot att rekrytera för att möta behov som anses ligga vid sidan av kärnverksamheten. Risken att bli beroende av enstaka personer som sitter på nyckelkompetenser inom säkerhet är en annan källa till tveksamhet.
– För nästan alla organisationer är det klokt att söka hjälp utifrån för att vara på den säkra sidan, och göra det på ett effektivt sätt. Många företag och myndigheter får i dag en betydande del av sin IT-leverans i form av tjänster som köps in. För dem ligger det nära till hands att tillämpa samma princip även för att tillgodose sina behov inom cybersäkerhet. Med riskhantering kan man göra en bättre bedömning om köp som tjänst är en tryggare lösning, säger Peter Hellström.
Hela rapporten om Nixu Cybersecurtity Index 2022 finns här: https://www.nixu.com/nixu_cybersecurity_index_22
För mer information och frågor:
Peter Hellström, Business Unit Lead, Advisory på Nixu
peter.hellstrom@nixu.com
Fredrik Pallin, presskontakt
Tel: 0708-114 115
fredrik@pallin.com