Stora kostnader för cyber security

Omfattande kostnadsökningar för cybersecurity

Enligt en Sifo-undersökning kan uppåt 200 000 personer ha drabbats av id-kapning under 2016, det är därmed ett av Sveriges vanligaste brott. Som jämförelse anmäldes ”bara” 65 300 cykelstölder under samma år.

Ett analysföretag förutspår att cybersecurity-relaterade brott snart kommer att kosta det globala samhället motsvarande 60 biljoner kronor årligen, vilket är mer än tre gånger högre än Sveriges BNP och en större omsättning än den globala handeln med olagliga droger.

Enligt samma rapport kommer ett företag att drabbas av ransomware var fjortonde sekund. IoT och självkörande bilar kommer att leda till nya typer av brott och det kommer snart att finnas 3.5 miljoner cybersecurity-relaterade jobb som det inte kommer att gå att anställa personal till då kompetensen saknas.

“Små- och medelstora företag förväntas bli en allt större måltavla för cybersecurity-relaterad brottslighet”

Låg kunskapsnivå samtidigt som hoten blir allt större

Enligt informella undersökningar som Knightec gjort i samband med utbildningar och informationsevent är det en minoritet av den teknik- och IT-orienterade publiken som känner till vanliga säkerhetshål, attackmetoder och enkla skyddsåtgärder.

Små- och medelstora företag förväntas bli en allt större måltavla för cybersecurity-relaterad brottslighet. Det är lätt att känna sig uppgiven när området cybersecurity är så stort och spretigt samtidigt som det förändras för varje dag som går.

Allt är inte nattsvart

Knightec har tagit fram två produkter som kan användas för att komma igång med IT-säkehetsarbetet snabbt och enkelt, utan några som helst förkunskaper.

Den första, Connected Device Security Crash Course, är en endagsworkshop som behandlar generell orientering inom aktuella trender, nya infallsvinklar och ytlig intressent-, attackvektor- och riskanalys.

Den andra, Connected Device Security Sweet Spot Pre-Study, är en process utvecklad av Knightec för att på ett strukturerat sätt avgöra vilka insatser en organisation ska genomföra för att uppnå en optimal balans mellan effekt och kostnad med hänsyn tagen till myndighetskrav, kundkrav, aktuella standarder och marknadsläget.

Connected Device Security Pre-Study

Studien börjar med en inledande fas som består av fyra workshopdagar:

  1. Samordningsmöte där generella premisser för projektet fastställs,.
  2. Workshop för intressentanalys.
  3. Workshop för angreppsvektoranalys, med mål att identifiera potentiella vektorer som intressenter med eventuell avsikt att angripa ett system skulle kunna använda sig av.
  4. Workshop för definition av omfattning, med mål att avgöra vilka begränsningar som ska gälla för det fortsatta arbetet, då det under samma tid är möjligt att titta brett på fler komponenter eller djupt på färre.

Efter den initiala fasen följer ytterligare tre faser med nulägesanalys, gapanalys samt bedömning och utvärdering ur riskperspektiv för att ta fram prioriteringar. När den sista fasen är avslutad presenteras en rapport med gap i prioritetsordning, och, i de fall det är relevant, med förslag till åtgärder och förväntad kostnad för att minska eller stänga dem.

Exempel på sådana åtgärder skulle kunna vara:

  • Skapa en tvärfunktionell organisation för kontinuerligt säkerhetsarbete
  • Skapa rutiner för kravställning av och utvärdering av tredjepartsprodukter
  • Skapa rutiner för rättighetshantering för nycklar, underlag och distribution
  • Processändringar för design, utveckling, produktion och spårbarhet
  • Utbildningar för utvecklare
  • Penetrationstest av produkter och system
  • Utbildningar inom standarder och regelverk som GDPR, ISO 21434, ISO 26262, ISO 27000, ISO 15408 och Ethical Hacking

Resultatet för kunden är utökad kompetens inom organisationen om cybersecurity samt, tillgång till ett ramverk för att kravställa, budgetera och planera cybersecurity-aktiviteter på ett strukturerat sätt utifrån organisations unika förutsättningar och behov.

Kort om skribenten

David Wenslandt har det senaste decenniet hackat fjärrstyrda undervattensrobotar och programvara för automatisk insamling och synkronisering av sensordata för kärnkraftsindustrin, militära röjdykare, räddningstjänster och myndigheter i egenskap av utvecklare, projektledare och kvalitetschef, och är nu ledare för specialistområdet Connected Device Security på Knightec.