version av denna artikel översatt av Marisela Ordaz Tänk på [cybersäkerhet] mer som säkerhet och säkerhet på vägar och bilar. Bilen har egentligen inte förändrats under de senaste 30 åren, men mycket säkerhet är inbyggd, och den är inte sexig förrän den räddar ditt liv. Du har bitar som är dolda – krockkuddar – och bitar där för att påminna dig om att vara säker som säkerhetsbälten...en del handlar om gott beteende och bra attityd, en del handlar om fysisk säkerhet för att påminna dig om att det finns en risk, och en del av det är inbakat för att rädda dig.
– Sian John, senior cybersäkerhetsstrateg på Symantec
Vi erkänner det. Cybersäkerhet är inte sexigt. Men i dagens digitala tidsålder har cybersäkerhet blivit allt viktigare för både stora företag och små startups. Idag är insatserna högre än någonsin, eftersom "alla företag har blivit ett teknikföretag." Tekniken har blivit mer än ett komplement till ett företags verksamhet, och i många fall är tillgångarna som finns i deras nätverk är deras kärnverksamhet. Detta förvärras av det faktum att hacks blir vanliga på grund av ökande mobilanvändning och internet of things, såväl som det växande ekosystemet av cyberkriminella.
Den här artikeln beskriver typerna av cyberbrottslingar, cyberbrottstaktik och bidragande faktorer. Verket innehåller också konkreta lösningar som företag kan använda för att skydda sig själva. Lösningarna inkluderar både tekniska skyddsåtgärder och mänskliga komponenter. Till exempel måste ledarskap erkänna cybersäkerhet som ett strategiskt affärsproblem och inte bara ett "IT-problem". Dessutom är några av de mest effektiva lösningarna ganska grundläggande, såsom utbildning av anställda eller tvåfaktorsautentisering för användare.
Enkelt uttryckt är ett cyberbrott ett brott med någon form av dator- eller cyberaspekt. Det kan ta form i en mängd olika format, och från individer eller grupper med olika motivationsfaktorer. Cyberhot är i grunden asymmetriska risker genom att små grupper av individer kan orsaka oproportionerligt stora mängder skador.
Ekonomiskt motiverade organiserade brottsliga grupper: De flesta av dessa grupper finns i Östeuropa
Nationsstatsaktörer: Människor som direkt eller indirekt arbetar för sin regering för att stjäla känslig information och störa fiendens kapacitet. De är i allmänhet de mest sofistikerade cyberangriparna, med 30 % från Kina.
Aktivistgrupper, eller "hacktivister": Är vanligtvis inte ute efter att stjäla pengarna. De är ute efter att främja sin religion, politik eller sak; för att påverka rykte eller för att påverka kunder.
Insiders: Dessa är de "desillusionerade, utpressade eller till och med överhjälpsamma" anställda som arbetar inifrån ett företag. De får dock inte delta i cyberkriminella aktiviteter avsiktligt; vissa kanske helt enkelt tar en kontaktlista eller designdokument utan att inse vilken skada det kan orsaka.
Medelåldern för en cyberbrottsling är 35 år, och 80 % av kriminella hackare är anslutna till organiserad brottslighet. Kort sagt, folk väljer detta som yrke.
Cyberbrottslingar använder både statiska och dynamiska metoder för att begå sina brott. Låt oss fördjupa oss.
En DDoS-attack försöker störa ett nätverks tjänst. Angripare skickar stora mängder data eller trafik genom nätverket tills det blir överbelastat och slutar fungera. Den inkommande trafiken som översvämmar offret kommer från många olika källor, potentiellt hundratusentals. Detta gör det omöjligt att stoppa attacken genom att blockera en enda IP-adress och gör det svårt att skilja legitim trafik från attacktrafik.
Ofta utger sig som en begäran om data från en betrodd tredje part, nätfiskeattacker skickas via e-post och ber användare att klicka på en länk och ange sina personliga uppgifter. Det involverar ofta psykologisk manipulation, åberopande av brådska eller rädsla, lura intet ont anande individer att lämna över konfidentiell information.
Det finns ett par angående faktorer. För det första har nätfiske-e-postmeddelanden blivit sofistikerade och ser ofta ut precis som legitima förfrågningar om information. För det andra licensieras nu nätfisketeknik ut till cyberbrottslingar, inklusive nätfisketjänster på begäran och nätfiske-kit från hyllan. Det kanske mest oroande är det faktum att mörka webbtjänster har gjort det möjligt för cyberbrottslingar att förfina sina kampanjer och färdigheter. Faktum är att nätfiske-e-postmeddelanden är sex gånger mer sannolikt att klickas på än vanliga marknadsföringsmeddelanden från konsumenter.
Skadlig programvara, förkortning för "skadlig programvara", är utformad för att få åtkomst till eller skada en dator. Skadlig programvara är ett paraplybegrepp för en mängd cyberhot inklusive trojaner, virus och maskar. Det introduceras ofta till ett system genom e-postbilagor, nedladdningar av programvara eller sårbarheter i operativsystemet.
Medan de illvilliga insiders som läcker information till WikiLeaks får all press och ära, är ett vanligare scenario att en genomsnittlig men opportunistisk anställd eller slutanvändare i hemlighet tar konfidentiell data i hopp om att få ut pengar någonstans längre fram (60 % av tiden) . Ibland blir anställda lite för nyfikna och snokar lite (17%). Personlig information och journaler (71 %) är inriktade på ekonomiska brott, såsom identitetsstöld eller skattedeklaration, men ibland är det bara för skvaller.
Dessa attacker inkluderar fysisk implantering av en tillgång som läser magnetremsdata från ett betalkort (t.ex. bankomater, bensinpumpar, POS-terminaler). Det är relativt snabbt och enkelt att utföra en attack som denna, med potential för relativt hög avkastning – och så är en populär actiontyp (8%).
För tre år sedan uppskattade Wall Street Journal att kostnaden för cyberbrottslighet i USA var 100 miljarder dollar. Andra rapporter uppskattade att siffran var så mycket som tio gånger högre än så. Under 2017 är den genomsnittliga kostnaden för ett dataintrång 7,35 miljoner USD, jämfört med 5,85 USD 2014. Kostnaderna inkluderar allt från upptäckt, inneslutning och återställning till avbrott i verksamheten, förlust av intäkter och skador på utrustning. Utöver monetära bekymmer kan ett cyberintrång också förstöra immateriella tillgångar, som ett företags rykte eller kunders goodwill.
Intressant nog har företag med de högsta nivåerna av affärsinnovation ofta dyrare attacker. En "affärsinnovation" kan vara allt från ett förvärv eller avyttring till inträde på en ny geografisk marknad. Ett företagsförvärv eller avyttring visade sig öka kostnaderna för cyberbrottslighet med 20 % medan lanseringen av en betydande ny applikation ökade kostnaderna med 18 %.
För finansiella tjänsteföretag kan kostnaderna efter ett säkerhetsbrott hänföras till affärsstörningar, informationsförlust, intäktsförlust och andra kostnader.
Den olyckliga sanningen är att även om ingen bransch är immun, är cybersäkerhetsfrågor särskilt uttalade för finansiella tjänster. Enligt 2017 års Verizon Data Breach Investigations Report drabbade 24 % av intrången finansiella organisationer (den främsta industrin), följt av sjukvård och den offentliga sektorn. Som jämförelse rankades branschen 2012 på tredje plats, efter försvaret och försörjnings- och energiindustrin. Utöver frekvensen är kostnaden för att finansiera företag den högsta av alla branscher, och förlorade i genomsnitt 16,5 miljoner USD 2013.
Inom finansiella tjänster involverade den vanligaste typen av cyberintrång DDoS-attacker. Och som för alla DDoS-attacker drabbades finansbranschen hårdast.
2012 var sex stora amerikanska banker (Bank of America, JPMorgan Chase, Citigroup, U.S. Bank, Wells Fargo och PNC) mål i en våg av dataangrepp av en grupp som hävdade band från Mellanöstern. Attackerna orsakade internetavbrott och förseningar i internetbanker, vilket resulterade i frustrerade kunder som inte kunde komma åt sina konton eller betala räkningar online.
Dessa var DDoS-attacker, där hackarna överväldigade bankwebbplatserna till den grad att de stängdes av. Attackerna använde också botnät, nätverk av infekterade datorer som gör bud från brottslingar. Ibland hänvisas till botnät som "zombiedatorer" som lyder kommandona från ett "master botnet". Tyvärr kan dessa hyras genom svarta marknader eller lånas ut av kriminella eller regeringar.
Sommaren 2014, i det största säkerhetsöverträdet av en amerikansk bank hittills, äventyrades namn, adresser, telefonnummer och e-postadresser på cirka 83 miljoner konton av hackare. Ironiskt nog lägger JPMorgan runt 250 miljoner dollar på datorsäkerhet varje år. Överträdelsen 2014 var inte resultatet av ett sofistikerat system. Attacken använde inte en nolldagsattack, det nya programvarufelet som säljs för miljoner på den svarta marknaden. Den använde inte heller skadlig programvara som hackare i Nordkorea använde i sin cyberattack mot Sony. Snarare var källan till problemet grundläggande:banken använde inte tvåfaktorsautentisering, vilket är ett extra lager av säkerhet när användare loggar in för att komma åt data eller en applikation. JPMorgans säkerhetsteam försummade att uppgradera en av sina nätverksservrar med det dubbla lösenordsschemat – det var allt som krävdes.
I februari 2016 hackades Society for Worldwide Interbank Financial Telecommunication (SWIFT), ett internationellt konsortium med över 11 000 banker som underlättar gränsöverskridande överföringar. Bangladesh Bank, en användare i SWIFT-nätverket, hackades till ett belopp av 81 miljoner dollar. Endast en liten del återställdes innan Federal Reserve Bank of New York blockerade 30 andra transaktioner som kan ha överfört ytterligare 850 miljoner dollar.
Dessa attacker visar att betalningsnätverk bara är lika pålitliga som deras svagaste länk. Många i branschen var inte förvånade över attacken. Enligt Justin Clarke-Salt, medgrundare av Gotham Digital Science, ett cybersäkerhetsföretag, utnyttjade attackerna en svaghet i systemet:att inte alla institutioner skyddar åtkomst till SWIFT på samma sätt. När allt kommer omkring, "Angripare attackerar ofta människor som är lättare att attackera... Så långt från vad vi vet har rapporterats offentligt, har de i hög grad riktat sig mot mindre finansinstitutioner. Det beror förmodligen på att de har mindre sofistikerade kontroller.”
Även om nyheterna ofta täcker attacker mot de största företagen (Target, Yahoo, Home Depot, Sony), är små företag inte immun. Under de senaste 12 månaderna har hackare gjort intrång på hälften av alla småföretag i USA, enligt 2016 State of SMB Cybersecurity Report.
Å ena sidan, hävdar vissa, kanske mindre företag inte kan återhämta sig från en cyberattack**. **Enligt Sian John, senior cybersäkerhetsstrateg på Symantec, upplever företag som drabbats av ett säkerhetsproblem en "massiv anseende och ekonomisk hit" för företag under året efteråt, innan de återgår till normaliteten. Hon frågade:"Om du är ett mindre företag, kan du överleva den nedgången?"
Å andra sidan, hävdar andra, har små företag en fördel:"Ett stort företag är mer sårbart än ett litet företag:De har stora datapooler och hundratals människor måste ha tillgång ... Om du är i den mindre delen av skala, att vara smart om affärsprocesser och förstå var dessa affärsprocesser kan utnyttjas är lättare än för en stor organisation”, förklarade Richard Horne, partner på PricewaterhouseCoopers.
Cyberbrottslingar antar nu företagens bästa praxis för att öka effektiviteten i sina attacker. Några av de mest företagsamma brottslingarna säljer eller licensierar hackverktyg till mindre sofistikerade brottslingar. Till exempel har yrkesbrottslingar sålt nolldagsteknologi till kriminella på den öppna marknaden, där de snabbt kommer till varu. Gangs erbjuder också ransomware som en tjänst, som fryser datorfiler tills offret uppfyller de ekonomiska kraven, och sedan tar ett klipp för att tillhandahålla licensen.
Det finns nu ett helt ekosystem av resurser för cyberbrottslingar att utnyttja. "Avancerade kriminella attackgrupper upprepar nu kompetensuppsättningarna hos angripare i nationalstater. De har omfattande resurser och en högutbildad teknisk personal som arbetar med en sådan effektivitet att de upprätthåller normala öppettider och till och med tar lediga helger och helgdagar... Vi ser till och med lågnivå kriminella angripare skapa callcenterverksamhet för att öka effekten av deras bedrägerier”, säger Kevin Haley, direktör på Symantec.
Om en tredje part blir hackad riskerar ditt företag att förlora affärsdata eller äventyra personalinformation. Till exempel var 2013 års Target-dataintrång som äventyrade 40 miljoner kundkonton resultatet av att nätverksuppgifterna stulits från en tredjepartsleverantör av värme och luftkonditionering. En studie från 2013 visade att 63 % av det årets undersökningar av dataintrång var kopplade till en tredjepartskomponent.
På grund av ett växande antal onlinemål har hacking blivit enklare än någonsin. Inom konsumentbanker har användningen av mobila enheter och appar exploderat. Enligt en Bain &Company-studie från 2014 är mobil den mest använda bankkanalen i 13 av 22 länder och utgör 30 % av alla interaktioner globalt. Dessutom har konsumenter anammat mobila betalningssystem. För banker som konkurrerar med fintech-startups kommer kundbekvämligheten att förbli viktig. De kan behöva väga potentiella bedrägeriförluster med förluster från en mer obekväm användarupplevelse. Vissa institutioner använder avancerad autentisering för att möta dessa extra säkerhetsrisker, vilket ger kunderna tillgång till sina konton via röst- och ansiktsigenkänning.
Internet of things (IoT) ägnas åt idén att ett brett utbud av enheter, inklusive apparater, fordon och byggnader, kan kopplas samman. Om ditt larm till exempel ringer klockan 07.00 kan det automatiskt meddela din kaffebryggare att den börjar brygga kaffe åt dig. IoT kretsar kring maskin-till-maskin-kommunikation; den är mobil, virtuell och erbjuder omedelbara anslutningar. Det finns över en miljard IoT-enheter som används idag, ett antal som förväntas vara över 50 miljarder år 2020. Problemet är att många billigare smarta enheter ofta saknar ordentlig säkerhetsinfrastruktur. När varje teknik har hög risk, ökar risken exponentiellt när den kombineras.
Trots rubriker kring cybersäkerhet och dess hot finns det fortfarande ett gap mellan företags medvetenhet och deras beredskap att ta itu med det. Under det senaste året har hackare gjort intrång på hälften av alla amerikanska småföretag. I Ponemon Institutes undersökning från 2013 angav 75 % av de tillfrågade att de inte hade en formell responsplan för cybersäkerhetsincidenter. 66 % av de tillfrågade var inte säkra på sin organisations förmåga att återhämta sig från en attack. Vidare visade en undersökning från 2017 från cybersäkerhetsföretaget Manta att ett av tre småföretag inte har verktygen på plats för att skydda sig själva.
Taktiskt sett har finansiella tjänsteföretag mycket att förbättra när det gäller att upptäcka och reagera på attacker. Under 2013 lyckades 88 % av attackerna mot FS-företag på mindre än ett dygn. Men bara 21 % av dessa upptäcks inom en dag, och under perioden efter upptäckten återställs endast 40 % av dem inom en tidsram på en dag.
Det finns ingen "one-size-fits-all" lösning för cybersäkerhet. Men generellt sett bör lösningar innehålla både sofistikerad teknik och mer "mänskliga" komponenter såsom utbildning av anställda och prioritering i styrelserummet.
Realtidsintelligens är ett kraftfullt verktyg för att förhindra och begränsa cyberattacker. Ju längre tid det tar att identifiera ett hack, desto dyrare blir konsekvenserna. En studie från 2013 av Ponemon Institute avslöjade att IT-chefer anser att mindre än 10 minuters förhandsmeddelande om ett säkerhetsbrott är tillräckligt med tid för att inaktivera hotet. Med bara 60 sekunders avisering om en kompromiss kan de resulterande kostnaderna minskas med 40 %.
Enligt James Hatch, chef för cybertjänster på BAE Systems, "Att upptäcka [en cyberattack] tidigt är nyckeln ... Det kan vara skillnaden mellan att förlora 10 % av dina [datorer] och 50 %." Tyvärr tar det i verkligheten i genomsnitt företag mer än sju månader att upptäcka en skadlig attack.
Företag kan ta flera mindre, taktiska steg för att skydda sig. Dessa inkluderar:
Anta en försvarsstrategi med flera lager. Se till att den täcker hela ditt företag, alla slutpunkter, mobila enheter, applikationer och data. Om möjligt, använd kryptering och två- eller trefaktorsautentisering för nätverks- och dataåtkomst.
Utföra en tredjepartsleverantörsbedömning eller skapa servicenivåavtal med tredje part: Implementera en "minst privilegium"-policy om vem och vad andra kan komma åt. Gör det till en vana att granska användningen av referenser med tredje part. Du kan till och med ta det ett steg längre med ett servicenivåavtal (SLA), som kontraktuellt förpliktar tredje part att följa ditt företags säkerhetspolicyer. Ditt SLA bör ge ditt företag rätt att granska tredje partens efterlevnad.
Säkerhetskopiera data kontinuerligt. Detta kan hjälpa till att skydda mot ransomware, som fryser datorfiler tills offret uppfyller de ekonomiska kraven. Säkerhetskopiering av data kan vara avgörande om dina datorer eller servrar blir låsta eftersom du inte skulle behöva betala för åtkomst till dina data.
Lättar ofta. En programuppdatering är en koduppdatering i befintlig programvara. De är ofta tillfälliga korrigeringar mellan fullständiga versioner av programvara. En patch kan åtgärda en programvarubugg, åtgärda ny säkerhetssårbarhet, lösa problem med mjukvarustabilitet eller installera nya drivrutiner.
Vitlista programvara. Applikationsvitlista skulle förhindra datorer från att installera icke-godkänd programvara. Detta gör att administratörer kan ha mycket mer kontroll.
En framväxande trend är anti-hackerförsäkring, eller cyberförsäkring. Dess omfattning varierar mellan olika leverantörer, men skyddar vanligtvis mot säkerhetsintrång och förluster. Försäkringsbolag begränsar vanligtvis sin kapacitet till mellan 5 miljoner USD och 100 miljoner USD per kund. I oktober 2016 hade endast 29 % av USA:s företag köpt cyberförsäkring. Den totala cyberförsäkringsmarknaden uppskattas dock till 20 miljarder dollar år 2025, upp från 3,25 miljarder dollar idag. Försäkringsbolagen är positiva och uppskattar att premierna kommer att tredubblas under de närmaste åren.
För att en organisation ska kunna avgöra hur mycket cyberförsäkring den behöver, bör den mäta sin cyberrisk. Den måste förstå hur deras tillgångar påverkas av en cyberattack och hur man prioriterar dem.
En annan ny idé i branschen är något som kallas ett bug-bounty-program, där en organisation betalar utomstående ("vänliga hackare") för att meddela den om säkerhetsbrister. Företag som sträcker sig från Google och Dropbox till AT&T och LinkedIn har redan antagit denna praxis.
Ett "IT-problem" blir ett strategiskt affärsproblem. För många VD:ar och finanschefer kan hacking vara frustrerande eftersom de inte förstår fienden. Enligt Richard Anderson, ordförande för Institute of Risk Management, "Det finns fortfarande många människor som sitter bredvid större företag som fortfarande ser det som något nördarna ser efter, snarare än att det är en affärsfråga." Men som statistiken har visat kan detta inte vara längre från sanningen.
En vitbok från Deloitte föreslår att man skapar ett dedikerat team för hantering av cyberhot och skapar en "cyberrisk-medveten kultur". Det rekommenderas också att organisationer utser en Chief Information Security Officer (CISO). Till exempel hade varken JPMorgan eller Target CISOs när de bröts under 2014 respektive 2013.
Tillbaka till grunderna:Utbildning för anställda. Dataintrång är ofta resultatet av människors psykologiska svagheter. Det är därför viktigt att utbilda dina anställda om varningstecken på säkerhetsöverträdelser, säkra metoder (var försiktig med att öppna e-postbilagor, var de surfar) och hur man svarar på ett misstänkt övertagande.
Ett vanligt motbevis för den ökande uppmärksamheten på farorna med cybersäkerhet är, "Vad då? Ska vi bara sluta förnya av rädsla för attacker?” Svaret är, inte exakt. Det kan dock vara till hjälp för företag att se cybersäkerhet som en etisk fråga. Det vill säga, cybersäkerhet bör inte bara vara en fråga om teknik, utan också en fråga om moral. När allt kommer omkring, är det etiskt att skapa och sälja teknik som gör konsumenterna sårbara? Med Silicon Valleys "tillväxt eller dö" och ibland kortsiktiga kultur är detta troligen en impopulär attityd.
Det finns dock prejudikat inom andra sektorer. Till exempel kräver American Medical Association och American Bar Association att yrkesverksamma följer sina respektive etiska koder. Läkare måste utfästa den hippokratiska eden, ett av de äldsta bindande dokumenten i historien, som kräver att läkare lovar att skydda sina patienter. På samma sätt följer advokater en modell för professionellt uppförande och lovar att skydda och respektera sina klienter.
Vi gör alla klokt i att komma ihåg att även om teknik kan komma och gå, ändras inte rätt och fel.
5 pensionsrisker som varje kvinna borde känna till (och planera för)
Vad är tilläggsförsäkring och bör du köpa den?
Vad är begravningsförsäkring och ska jag köpa den?
Vad är invaliditetsförsäkring och ska jag köpa den?
Vad alla entreprenörer bör veta om rese- och underhållningsavdrag
Skuldmyter avslöjas:Vad alla småföretagare bör veta
Motivational Performance Management:What Every Startup Should Know
De bästa hemgarantierna som finns och vad du bör veta