- 9/10 organisationer har utsatts för minst ett lyckat cyberanfall1.
- Mängden cyberbrott ökade med 600 % under Covid-19-pandemin2.
- 33 % misslyckas på nätfisketest. Nästan alla organisationer försöker öka medveten om nätfiske, men bara en liten del av personalen får möjlighet att öva3.
Informationssäkerhet är alltid inte det högprioriterade området som det borde vara. Det orsakas bland annat av att det ibland finns en intern konsensus om att säkerhet antingen är onödigt, dyrt eller ett hinder. Samtidigt så avancerar cyberbedragare och -tjuvar med ny teknik och fler angreppssätt.
Organisationsdata behöver alltså inte bara skyddas utifrån, utan även inifrån. Det gör att krav ställs på beslutsfattare, säkerhetslösningarna och användarna. Allra mest attraktivt hade varit om ett intrång kostar X och en säkerhetslösning kostar Y, och om Y är lägre än X så är lösningen fördelaktig. Men det är ju inte så enkelt. Kostnader och konsekvenser är svåra att förutse, och det krävs erfarenhet och kunskap för att balansera risker mot investeringar.
I den här artikeln presenteras några slutsatser som kommit från akademiska publikationer. Längst ner finns en sammanfattning och rekommendationer för vidare läsning.
Lärdomar om satsningar på it-säkerhet
Många artiklar tar upp it-säkerhet från en rad olika perspektiv. Nedan sammanfattas några utvalda artiklar som fokuserar på varför, eller varför inte, satsningar inom it-säkerhet sker.
Artikel: Observationer från djupintervjuer
I en fallstudie från en forskargrupp baserad i Tyskland så intervjuades beslutsfattare och specialiserade bolagsanställda om deras bolags it-säkerhet, eller om deras rådgivning angående kunders it-säkerhet. Frågorna och svaren grupperades i fem teman:
Påverkansgrad av yttre faktorer på satsningar inom it-säkerhet
Det absolut viktigaste som påverkade investeringar på informationssäkerhet konstaterades vara nya eller ändrade lagar, vilka påverkar vad organisationer måste göra. I artikeln anges att bolag ofta slutar med att se över it-/informationssäkerhet så länge det som krävs enligt lag har etablerats.
Med synen på informationssäkerhet som ett hinder och ett nödvändigt ont så återbesöks ämnet sällan – om inte lagen så kräver. Som sekundära beslutspelare kommer branschstandard och landsstandard, alltså att göra som andra gör i landet/branschen. Märkbara skillnader i öppenheten för investeringar kunde noteras i organisationer som utsatts för intrång, och att det inom dessa fanns ett mycket tydligare perspektiv om att prioritera säkerhet.
Underliggande beslutsprocessers påverkan på it-säkerhetsinvesteringar
Den vanligaste grunden till beslut om satsningar på informationssäkerhet angavs vara traditionella processer, till exempel beslut av en CISO eller genom workshopar. Dessutom så var den vanligaste investeringen traditionella medel för säkerhet, så som brandväggar och antivirusprogram. Men efter en investering så noterades det vara svårt att följa kostnaden och påverkan, delvis på grund av otydligheten mellan it-/informationssäkerhetsansvariga och it/informationsansvariga – att skilja på en it-säkerhetsbudget och en it-budget angavs vara praktiskt taget omöjligt.
På senare tid så har it-/informationssäkerhet blivit ett erkänt nödvändigt område, med antingen ansvariga personer eller hela avdelningar som ansvarar för säkerheten. Trots det så rapporterades starka tvivel mot att betrakta CISO:n som en naturlig del av ledningen. Troligen på grund av perspektivet att säkerhet är ett hinder för affärprocesser.
Befintliga säkerhetsprocesser och deras påverkan på affärsprocesser
Den största rapporterade anledningen till att inte göra nya investeringar, trots det ökade skyddet, är det generella motståndet och oviljan att förändra nuvarande processer. Det verkar inte finnas en organisk tillväxt av investeringar eller intresse för ökad säkerhet, vilket gör att satsningar baseras i lagkrav och industristandarder.
Även CISO:er uppges vara tveksamma till nya säkerhetsåtgärder på grund av det förväntade motståndet. Det finns därför en negativ direkt association om säkerhetsprocessers påverkan på övriga affärsprocesser. Dessutom noterades att den högst ansvarige, CISO:n, ofta ansvarar för både översikt/utvärdering samt inköp/investering – vilket skapar en potentiell intressekonflikt.
Mätvärden och utvärderingsprocesser för att mäta organisationsprestanda
Gemensamt i alla intervjuer var att det saknades utvärderingsprocesser, vilket baserades i tidsåtgången samt komplexiteten för att utvärdera förändringarna efter en investering. Detta trots att det kan finnas externa påtryckningar för löpande utvärdering, exempelvis från myndighetskontroller eller för att uppenbara it-brister uppdagas.
Löpande registrering av mätvärden betraktades som svåra att analysera i praktiken, och det är därför vanligt att de inte registreras överhuvudtaget.
Utbildningsstrategier parallellt med säkerhetsinvesteringar
Konsensus var att utbildningsinitiativ alltid vara reaktiva, aldrig proaktiva. Orsaken till det konstaterades vara att ämnet it-/informationssäkerhet anses som obekvämt. Bland annat angavs att anställda glömmer innehåll från workshops och utbildningar och att nya anställda kommer till organisationen.
Säkerhetsstrategier implementerades utan att återbesökas, och utan någon medföljande utbildningsstrategi. När incidenter skedde så menades att utbildning var en skyddsåtgärd som vissa organisationer tar, men någon långsiktig uppföljning eller ändring i policyer/rutiner genomförs sällan, om alls.
Artikel: Beslutskategorier för säkerhetsinvesteringar
I en artikel publicerad av en annan tysk forskargrupp analyserades de tre vanligaste huvudanledningarna till att organisationer gjorde it- och informationssäkerhetsinvesteringar. Gruppen gjorde en artikelanalys där de analyserade akademiska publikationer. I det slutgiltiga artikelurvalet analyserades 58 artiklar som publicerats mellan 1992 och 2021.
Resultatet från analysen var att bolag ofta fattar beslut till säkerhetsinvesteringar med med grund i minst en av tre kategorier. Kategorierna är risk och avkastning, beteende (med fokus på ryktesgrundad vägledning) samt spelteori.
Risk och avkastning
Den första och största kategorin kallas risk och avkastning, som noterades förekomma i över hälften av alla it-säkerhetsinvesteringar. I den här kategorin är ROSI och andra uträkningar vanligt förekommande, eftersom målet är att få en konkret siffra som reflekterar vad säkerhetslösningen sparar/kostar.
För att identifiera kostnader och risker så används hypotetiska scenarier samt potentiella incidenter för att ta fram utveckla kostnadsexempel på vad intrång, läckor och åtgärder hade kunnat kosta. Genom att använda realistiska siffror från hypotetiska incidenter så blir det enklare att jämföra kostnaden av åtgärderna mot kostnaden av ett skydd. Många dimensioner behöver vägas in i dessa kalkyler, bland annat vilka delar av it-infrastrukturen som skyddas och i vilken grad olika incidenter blir mindre kostsamma av en investering. Men även mer diffusa aspekter så som den uppskattade hotbilden behöver beaktas för att bli verklighetstrogen.
Hela 59 % använde sig av den här metoden för utvärdera nya investeringar. Oftast så användes ett av två perspektiv, antingen ROSI eller Gordon och Loeb-modellen. Läs mer om respektive modell nedan.
Ryktesgrundad vägledning
Grunden till den här kategorin är att beslutsfattares beteenden påverkar investeringen. Det innebär att nyckelpersoner kan få en investering att genomföras eller avstyras till stor del själv. Enligt kategorin så söker sig dessa beslutsfattare till att se vad andra har gjort. Om en områdesexpert eller chef på ett omtalat bolag redan har fattat ett motsvarande beslut så blir det lätt att motivera samma sak. Kunskap och erfarenhet blir därför en hörnsten i hur säkerhetsorganisationen formas, beroende på hur djup insikt beslutsfattaren har.
De viktiga spelarnas rykten är en central del av den här kategorin. Om en rådgivare har sämre rykte på grund av misslyckade beslut eller avsaknad av beslutsfattande så kommer den personens råd anses väga mindre tungt. På samma sätt, om en person fattar bra beslut som leder till lyckade utfall så kommer den personens vägledning väga mycket tyngre. Den uppenbara svagheten med det här perspektivet är att beslutet till stor del formas av personers subjektiva åsikter och erfarenheter. Exempelvis så riskerar beslutsfattare att utsätta organisationen för större risker när det finns sådana trender på marknaden – beslut påverkas alltså bland annat av industristandarder och begränsningar i budget eller annat.
Spelteori
Den tredje kategorin av motiveringar för säkerhetsinvesteringar är spelteori. Spelteori innefattar bland annat de matematiska modeller som förklarar optimalt beslutsfattande bland rationella entiteter. Det finns en stor mängd underteorier och många applikationsområden. För just ämnet it- och informationssäkerhet så handlar diskussionen ofta om huruvida separat eller centraliserad it-miljö är säkrare. Men spelteori är också applicerbart på hur säkerhetsbudgeten spenderas. Eftersom det räcker med ett säkerhetshål för att riskera hela organisationens data behövs åtminstone ett grundläggande skydd för alla delar som det finns en hotbild mot. Spelteorin kommer då in eftersom det optimala beslutet behöver fattas med begränsade medel.
Framför allt för moderbolag och företag som förvärvar så är det ett viktigt att besluta om centraliserad eller decentraliserad it. En decentraliserad strategi gör att de enskilda delarna riskerar att överspendera på it-säkerhet medan en centraliserad strategi gör att de migrerade bolagen riskerar att till större grad ignorera eller nedprioritera säkerheten. En leveranskedja som involverar flera bolag med delad kundinformation är en relaterad riskfaktor, eftersom säkerheten bara är lika stark som den svagaste länken.
Artikel: KPI:er och mätetal för cybersäkerhet
Ett attraktivt perspektiv är att hitta tydligt definierade mätetal för att på så vis kunna påvisa huruvida en investering är lönsam. Problemet är dock att inga sådana mätetal finns med bred konsensus, vilket är delvis underbyggt av att organisationer har olika behov och förutsättningar. I en förstudie från en forskargrupp i Storbritannien föreslogs ett set med 6 KPI:er, i ett försök att definiera några universella mätetal för cybersäkerhet.
I artikeln så finns ett stort fokus på kritisk infrastruktur (till exempel elnät och sjukhus-it), och skyddet av den. Men enligt författarna så menas teorin kunna appliceras på alla typer av it- och informationssäkerhet. De övergripande kategorierna för KPI:er som föreslogs är:
- Misslyckade cyberanfall.
- Brister och hot.
- Skyddade tillgångar.
- Mänsklig och processbaserad kapacitet.
- Övervakningskapacitet och -effektivitet.
- Incidentövervakning.
Varje av ovan kategorier delas av författarna vidare in i 3–5 undergrupper med smalare definitioner, i ett försök att skapa tydliga och relevanta mätetal. För att hålla källorna flexibla och tillgängliga samt välgrundade så använde artikelförfattarna nationella cybersäkerhetsprogram från olika myndighetskällor. I artikeln nämns bland annat Storbritanniens National Cyber Security Strategy och Finlands Cyber Security Strategy. Författarna menar att det i alla dessa säkerhetsprogram finns gemensamma drag, och delar som kan utvinnas och omformas för att passa KPI:erna som presenterades i artikeln.
Artikel: Bayesiansk statistik för ROSI-uträkning
Ett team vid Pakistanska National University of Sciences and Technology baserade sitt ROSI-perspektiv i matematiska formler med olika sannolikhetsantaganden. Metoden de presenterar baseras kortfattat på följande steg:
- Identifiera värdet på respektive tillgång. Identifiera alla kritiska it-tillgångar (servrar, applikationer, enheter, och så vidare). Använd sedan CIA-triadens tre delar (konfidentialitet, integritet och tillgänglighet) som grund till en rankning från 1 till 5 för varje tillgång. Då får varje tillgång ett värde på mellan 3 och 15. Detta värde ska sedan multipliceras med värdet på tillgången.
- Identifiera hoten. Identifiera vilka hot som finns, vad hotet riktas mot, hur ett anfall skulle genomföras, samt genom vilka åtgärder som hotet kan motverkas. Författarna ger exemplet att injektioner av SQL-kod kan förekomma via inloggningsfält, och att förbättrad datavalidering är ett sätt att motverka hotet.
- Kalkylera sannolikheten. Använd det Bayesianska teoremet för att kalkylera sannolikhetsgraden för olika utfall, utifrån sannolikhetsuppskattningar för de olika delarna som identifierats i del 2.
- Kalkylera påverkansgraden. En ekvation kan sedan användas för att räkna ut händelsens påverkansgrad, där sannolikhetsgraden multipliceras med värdet på tillgången samt återställnings-/reparationskostnader. Påverkansgraden multipliceras sedan med anfallssannolikheten, vilket rapporteras resultera i den årliga kostnaden av det hotet. Detta upprepas sedan för alla tillämpliga hottyper för alla tillämpliga tillgångar.
- Kartlägg lösningens kostnad. Nästa steg är att kartlägga kostnaderna för skyddande åtgärder. Implementationskostnad, installationskostnad, utbildningskostnad samt underhållskostnad adderas. För att ROSI-kalkylen ska gå plus så behöver först och främst åtgärderna sänka sannolikheten för anfall, vilket räknas ut genom att göra sannolikhetskalkylen i steg 3 igen, fast utifrån en implementerad säkerhetslösning. Sedan så behöver den summerade kostnaden av åtgärden resultera i en lägre årskostnad än kostnaden utan skyddet. Den slutliga ROSI-slutsatsen baseras alltså på jämförelsen av årskostnader mellan kostnaden från ett hot samt skyddsåtgärderna för samma hot.
En central del för den här metodiken är kunskap om Bayes teorem, eftersom det annars blir väldigt teoretiskt och svårt att direkt applicera insikterna. En stark rekommendation för de som vill använda den här typen av kalkyl är att besöka artikeln och analysera ekvationerna närmare.
Artikel: Gordon och Loeb-modellen
I en artikel från 2002 så noterade forskarna Gordon och Loeb att en magisk siffra är 37. De räknade nämligen ut att kostnaden för it-säkerhetsinvesteringar inte borde överskrida 37 % av den uppskattade förlusten.
Enligt ett exempel från Wikipedia så har bolag X data värt 1 000 000 kr. Med 15 % risk att bli utsatta för ett anfall och 80 % sannolikhet att anfallet lyckas så blir uträkningen 1 000 000 x 0.15 x 0.8 = 120 000. Den uppskattade förlusten är således 120 000, där Gordon och Loeb menar att investeringskostnaden inte ska överstiga 37 %; 120 000 x 0.37 = 44 000.
För en övergripande inblick, se Wikipedia-sidan för modellen. För en djupare analys av Gordon och Loeb-modellen, läs den här artikeln där originalförfattarna utvärderar modellen 14 år efter dess första publicering.
Sammanfattning
Sammanfattningsvis så kan det konstateras att det ämnet säkerhet ofta inte får det utrymme som behövs för att göra organisationen säker. Några anledningar verkar vara vanligare än andra när det kommer till att (inte) göra it-/informationssäkerhetsinvesteringar:
- Internt motstånd hindrar säkerhet. Att det finns en bred motvilja för förändrade arbetsprocesser är ingen nyhet. I kombination med förändringsmotståndet så tycks det även finnas en kultur om att varken ämnet säkerhet eller CISO:n har någon självklar plats vid ledningsbordet. Det gör det ännu svårare att motivera investeringar och att föra säkerhetsstrategiska diskussioner med övriga beslutsfattare.
- Säkerhet är bara en kostnad. Oftast betraktas informationssäkerhet bara från kostnadsperspektivet, samt att det är en begränsande faktor för övriga verksamheten. I praktiken blir det i princip att sätta upp det skydd som krävs enligt lag, men inte mycket mer. Övriga fördelar – kontroll på skugg-it, översikt över it-policyer, bättre säkerhetsförståelse – tas sällan med i beräkningen.
- Kostnaden för säkerhet är svår att mäta. Som grund för att motivera säkerhetsinvesteringar så behövs prognoser och kalkyler som visar att investeringen lönar sig. Problemet är svårigheten; vad ska analyseras, vad kommer förändras, hur ska relevanta siffror definieras, vad kostar ett lyckat intrång?
- Bränt bolag skyr elden. Övertygelsen om att investera i säkerhet ökar markant när lyckade intrång sker. En förstahandsupplevelse om hur förödande och kostsamma cyberanfall kan vara ger insikter som är mer övertygande än andra källor. Att prova sig fram med låg säkerhet kan vara en bra metod när det inte finns så stora risker, men om intrång gör att känslig information kapas eller att driften stoppas så springer kostnaderna snabbt iväg.
Borde det vara på det sättet? Knappast. Stegen för bättre säkerhet tävlar alltid med bedragares steg att stjäla eller förstöra. För ju bättre säkerheten blir, desto bättre blir också skurkarna. Det innebär att organisationer som redan ligger efter med säkerheten över tid lider större och större större risk att utsättas för lyckade intrång.
Artikelrekommendationer
För att se fler exempel på forskning om it- och informationssäkerhet, se exempelvis någon av nedan artiklar:
- Den här artikeln från 2021 tar upp motsvarande ämnen som ovan artiklar; ROI, ROSI och ett förslag om en standardiserad process för att utvärdera säkerhetslösningar.
- En artikel från 2022 presenterar att lagkrav kräver vad som måste efterlevas, men inte hur. Författarna tar upp att nystiftade lagar även borde inkludera hur krav ska mötas.
- 2020 publicerades en artikel som presenterar skillnader i medvetenhet om informationssäkerhet för enskilda individer. De jämför respondenter från 4 länder och analyserar likheter och skillnader, samt vilka implikationer som finns.
- Den här artikeln från 2022 tar upp den drastiska ökningen av Internet-of-Things (IoT) och att tydliga risker finns associerade med det. Författarna föreslår att säkerhetslösningar bör baseras i artificell intelligens och maskininlärning.
Slutsats
Så vilka slutsatser finns att dra efter allt detta? Ja, som förhoppningsvis blivit tydligt i den här artikeln så finns det många perspektiv, många risker och många intressen. Det kan vara svårt att hitta trådar att börja dra i, men väntan utsätter bara organisationen för risk.
Låt ROSI uppmuntra förändring
En ROSI-kalkyl är kanske svår att genomföra på ett pricksäkert sätt. Men se det som en trigger för att göra en investering, och följ hur investeringen står sig över tid. Säkerhet är värt mycket – om inte annat bara för tryggheten det ger. En vanlig fälla är att fastna i vad säkerhetslösningar begränsar och vad de kostar (jämfört med vad de sparar). Många som råkat ut för kostsamma anfall har den hårda vägen lärt sig att säkerhet är en av de mest fundamentala stöttepelarna för en effektiv organisation.
Ett första steg kanske dock är att få den interna dialogen runt säkerhet att ändras. Att minska motståndet genom att involvera ledningen i diskussionen, och omvandla slutsatser till policyer för alla användare. Det handlar om att minska det abstrakta och begränsande runt säkerhet samt att visa på fördelarna som finns. Alla inblandade måste inse varför säkerhetslösningen är vad den är och gör vad den gör.
Lagstiftningens långsamma maskineri
Nya lagar kommer ofta som reaktioner på situationer eller incidenter. Därför kan lagkrav betraktas ligga ständigt ett steg efter, så att enbart hålla organisationens säkerhet i enlighet med lagkrav är antagligen en mindre säker metod.
Lagefterlevnad är ett minimum, men säkerhetsmässigt så är det knappast nog. Att däremot titta på branschstandarder och officiella, nationella strategier om cybersäkerhet kan vara ett sätt att få ett hum om åtgärder som är lämpliga.
Fokusera på användarna
EdgeGuide rekommenderar tre huvudområden att satsa på för att höja säkerheten: identitetshantering, klientsäkerhet och insiderhot. Dessa områden nämns även i flera av forskningsartiklarna, och slutsatsen kan dras att användarna står i fokus – på ett eller annat sätt. Utgå från vilka applikationer användarna har, vilka enheter de använder och vilka rutiner som finns. Några konkreta tips:
- Multifaktorautentisering borde vara en enkel sak att aktivera som inte påverkar många negativt. Dessutom gör det stor skillnad för organisationens säkerhet.
- Att börja med Intune för att säkerställa att bara godkända programvaror används är ett annat steg. Det kan innebära ett stort projekt, men skyddet och kontrollen som ges är svår att matcha.
- Dataklassificering är något som involverar användare, sprider medvetenhet samt ökar säkerheten. Det är något som många organisationer kan börja med utan att det kräver enorma investeringar.