”Skippa cyberförsäkringar – lägg pengarna på organisationen!”
DebattCyberförsäkringar och betalda lösensummor fungerar sällan som försvar mot ransomware-attacker. Svenska företag bör sluta betala för dyra cyberförsäkringar och istället investera i motståndskraft i den egna organisationen mot cyberattacker, exempelvis genom konkreta kontinuitetsplaner. Det skriver Beda Grahn, VD för Kyndryl Sverige, i ett debattinlägg för Sak & Liv.
Gisslanattacker – att bedragare digitalt låser företag och myndigheters kritiska system och information för att pressa brottsoffrens på pengar – är idag ett problem för i princip alla företag och organisationer. Enligt den globala undersökningen The State of Ransomware attackerades 66 procent av alla företag och myndigheter under förra året och drygt två tredjedelar av dem fick information låst. 90 procent av de drabbade menade att deras förmåga att bedriva verksamheten påverkades negativt, 86 procent förlorade affärer och omsättning och snittkostnaden för åtgärder låg på 14 miljoner kronor medan verksamheten stod stilla i en månad.
Många företag tecknar därför cyberförsäkringar i förhoppningen om att – utan egen kostnad – kunna betala lösensumman som bedragarna kräver, få tillgång till krypteringsnyckeln och återfå låsta filer och system. Problemet är att cyberförsäkringar och betalda lösensummor sällan fungerar och ofta blir en kostsam historia.
Betalning – bara delar av informationen låses upp
Enligt The State of Ransomware betalar knappt hälften av de hackade företagen och organisationerna lösensumman, men de fick endast tillbaka 61 procent av sin data – en andel återställd data som dessutom är lägre än tidigare år. Endast fyra procent fick tillbaka all data. Andra undersökningar visar att 17 procent av alla som attackeras och betalar inte får tillbaka någonting alls.
Upplåst information går inte att lita på
80 procent av de som betalar lösensumma vid en gisslanattack blir attackerade igen, enligt en undersökning från säkerhetsföretaget Cybereason. Av de som attackerats igen misstänker hälften att det låg samma bedragare bakom den nya attacken något som indikerar att det i den upplåsta informationen finns skadlig kod kvar.
Cyberförsäkringar täcker sällan hela kostnaden
Även om försäkringen kan täcka själva lösensumman, är det få försäkringar som täcker mjuka faktorer som försämrade kund- och leverantörsrelationer eller ett skadat varumärke. Hur mycket affärerna har påverkats är dessutom svårt att avgöra, det kan vara i spannet marginellt till konkurs. Och betänk – betalar ert företag lösensumman och inte får igen data eller bara delar av den har ni betalat en försäkring som i princip inte ger någonting.
Dessutom kan försäkringsbolagens utredningar i sig bli en tidstjuv. It-systemen och informationen kan helt enkelt betraktas som en brottsplats som ska undersökas av försäkringsbolaget vilket ofta tar dyrbar uppstartstid.
Att investera i den egna motståndskraften – bästa försäkringen
Cyberförsäkringar och att betala lösensummor är alltså inte lösningen på problemet – organisationen behöver istället satsa på egen motståndskraft mot cyberattacker. Hur skapar man då en organisation som både har förmågan att skydda den viktigaste informationen och samtidigt är snabbt på fötter efter en attack?
Jag anser att ledningen behöver investera i att bygga upp konkreta kontinuitetsplaner och scenarion för hur en minsta livskraftig version av företaget eller myndigheten snabbt kan upprättas efter en attack. Stora delar av de pengar som läggs på cyberattackförsäkringar kan med fördel flyttas hit för att göra både kort- och långsiktig nytta. Som organisation måste ni därmed ta reda på och arbeta med att:
- Slå fast vad som är motorn i bolaget. Vilken information, kritiska processer och applikationer används och vilka servrar ligger de på?
- Värdera risker. Alltså, vilken information ska läggas extra energi och kraft på för att skydda?
- Skapa backuper som inte kan manipuleras och även skapa isolerade it-miljöer och nätverk.
- Bestämma hur man återläser data från backuper på ett sätt som inte gör att gisslanprogrammen fortsätter sprida sig.
- Slå fast hur man praktiskt sätter igång system igen efter att informationen blivit återläst.
- Bestämma hur och när organisationen tränar för en attack och återstart.
De bolag och myndigheter som investerar i den egna motståndskraften och kontinuerligt arbetar med dessa moment kommer att minimera tiden för återstart efter attacker från gisslanprogram och dessutom minska risken för att man smittar kunder eller partners. När nästa attack är ett faktum är organisationens interna motståndskraft så hög att effekterna blir till ett minimum.
Beda Grahn
VD för Kyndryl Sverige