Den snabba tekniska utvecklingen påverkar i allra högsta grad företagets affärsverksamhet. Nästa generations treasury måste arbeta ännu mer i realtid med högintegrerade och automatiserade system för att hålla jämna steg med den föränderliga digitala tekniken. När digitaliseringen ökar och vi blir mer och mer uppkopplade med olika system ökar också riskerna för att bli utsatt för cyberhot.

Vi tog en pratstund med Jan Olsson från polisen och diskuterade digitalisering och cybersäkerhet. Jan jobbar som kriminalkommissarie på Swedish Cybercrime Center SC3 på Polismyndigheten och medverkar som talare på årets Nordic Cash & Treasury Management i september

Automatisering kan på bästa sätt också användas för att reducera risker och cyberhot? – hur bör företag jobba med detta tycker du?

Att använda sig av vassa algoritmer (t.ex. Apple Pay) kan minska riskerna rejält och nästan utesluta annan verifiering/autentisering medan skapandet av användarvänliga betalappar utan att utgå från säkerheten och bygga produkten runt den, kan vara direkt farligt. Man måste alltid utgå från minst tvåfaktors autentisering eftersom det gång på gång visat sig att till exempel i princip alla enfaktors biometriska metoder går att kringgå.

Har du några andra exempel på hur det kan se ut eller kanske hur det bör se ut i en perfekt värld?

Utöver det jag tidigare nämnt så bör företag tänka på att;

– Ansikts-tokens, fingeravtryck osv stjäls i miljontals i parti och minut.

– Fingerprintslösningar, där användarprofiler ihop med användarens dator används för verifiering/autentisering, stjäls via dataintrång och säljs i 100.000-tals till de som vill handla i någon annans namn hos de stora eCommerce-företagen.

I grunden handlar det som alltid när man som företag sitter med utvecklaren och balanserar användarvänlighet med säkerhet, att tänka längre. Dålig säkerhet på grund av marginellt ökad användarvänlighet kan skada varumärket mer.

Hur ser trenderna ut för cyberhot – har de ökat eller minskat under pandemin?

Jäkligt kul fråga: Eftersom vi sitter hemma och jobbar så har antalet minuter vi exponerar oss på nätet, bakom klart mycket sämre brandväggar än vi har på arbetsplatsen, ökat lavinartat. Bara av den anledningen så ökar riskerna naturligtvis för angrepp utifrån, både riktade men även latenta (maskar som alltid patrullerar nätet efter sårbara Routrar mm). Däremot kan jag inte med bestämdhet se att antalet angrepp den vägen mot privatpersoner ökat under pandemin ännu vilket i och för sig INTE innebär att så är fallet då så lite anmäls till polisen. Jag förutsätter att det ökat om än ej katastrofalt. Ransomware, DDOS och (r)DDOS har ökat rejält mot företagen under 2020-2021 utan tvekan men kan endast till en del förklaras av pandemin (angrepp mot sjukhus, AstraZeneca och liknande företag). Antalet phishing-angrepp mot Sverige ökade 5–700% 2020 (3.1 miljoner svenskar fick minst ett enligt SCB) MEN följdbrotten av dem (bedrägerier osv) ökade INTE i Sverige (men i vissa andra länder). Kanske beror det delvis på att vi så länge och ihärdigt kört Awareness-kampanjer mot att klicka på allt i ett mail, men vem vet…

Vishingen där man ringer äldre och säger att de ska vaccineras och att de behöver uppge bankID för att identifiera sig ökar (100–200 st i år) och innebär stora ekonomiska konsekvenser för den drabbade även om antalet är marginellt i förhållande till att det anmäls 200.000 bedrägerier i övrigt per år.

Går det att skapa en långsiktigt hållbar säkerhetskultur inom företagen tror du?

Ett säkerhets tänk, enligt mig, går ut på ett antal byggblock:

Eftersom detta är en del av en längre utläggning måste jag begränsa mig till att personalen är nyckeln till säkerhet och samtidigt de kriminellas nyckel för angrepp. Vad som minst bör göras åt det är:

– Awareness-utbilda personalen (t.ex. micro utbildningar och PEN-tester). Ofta kring vikten att verifiera avsändaren innan man öppnar bifogade filer i mail/sms eller klickar på länkar.

– Skapa policys för vad som ska ske om en begäran sticker ut eller t.ex. avser en lite ovanlig utlandstransaktion eller stor summa eller…fysisk 2FA osv.

– Öva incidenthanteringsplanen för att personalen ska bli deltagande i säkerhetstänket.

– Cyberhygien: patcha alla system hela tiden, använd säkra personliga lösenord, vilken personal har access till vilken nivå och varför det? detta ska alltid följas upp. Se till att inte tidigare personal fortfarande har access till system i företagen.

Vad är ditt bästa tips för att hantera cyberhoten i praktiken?

Förutom ovan, men kort:

–          God IT-arkitektur, dvs väl uppbyggda it-system som interagerar bra och inte öppnar för angrepp speciellt om nya system implementeras eller övertas vid t.ex. företagsövertag.

–          Outsourcing, vad läggs ut i molnet och vad lagras inhouse?, vilka partners har access till vilken del av era system och hur god säkerhet har dessa partners?

–          Övervakningssystem, behöver väl knappast utveckla vikten av det.

–          Incidenthantering, skapa en incidenthanteringsplan värd namnet som också övas. Före-under-efter ett angrepp ska finnas i en 1-2-3 plan för vad som ska ske eftersom sekunderna kan vara avgörande för liten skada eller för att det innebär konkurs. I vilket skede ska vilket externt säkerhetsföretag kallas in eller har man den resursen inhouse? Har man den inte inhouse kanske extern aktör även ska vara med vid skapandet av incidenthanteringsplanen åtminstone.

–          Awareness och cyberhygien.

Lyssna till Jan Olsson som deltar 7 september under rubriken Cyberkriminalitet – ett reellt hot för ditt företag!