Blogg: Sikkerhetskultur i en digital verden

Reduksjon av menneskelig svikt i kampen mot cyberkriminalitet

Cyberangrep kommer til å berøre deg og din virksomhet på ett eller annet tidspunkt. Spørsmålet blir om virksomheten har etablert en sterk sikkerhetskultur med varsomhet, bevissthet og ansvar innen det skjer. 
For å lykkes med sikkerhetsarbeidet, er det viktig med en helhetlig tilnærming der man ser sammenhengene mellom hvordan menneskelige, teknologiske og organisatoriske forhold påvirker sikkerheten. I krysningspunktet av disse tre elementene finner vi begrepet "sikkerhetskultur" - et organisatorisk miljø hvor bevissthet, holdninger og praksis omkring sikkerhet er integrert i alle aspekter av virksomhetens daglige drift og er en felles verdi for alle ansatte. Kulturendring er en kompleks oppgave som krever vedvarende og koordinert innsats gjennom en rekke komplementerende initiativer.
Cyberkriminalitet er en reell og vedvarende trussel 

Fremveksten av World Wide Web (WWW) og den økte digitaliseringen har fundamentalt forandret måten vi arbeider og samhandler på. På relativt kort tid har forholdet vårt til informasjonsteknologi utviklet seg fra å være sporadisk til å bli en uunnværlig del av våre liv - både personlig og profesjonelt. Denne avhengigheten har samtidig skapt muligheter for internettbrukere med kriminelle interesser. Som en konsekvens har "cyberkriminalitet" blitt en av de raskest voksende formene for moderne kriminalitet. I dagens digitaliserte verden er cyberkriminalitet en reell og vedvarende trussel som berører enkeltpersoner, virksomheter og organisasjoner over hele verden, hele tiden. 

I en artikkel publisert av Harvard Business Review fremkommer det at antall cyberangrep økte med 20 % fra 2022 til 2023 og at antall cyber-ofre doblet seg i samme periode. I en rapport publisert av IBM er det estimert at den gjennomsnittlige kostnaden av et cyberangrep i 2023 var USD 4,45 millioner, tilsvarende 47 millioner norske kroner. I tillegg kan disse hendelsene blant annet medføre konsekvenser for virksomhetens strategier og konkurransefortrinn, tillit og omdømme, og for personvernet.

De ovennevnte faktaene belyser en annen bekymringsverdig problemstilling - nemlig manglende organisatorisk kompetanse innenfor cyber- og informasjonssikkerhet. Med andre ord, mangelfull organisatorisk evne til å forstå og beskytte seg mot denne kriminaliteten. Det mange referer til som et "race" mellom cyberkriminelle og virksomheter, ser nå ut til å være ledet av de kriminelle. 

En av våre største sårbarheter er den menneskelige faktoren

Det er lett å tenke på cyberangrep som noe som skjer på avstand - et angrep utført av anonyme hackere med avansert teknologi på en server lokalisert langt fra deg og din arbeidshverdag. Sannheten er at den største sårbarheten er nærmere enn vi tror. Den ligger hos deg som leser dette innlegget og meg som skriver det - den ligger i menneskelig svikt. Ifølge en studie av World Economic Forum er opptil 95% av alle vellykkede cyberangrep et resultat av menneskelige feil eller svikt.

Noe av det viktigste organisasjoner kan gjøre for å redusere omfanget av cyberangrep og andre sikkerhetshendelser, er derfor å redusere mengden av menneskelige feil og svikt. Dette gjøres gjennom å endre ansattes digitale adferd. Det vil si å endre hvordan ansatte interagerer med internett og digitale verktøy på daglig basis. For organisasjoner flest ønsker man å bevege seg fra en nåsituasjon preget av naivitet og uvitenhet, til en fremtidig situasjon preget av varsomhet, bevissthet og ansvar.

Hvordan oppnår man dette? Ved å bygge en sterk sikkerhetskultur. Høres greit nok ut det, eller? Vel, egentlig ikke.  

Noe av det vanskeligste en virksomhet kan begi seg ut på er kulturendring. En bedriftskultur kan ofte beskrives som et sammensurium av individuelle adferder, holdninger og verdier preget av et lappeteppe av ulike organisatoriske initiativer innen mange ulike temaer. For å påvirke bedriftskulturen i retning "cyber- og informasjonssikkerhet" kreves kontinuerlig innsats bestående av enkeltstående og komplementerende initiativer.

Det kan, som presisert i dette innlegget, være ekstremt kostbart å etterlate "cyber- og informasjonssikkerhet" til tilfeldighetene når realiteten er at fremtiden ikke er tilfeldig, den er forutsigbar - cyberangrep kommer til å berøre deg og din virksomhet. Spørsmålet blir da: til hvilken grad er du villig til å la det skje? Og hva er akseptabelt risikonivå for bedriften?

Hvordan kan vi hjelpe din virksomhet?

Med vår tverrfaglige ekspertise innen sikkerhet, er vi i BDO klare til å støtte din virksomhet med å styrke sikkerhetsarbeidet. BDO tilbyr skreddersydde programmer for opplæring og bevisstgjøring innen sikkerhet, som kan tilpasses og skaleres basert på den enkelte virksomhets behov. Våre konsulenter har bistått både store og små virksomheter innenfor et bredt spekter av ulike bransjer, og ønsker å utnytte sin kompetanse og brede erfaring til å hjelpe enda flere.

Skrevet av: Kaia Bjørnland


Les mer om våre tjenester her