Går det att undvika att bli hackad i en uppkopplad värld?
Svaret är förstås nej. Men attacken mot Coop med flera har fått många att förstå numera är nästan alla organisationer är helt beroende av IT. Attacken mot Coop, ur butiksägarens perspektiv blir en mardröm. Allt som hen kan styra över är på plats i form av varor, lokaler, personal och marknadsföring, men IT-systemet hanteras centralt utanför ägarens kontroll.
När då en mjukvara, som Coops underleverantör valt drabbas av en supply chain attack som gör samtliga butikers kassasystem otillgängligt slår det direkt mot alla butiker samtidigt. När det inte går att betala så måste butiken hålla stängt. Just nu har det snart gått tre dygn och det är inte löst än.
Vad kan vi då lära oss av detta så att det aldrig kommer hända igen?
Tyvärr finns det ingen helhetslösning, men dessa åtgärder tillsammans minskar risken betydligt för alla organisationer
-I bästa fall: Få ledningen att förstå att ni måste ta informationssäkerhet och dataskydd (GDPR) på allvar. Investera i att skapa ett systematiskt arbetssätt, få in informationssäkerhet och dataskydd som en integrerad del i ert verksamhetsledningssystem. Se exempelvis https://lnkd.in/dgQytVY
Om ni inte kan prioritera det, just nu, så får ni en quickfix med tre aktiviteter
1. Gör en kontinuitetsplan
Om system X är otillgängligt, vad gör vi då? Finns det manuella rutiner, ska vi ha ett separat system “stand by?”. Hur mycket data kan vi förlora om vi läser tillbaka senaste säkerhetskopian? Hur lång tid får återläsningen ta?
2. Utbilda medarbetarna i informationssäkerhet och cybersäkerhet
I detta fallet hade det knappast hjälpt, men det vanligaste sättet att bli drabbad av ransomware är att medarbetarna klickar på länkar eller surfar på fel sidor. Om de vet hur hackare agerar, vad de är ute efter och vet hur de ska skydda sig själva och företaget så kan de bli 1:a linjens försvar i stället
3. Ställ krav på leverantörer och indirekt deras leverantörer
GDPR kräver att du som personuppgiftsansvarig skyddar dina kunder och medarbetares personuppgifter, om de inte garanterar detta ska du välja en leverantör som uppfyller kraven. Detta omfattar självklart också krav på leverantörers och underleverantörers informationssäkerhetsarbete.
IMY:s dom mot 1177-haveriet visar ansvaret tydligt, som totalt genererade ca 14 miljoner i sanktionsavgifter.
Ser tyvärr en framtid där detta blir mycket vanligare.
Framtida attacker kommer få stora konsekvenser för samhället och konsumenter då få styrelser och ledningsgrupper har förstått hur stort IT-beroende de ha. Men det går att hantera, om man styckar elefanten och gör rätt åtgärder.
