EY refererer til den globale organisation og kan henvise til en eller flere af medlemsfirmaerne i Ernst & Young Global Limited, som hver især er en separat juridisk enhed. Ernst & Young Global Limited, som er et engelsk ‘company limited by guarantee’, yder ikke kunderådgivning.
Relateret artikel
De 5 vigtigste ting SMV’erne skal vide for at blive klar til NIS2
Mere end en tredjedel af de virksomheder, der rammes af NIS2-direktivet, når det er fuldt indfaset i oktober 2024, ligger i SMV-segmentet.
Hvad vi skal være bekymrede for?
Cyberkriminelle bruger GenAI til at efterligne mennesker, data og mønstre med en nøjagtighed, der tidligere var umulig.
Langt de fleste cyberangreb starter med en phishing mail, hvor målet er at skaffe sig adgang til en virksomheds systemer. Typisk sker det ved, at en medarbejder kommer til at klikke på noget skadelig kode, der kan kompromittere virksomhedens data. Eller ved at man lokkes til at afsløre passwords og adgangskoder, den kriminelle kan bruge til at skaffe sig adgang. En anden metode til at skaffe sig adgang er brute force, hvor de kriminelle bruger maskinkraft til at forsøge at gætte passwords.
Med de nye generative AI-værktøjer er det blevet meget lettere for de kriminelle at lave troværdige phishing mails. Men nu kan de også ved hjælp af AI lave troværdige stemmeefterligninger, kreere falske identiteter og med afsæt i de informationer og billeder, der ligger på virksomhedens sociale profil endda lave deep fakes af direktøren og andre ansatte. Alt sammen noget, der er med til at gøre det sværere at opdage, at man er udsat for et phishing-forsøg.
AI betyder også, at de kriminelle kan øge mængden af angreb massivt. AI-værktøjer kan bruges til på kort tid at fabrikere store mængder skadelig malware og intensivere den maskinkraft, der bruges til brute forcing.
Vi skal altså i stigende grad vænne os til, at vi ikke kan stole på den information, vi modtager. Hvis noget lyder for godt til at være sandt, så er det sandsynligvis for godt til at være sandt. Et klassisk råd i den forbindelse er, at hvis du er det mindste i tvivl om en henvendelses ægthed, så tag kontakt til afsenderen ad en anden kanal. Har du fået en mail - så ring. Er du blevet ringet op - så skriv en mail.
Den gode nyhed er, at de kriminelle går efter de lavthængende frugter, og du kan hjælpe dig selv ved at gøre det mere besværligt at angribe dig end din nabo.
Hvordan kommer du foran din nabo?
Der er en omfattende regulering af cybersikkerhed på vej, der indfører krav om, at organisationer i en række sektorer, blandt andet fødevarer, transport og sundhed, etablerer en praksis for styring af deres informationssikkerhed, der blandt andet involverer risikostyring, monitorering, uddannelse af ledelse og medarbejdere og styring af leverandørkæden. Og særligt det med at have styr på leverandørkæden bliver afgørende for virksomhedernes licence to operate.
For mange virksomheder betyder det udvidede leverandørkædeansvar, at de vil opleve at blive bedt om at dokumentere, at de har styr på deres cybersikkerhedspraksis for at blive valgt som samarbejds- og leverancepartnere.
Hvor skal jeg starte?
Cybersikkerhed og cyberrisici bør betragtes – og behandles – som andre forretningsstrategiske risici. Det er en god ide at læne sig op ad et rammeværk, som fx ISO, NIST eller CIS, da det er en let tilgængelig måde at strukturere sit cybersikkerhedsarbejde på.
Men man kan også starte med at stille sig selv en række vigtige spørgsmål:
- Ved vi, hvilke data og informationer der understøtter vores mest forretningskritiske aktiviteter?
- Hvilke konsekvenser har det for forretningen, hvis data og informationer, der understøtter vores forretningskritiske aktiviteter, ikke er tilgængelige, ændres eller lækkes?
- Er vi overbevist om, at vores informationer er tilstrækkeligt beskyttet i forhold til kendte trusler?
- Har vi i topledelsen defineret målsætninger, strategier eller politikker på cyber- og informationssikkerhedsområdet, som vi aktivt prioriterer og støtter?
- Har vi en sikkerhedsorganisation, der er forankret i topledelsen?
- Modtager vi løbende rapportering om status på strategier og målsætninger inden for cyber- og informationssikkerhedsområdet?
- Har topledelsen taget stilling til myndighedens eller virksomhedens risikoappetit?
- Har vi gjort os klart, at topledelsen selv er et oplagt mål for cyberangreb?
God sikkerhedsadfærd handler ikke om, hvad vi ved, men om hvad vi gør. God cybersikker ledelsesadfærd handler om at kende sin virksomhed og stille de rigtige spørgsmål, så man kan dokumentere, at man arbejder strategisk og proaktivt med virksomhedens cybersikkerhed.
Den strategiske tilgang til cybersikkerhedsarbejdet er et win-win. Virksomheden får et højere sikkerhedsniveau og øger samtidig sin konkurrencemæssige fordel i markedet.
Kontakt
Mille Sievert Østerlund, Director in Cybersecurity, tlf. 2529 6965