"Företagskulturen avgörande för god cybersäkerhet”
Varje år ökar cyberhoten och tillverkningsindustrin är den mest utsatta sektorn. Säkerhetsexperten Hanna Linderstål berättar hur ditt företag kan hantera digitala risker, förebygga hot och skapa långsiktig konkurrenskraft.
Text: Malin Letser
Sverige är ett av världens mest digitaliserade länder och utvecklingen går snabbt fram i alla branscher, inte minst inom trä- och tillverkningsindustrin. Samtidigt ökar cyberhoten för varje år, och de blir alltmer avancerade. Det berättar Hanna Linderstål, vd och grundare av Earhart Business Protection Agency.
– Det finns flera typer av hotbilder mot Sverige och svenska företag. Dels har vi främmande stat som vill störa svensk stabilitet, dels har vi enskilda hackers och organiserade ligor som vill störa svensk ekonomi och konkurrenskraft, säger hon.
Vad gäller attacker mot företag är tillverkningsindustrin den mest utsatta sektorn, följt av IT, transport och distribution.
Tillverkningsindustrin är extra utsatt eftersom det kostar oerhört mycket att ha ett produktionsstopp. Av den anledningen tenderar de här företagen att betala lösensumman, de har helt enkelt inte råd att stå still. Utpressningsattackerna ökade med enorma volymer förra året och vi kommer att se ännu fler av dem i år.
Utvecklingen ställer höga krav på motståndskraften i organisationer, och även om Sverige är framstående inom digitaliseringen är kunskapsläget kring säkerheten ojämn, menar Hanna Linderstål.
– Även de företag som är väl rustade behöver hela tiden utvecklas. Se bara vad som hände i början av året när it-leverantören Tietoevry utsattes för en cyberattack som drabbade 120 myndigheters personalsystem och även många andra företag.
Ju mer robust organisation, desto mindre risk att bli utsatt. Och det här är precis vad Hanna Linderstål hjälper företag med. Hon är även en internationellt eftertraktad föreläsare och utsågs till årets säkerhetsprofil 2024.
– Det går inte att skydda sig helt mot cyberattacker, men det går att skapa motståndskraft och att ha rutiner som minimerar skadorna, säger hon.
Jobba med organisationskulturen
Hennes mest grundläggande råd för att bygga upp motståndskraft är att jobba med kulturen inom organisationen.
– Det krävs en företagskultur där alla vågar rapportera om något har gått fel, här är det av största vikt att ledningen föregår med gott exempel.
Hanna Linderstål ger ett exempel från en föreläsning ute hos en kund nyligen, där CFO:n reste sig upp och berättade att hon två veckor tidigare hade råkat klicka på ett phishing-mejl och direkt rapporterat om sitt misstag.
– Hon berättade öppet om sitt misstag och hur lätt hänt det är att bli lurad, det kan hända vem som helst. Lyckas man skapa en sådan företagskultur minskar risken att bli utsatt för ett intrång. Blame-game måste undvikas till hundra procent, säger Hanna Linderstål och tillägger:
– Det är komplicerat i dag, för alla medarbetare har tillgång till olika system och informationsflöden och det finns stor risk att någon klickar på ett phishing-mejl. Ett intrång är bara ett klick bort.
Utbilda personalen
Ett annan grundläggande råd är att utbilda hela personalen i informationssäkerhet och att se över alla kritiska processer. Hanna Linderstål understryker också vikten av att aldrig låta medarbetare koppla upp personliga enheter på företagets nätverk, att ha långa och svåra lösenord och att alltid ha en tvåstegsverifiering för alla konton.
– Det är knöligt och krångligt, men det är det enda sättet att skydda sig just nu.
Blickar vi framåt finns det all anledning att fortsätta jobba förebyggande, för samtidigt som AI-teknologin, VR (virtual reality), och XR, (extended reality), skapar nya möjligheter och kan effektivisera många branscher, ökar det också riskerna för nya typer av hot.
– Med AI är det lätt hänt att läcka företagshändelser utan att ens veta om det. Och när IT och verkligheten integreras med varandra genom XR når riskerna en ny nivå.
Identifikation på mindre än tio sekunder
Hanna Linderstål berättar om en forskningsstudie vid University of California-Berkeley, som visar att man, utifrån ett virtuellt verklighetsspel, kan identifiera specifika människor på mindre än tio sekunder – detta genom biomekaniken i personernas rörelse.
– Resultatet visade att det går att identifiera enskilda individer ur en pool på mer än 50 000 personer med 94,33 procents säkerhet, från 100 sekunders rörelsedata. Det är mer exakt än de flesta fingeravtrycksläsare som finns i dag och är viktigt att känna till för den personliga integriteten. Men också för insikten om hur lätt det är att identifiera personer utifrån rörelsedata, säger hon.
Med andra ord – arbetet med cybersäkerhet måste hela tiden gå hand i hand med den tekniska utvecklingen.
– Cybersäkerhet är inte en handbok som du har i bokhyllan. Det är en föränderlig värld där hotbilden och aktörerna ändras hela tiden. Och din hotbild kommer att ändras utifrån dina medarbetares beteende, säger hon.
- Identifiera era kritiska processer och ha en plan för när det inte fungerar.
- Se till att alla medarbetare har långa och svåra lösenord som är olika på varje tjänst. De ska inte bytas var tredje månad utan endast om något läcker.
- Ha en tvåstegsverifiering på alla konton.
- Låt inte medarbetare koppla upp personliga enheter på företagets nätverk.
- Spara aldrig lösenord i en browser.
Cyberhoten fortsätter att öka i snabb takt och flera oberoende undersökningar visar att Sverige ligger efter i arbetet med säkerheten. Enligt Global Security Index ligger vi på 26:e plats globalt och på 15:e plats i Europa. Listan på de sektorer som är mest utsatta för cyberhot toppas av tillverkningsindustrin, följt av IT och transport och distribution.
Källa: NTT Security