Cybersäkerhet. Kunskapsdagen 17 november 2015

Transkript

1 Cybersäkerhet Kunskapsdagen 17 november 2015

2 Cybersäkerheten i Sverige Det är bråttom nu...

3 Cybersäkerheten i Sverige den dolda exponeringen Incidenter Risk Utgifter Antalet incidenter fortsätter att öka för varje år, men utgifterna ligger kvar på samma nivå. Detta betyder att riskexponeringen ökar! Observera att de globala utgifterna för cybersäkerhet ökade med 14 % under 2015! 3

4 Informationssäkerheten i världen Det globala sammanhanget trender och statistik

5 Vilka behöver vi skydda oss mot? Stater Hacktivister INSIDER! Cyberterrorister? Organiserad brottslighet 2015 PricewaterhouseCoopers LLP

6 Antalet säkerhetsincidenter fortsätter att öka I år upptäckte svarspersonerna i vår studie sammanlagt 42,8 miljoner säkerhetsincidenter, hela 48 % fler än ,8 miljoner 28,9 miljoner Detta motsvarar attacker per dag, varje dag. Och det är ändå bara de incidenter som upptäcktes. 6

7 Säkerhetsincidenterna medför höga och stigande kostnader Kostnaderna för att hantera och mildra effekterna av intrång ökar i takt med att säkerhetsincidenterna blir fler. Globalt sett uppskattades årets genomsnittliga rapporterade ekonomiska förlust till följd av cybersäkerhetsincidenter till 2,7 miljoner dollar, en ökning med 34 % sedan Det visar sig att stora förluster blir vanligare, ett uppseendeväckande men inte överraskande resultat: antalet företag som rapporterade ekonomiska förluster på 20 miljoner dollar eller mer var 92 % fler än

8 Informationssäkerheten i Sverige Trender och statistik

9 Cybersäkerheten i Sverige de främsta riskerna Säkerhetsstrategi Bara 36 % av kunderna i undersökningen har helt eller delvis infört ledningssystem för att hantera informationssäkerheten. 55 % av styrelserna i kundföretagen diskuterar inte frågor som rör cybersäkerhet regelbundet (strategi, status, finansiering etc). Endast 37 % av kunderna i undersökningen har klassificerat sin data. 36 % 55 % 37 % Hur stora risker utsätts företagen för (utan att veta om det) till följd av bristande övervakning från ledningens sida samt halvdana standarder, rutiner och kontrollförfaranden? Kunderna i undersökningen behöver effektivare mekanismer för hantering av cybersäkerheten. Det första steget mot en framgångsrik strategi för cybersäkerhet är att styrelsen fattar beslut om riskaptiten. En av de allra första punkterna i ett effektivt program för cybersäkerhet bör vara att identifiera kronjuvelerna data som måste skyddas till varje pris. Ett logiskt nästa steg är att utforma och genomföra en ändamålsenlig övervakning av dessa kronjuveler för att undvika att viktiga data hamnar i fel händer. Genom att utforma en uppsättning icketekniska resultat- och riskindikatorer som stöder den fastställda riskaptiten Kunskapsdagarna 2015 kan styrelsen sedan fortlöpande övervaka november 2015 denna viktiga och växande risk. 9

10 Cybersäkerheten i Sverige de främsta riskerna Säkerhetsåtgärder 0 % av kunderna i undersökningen har kapacitet att genomföra IT-forensiska undersökningar helt på egen hand. Endast 10 % av kunderna i undersökningen har helt integrerad kapacitet att möta en attack. Bara 27 % av kunderna i undersökningen övervakar aktivt sina tekniska system för att upptäcka dataförluster. 0 % 10 % 27 % Merparten av kunderna (55 %) anlitar externa leverantörer för IT-forensiska tjänster. Att låta de interna resurserna ägna sig åt det dagliga arbetet för cybersäkerhet och i övrigt förlita sig på extern sakkunskap är klokt om det är ett medvetet beslut. 63 % har begränsad kapacitet att möta en aktiv pågående attack. Har vi verkligen insett att det inte kommer att räcka att bara följa reglerna för att uppnå cybersäkerhet i framtiden? Många kunder bedriver någon form av övervakning, men eftersom många företag inte har fastställt vilka deras kronjuveler är (se föregående bild) kan den övervakning som finns vara otillräcklig. Ingår förmåga att förutse och skydda sig Görs det tillräckligt för att upptäcka mot cyberhot i kundernas modeller för försök till datastöld? Eller satsar man för cybersäkerhet? mycket (relativt sett) på att bevaka externt inkommande hot? 10

11 Sveriges farliga triangel

12 Cybersäkerheten i Sverige den farliga triangeln Är utgifterna för cybersäkerhet oförändrade eftersom det inte har funnits någon svensk Target och/eller Heartbleed-attack? Medverkar styrelserna aktivt, och ställer de rätt frågor? Händelse Risk Har vi tillräckligt många ITsäkerhetschefer med internationell erfarenhet som kan staka ut riktningen och utforma strategin? Styrelsen ITsäkerhetschefen 12

13 Att föregå med gott exempel

14 Brev till aktieägarna den 9 april 2014: Det kommer att bli en ständig och troligen evig kamp om att ligga steget före och tyvärr kommer vi inte att vinna vartenda slag. Företaget kommer att sätta av 250 miljoner dollar för cybersäkerhet i år, jämfört med 200 miljoner 2012, och utgifterna kommer att öka exponentiellt i framtiden. Jamie Dimon, vd för JP Morgan Chase Kunskapsdagarna 2015 september

15 Är det viktigt med cybersäkerhet? (Och varför skriver JP Morgans vd till sina aktieägare?) Vissa lyckas återhämta sig Marknadens reflexreaktion Effektiv krishantering Ineffektiv krishantering Handelsdagar efter incidenten Kunskapsdagarna 2015 Källa: The Impact of Catastrophes on Shareholder Value, Rory F. Knight & Deborah J. Pretty, Templeton College, University of Oxford, s

16 Wall Street Journal den 3 augusti 2015 I en kvartalsdeklaration till tillsynsmyndigheten uppgav banken att dess årsbudget för cybersäkerhet förväntas bli nästan dubbelt så stor i år. Därmed skulle årets utgifter bli cirka 500 miljoner dollar, mot 250 miljoner Jamie Dimon, vd för JP Morgan Chase Kunskapsdagarna 2015 september

17 Var börjar man då...

18 Fem strategiska steg mot ett ändamålsenligt program för cybersäkerhet Se till att strategin för cybersäkerhet överensstämmer med verksamhetsmålen och har en strategisk finansiering Finansiering Slå fast vilka era mest värdefulla informationstillgångar är och prioritera skyddet av dessa viktiga data Kronjuveler Lär er förstå era motståndare deras motiv, resurser och sätt att attackera för att reducera tidsåtgången mellan upptäckt och reaktion Hotanalys Gör ett ordentligt grundarbete! Dataklassificering, sårbarhetshantering, identitets- och åtkomsthantering inklusive obegränsade åtkomsträttigheter, borttagande av lokala konton etc Grunderna Bedöm säkerhetssituationen hos tredje parter och företag i leveranskedjan, och se till att de tillämpar de policyer och rutiner som ni angett. Tredjepartsrisk 18

19 Den enda morot som behövs...

20 Alla vill tillhöra det vinnande laget! Välj möjligheter i stället för faror Vissa lyckas återhämta sig Marknadens reflexreaktion Effektiv krishantering Ineffektiv krishantering Handelsdagar efter incidenten Kunskapsdagarna 2015 Källa: The Impact of Catastrophes on Shareholder Value, Rory F. Knight & Deborah J. Pretty, Templeton College, University of Oxford, s

21 Kontaktuppgifter Magnus Karmborg +46 (0) PricewaterhouseCoopers i Sverige AB. Att helt eller delvis mångfaldiga innehållet i detta dokument är förbjudet enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Förbudet gäller alla former av mångfaldigande genom tryckning, kopiering etc.