Cybersäkerhet

Cybersäkerhet
Kunskapsdagen
17 november 2015
Cybersäkerheten i Sverige
Det är bråttom nu ...
Kunskapsdagarna 2015
PwC
november 2015
Cybersäkerheten i Sverige – den ”dolda”
exponeringen
Incidenter
Risk
Utgifter
Antalet incidenter fortsätter att öka för varje år, men utgifterna ligger kvar på
samma nivå. Detta betyder att riskexponeringen ökar!
Observera att de globala utgifterna för cybersäkerhet ökade med 14 % under 2015!
Kunskapsdagarna 2015
PwC
november 2015
3
Informationssäkerheten i världen
Det globala sammanhanget – trender och
statistik
Kunskapsdagarna 2015
PwC
november 2015
Vilka behöver vi skydda oss mot?
Stater
Hacktivister
INSIDER!
Cyberterrorister?
Kunskapsdagarna 2015
PwC
Organiserad
brottslighet
november 2015
© 2015 PricewaterhouseCoopers LLP
Antalet säkerhetsincidenter fortsätter att öka
I år upptäckte svarspersonerna i vår
studie sammanlagt 42,8 miljoner
säkerhetsincidenter, hela 48 % fler än
2013.
42,8 miljoner
28,9 miljoner
Detta motsvarar
117 339
attacker per dag, varje dag. Och det
är ändå bara de incidenter som
upptäcktes.
Kunskapsdagarna 2015
PwC
november 2015
6
Säkerhetsincidenterna medför höga och stigande
kostnader
Kostnaderna för att hantera och mildra
effekterna av intrång ökar i takt med att
säkerhetsincidenterna blir fler.
Globalt sett uppskattades årets genomsnittliga rapporterade ekonomiska förlust till
följd av cybersäkerhetsincidenter till
2,7 miljoner dollar, en ökning med 34 %
sedan 2013.
Det visar sig att stora förluster blir vanligare,
ett uppseendeväckande men inte överraskande
resultat: antalet företag som rapporterade
ekonomiska förluster på 20 miljoner dollar
eller mer var 92 % fler än 2013.
Kunskapsdagarna 2015
PwC
november 2015
7
Informationssäkerheten i Sverige
Trender och statistik
Kunskapsdagarna 2015
PwC
november 2015
Cybersäkerheten i Sverige – de främsta riskerna
Säkerhetsstrategi
Bara 36 % av kunderna i
undersökningen har helt eller
delvis infört ledningssystem
för att hantera informationssäkerheten.
55 % av styrelserna i
kundföretagen diskuterar inte
frågor som rör cybersäkerhet
regelbundet (strategi, status,
finansiering etc).
Endast 37 % av kunderna i
undersökningen har
klassificerat sin data.
36 % 55 % 37 %
Hur stora risker utsätts företagen för
(utan att veta om det) till följd av
bristande övervakning från ledningens
sida samt halvdana standarder, rutiner
och kontrollförfaranden?
Kunskapsdagarna 2015
PwC
Kunderna i undersökningen behöver
effektivare mekanismer för hantering av
cybersäkerheten.
Det första steget mot en framgångsrik
strategi för cybersäkerhet är att styrelsen
fattar beslut om riskaptiten.
Genom att utforma en uppsättning icketekniska resultat- och riskindikatorer
som stöder den fastställda riskaptiten
kan styrelsen sedan fortlöpande övervaka
denna viktiga och växande risk.
En av de allra första punkterna i ett
effektivt program för cybersäkerhet bör
vara att identifiera ”kronjuvelerna” –
data som måste skyddas till varje pris.
Ett logiskt nästa steg är att utforma och
genomföra en ändamålsenlig
övervakning av dessa kronjuveler för att
undvika att viktiga data hamnar i fel
händer.
november 2015
9
Cybersäkerheten i Sverige – de främsta riskerna
Säkerhetsåtgärder
0 % av kunderna i
undersökningen har kapacitet
att genomföra IT-forensiska
undersökningar helt på egen
hand.
Endast 10 % av kunderna i
undersökningen har helt
integrerad kapacitet att möta
en attack.
Bara 27 % av kunderna i
undersökningen övervakar
aktivt sina tekniska system
för att upptäcka
dataförluster.
0 % 10 % 27 %
Merparten av kunderna (55 %) anlitar
externa leverantörer för IT-forensiska
tjänster.
Att låta de interna resurserna ägna sig åt
det dagliga arbetet för cybersäkerhet och
i övrigt förlita sig på extern sakkunskap
är klokt om det är ett medvetet beslut.
Kunskapsdagarna 2015
PwC
63 % har begränsad kapacitet att möta en
aktiv pågående attack.
Har vi verkligen insett att det inte
kommer att räcka att bara följa reglerna
för att uppnå cybersäkerhet i framtiden?
Ingår förmåga att förutse och skydda sig
mot cyberhot i kundernas modeller för
cybersäkerhet?
Många kunder bedriver någon form av
övervakning, men eftersom många
företag inte har fastställt vilka deras
kronjuveler är (se föregående bild) kan
den övervakning som finns vara
otillräcklig.
Görs det tillräckligt för att upptäcka
försök till datastöld? Eller satsar man för
mycket (relativt sett) på att bevaka
externt inkommande hot?
november 2015
10
Sveriges ”farliga triangel”
Kunskapsdagarna 2015
PwC
november 2015
Cybersäkerheten i Sverige – den ”farliga
triangeln”
Är utgifterna för
cybersäkerhet oförändrade
eftersom det inte har funnits
någon svensk Target och/eller
Heartbleed-attack?
Medverkar styrelserna aktivt,
och ställer de rätt frågor?
Styrelsen
Kunskapsdagarna 2015
PwC
Händelse
Har vi tillräckligt många ITsäkerhetschefer med
internationell erfarenhet som
kan staka ut riktningen och
utforma strategin?
Risk
ITsäkerhetschefen
november 2015
12
Att föregå med gott exempel
Kunskapsdagarna 2015
PwC
november 2015
Brev till aktieägarna den 9 april 2014:
”Det kommer att bli en ständig och troligen evig kamp om
att ligga steget före – och tyvärr kommer vi inte att vinna
vartenda slag.”
”Företaget kommer att sätta av 250 miljoner dollar för
cybersäkerhet i år, jämfört med 200 miljoner 2012, och
utgifterna kommer att öka exponentiellt i framtiden.”
Jamie Dimon, vd för JP Morgan Chase
Kunskapsdagarna 2015
PwC
september 2014
14
14
Är det viktigt med cybersäkerhet? (Och varför skriver JP Morgans
vd till sina aktieägare?)
Vissa lyckas återhämta sig
Marknadens
reflexreaktion
Effektiv
krishantering
Ineffektiv
krishantering
Handelsdagar efter incidenten
Kunskapsdagarna 2015
PwC
Källa: ”The Impact of Catastrophes on Shareholder Value”, Rory F. Knight & Deborah J.
Pretty, Templeton College, University of Oxford, s. 3.
15
Wall Street Journal den 3 augusti 2015
I en kvartalsdeklaration till tillsynsmyndigheten uppgav
banken att dess årsbudget för cybersäkerhet förväntas bli
nästan dubbelt så stor i år. Därmed skulle årets utgifter bli
cirka 500 miljoner dollar, mot 250 miljoner 2014.
Jamie Dimon, vd för JP Morgan Chase
Kunskapsdagarna 2015
PwC
september 2014
16
16
Var börjar man då...
Kunskapsdagarna 2015
PwC
november 2015
Fem strategiska steg mot ett ändamålsenligt
program för cybersäkerhet
1
Se till att strategin för cybersäkerhet överensstämmer med verksamhetsmålen och
har en strategisk finansiering
Finansiering
2
Slå fast vilka era mest värdefulla informationstillgångar är och prioritera skyddet
av dessa viktiga data
Kronjuveler
3
Lär er förstå era motståndare – deras motiv, resurser och sätt att attackera – för
att reducera tidsåtgången mellan upptäckt och reaktion
Hotanalys
4
Gör ett ordentligt grundarbete! Dataklassificering, sårbarhetshantering,
identitets- och åtkomsthantering inklusive obegränsade åtkomsträttigheter,
borttagande av lokala konton etc
Grunderna
5
Bedöm säkerhetssituationen hos tredje parter och företag i leveranskedjan, och se
till att de tillämpar de policyer och rutiner som ni angett.
Tredjepartsrisk
Kunskapsdagarna 2015
PwC
november 2015
18
Den enda morot som behövs ...
Kunskapsdagarna 2015
PwC
november 2015
Alla vill tillhöra det vinnande laget!
Välj möjligheter i stället för faror
Vissa lyckas återhämta sig
Marknadens
reflexreaktion
Effektiv
krishantering
Ineffektiv
krishantering
Handelsdagar efter incidenten
Kunskapsdagarna 2015
PwC
Källa: ”The Impact of Catastrophes on Shareholder Value”, Rory F. Knight & Deborah J.
Pretty, Templeton College, University of Oxford, s. 3.
20
Kontaktuppgifter
Magnus Karmborg
magnus.karmborg@se.pwc.com
+46 (0)72 584 99 04
© 2014 PricewaterhouseCoopers i Sverige AB. Att helt eller delvis mångfaldiga innehållet i detta dokument är förbjudet enligt lagen (1960:729) om upphovsrätt till
litterära och konstnärliga verk. Förbudet gäller alla former av mångfaldigande genom tryckning, kopiering etc.