Cybersäkerhet Kunskapsdagen 17 november 2015 Cybersäkerheten i Sverige Det är bråttom nu ... Kunskapsdagarna 2015 PwC november 2015 Cybersäkerheten i Sverige – den ”dolda” exponeringen Incidenter Risk Utgifter Antalet incidenter fortsätter att öka för varje år, men utgifterna ligger kvar på samma nivå. Detta betyder att riskexponeringen ökar! Observera att de globala utgifterna för cybersäkerhet ökade med 14 % under 2015! Kunskapsdagarna 2015 PwC november 2015 3 Informationssäkerheten i världen Det globala sammanhanget – trender och statistik Kunskapsdagarna 2015 PwC november 2015 Vilka behöver vi skydda oss mot? Stater Hacktivister INSIDER! Cyberterrorister? Kunskapsdagarna 2015 PwC Organiserad brottslighet november 2015 © 2015 PricewaterhouseCoopers LLP Antalet säkerhetsincidenter fortsätter att öka I år upptäckte svarspersonerna i vår studie sammanlagt 42,8 miljoner säkerhetsincidenter, hela 48 % fler än 2013. 42,8 miljoner 28,9 miljoner Detta motsvarar 117 339 attacker per dag, varje dag. Och det är ändå bara de incidenter som upptäcktes. Kunskapsdagarna 2015 PwC november 2015 6 Säkerhetsincidenterna medför höga och stigande kostnader Kostnaderna för att hantera och mildra effekterna av intrång ökar i takt med att säkerhetsincidenterna blir fler. Globalt sett uppskattades årets genomsnittliga rapporterade ekonomiska förlust till följd av cybersäkerhetsincidenter till 2,7 miljoner dollar, en ökning med 34 % sedan 2013. Det visar sig att stora förluster blir vanligare, ett uppseendeväckande men inte överraskande resultat: antalet företag som rapporterade ekonomiska förluster på 20 miljoner dollar eller mer var 92 % fler än 2013. Kunskapsdagarna 2015 PwC november 2015 7 Informationssäkerheten i Sverige Trender och statistik Kunskapsdagarna 2015 PwC november 2015 Cybersäkerheten i Sverige – de främsta riskerna Säkerhetsstrategi Bara 36 % av kunderna i undersökningen har helt eller delvis infört ledningssystem för att hantera informationssäkerheten. 55 % av styrelserna i kundföretagen diskuterar inte frågor som rör cybersäkerhet regelbundet (strategi, status, finansiering etc). Endast 37 % av kunderna i undersökningen har klassificerat sin data. 36 % 55 % 37 % Hur stora risker utsätts företagen för (utan att veta om det) till följd av bristande övervakning från ledningens sida samt halvdana standarder, rutiner och kontrollförfaranden? Kunskapsdagarna 2015 PwC Kunderna i undersökningen behöver effektivare mekanismer för hantering av cybersäkerheten. Det första steget mot en framgångsrik strategi för cybersäkerhet är att styrelsen fattar beslut om riskaptiten. Genom att utforma en uppsättning icketekniska resultat- och riskindikatorer som stöder den fastställda riskaptiten kan styrelsen sedan fortlöpande övervaka denna viktiga och växande risk. En av de allra första punkterna i ett effektivt program för cybersäkerhet bör vara att identifiera ”kronjuvelerna” – data som måste skyddas till varje pris. Ett logiskt nästa steg är att utforma och genomföra en ändamålsenlig övervakning av dessa kronjuveler för att undvika att viktiga data hamnar i fel händer. november 2015 9 Cybersäkerheten i Sverige – de främsta riskerna Säkerhetsåtgärder 0 % av kunderna i undersökningen har kapacitet att genomföra IT-forensiska undersökningar helt på egen hand. Endast 10 % av kunderna i undersökningen har helt integrerad kapacitet att möta en attack. Bara 27 % av kunderna i undersökningen övervakar aktivt sina tekniska system för att upptäcka dataförluster. 0 % 10 % 27 % Merparten av kunderna (55 %) anlitar externa leverantörer för IT-forensiska tjänster. Att låta de interna resurserna ägna sig åt det dagliga arbetet för cybersäkerhet och i övrigt förlita sig på extern sakkunskap är klokt om det är ett medvetet beslut. Kunskapsdagarna 2015 PwC 63 % har begränsad kapacitet att möta en aktiv pågående attack. Har vi verkligen insett att det inte kommer att räcka att bara följa reglerna för att uppnå cybersäkerhet i framtiden? Ingår förmåga att förutse och skydda sig mot cyberhot i kundernas modeller för cybersäkerhet? Många kunder bedriver någon form av övervakning, men eftersom många företag inte har fastställt vilka deras kronjuveler är (se föregående bild) kan den övervakning som finns vara otillräcklig. Görs det tillräckligt för att upptäcka försök till datastöld? Eller satsar man för mycket (relativt sett) på att bevaka externt inkommande hot? november 2015 10 Sveriges ”farliga triangel” Kunskapsdagarna 2015 PwC november 2015 Cybersäkerheten i Sverige – den ”farliga triangeln” Är utgifterna för cybersäkerhet oförändrade eftersom det inte har funnits någon svensk Target och/eller Heartbleed-attack? Medverkar styrelserna aktivt, och ställer de rätt frågor? Styrelsen Kunskapsdagarna 2015 PwC Händelse Har vi tillräckligt många ITsäkerhetschefer med internationell erfarenhet som kan staka ut riktningen och utforma strategin? Risk ITsäkerhetschefen november 2015 12 Att föregå med gott exempel Kunskapsdagarna 2015 PwC november 2015 Brev till aktieägarna den 9 april 2014: ”Det kommer att bli en ständig och troligen evig kamp om att ligga steget före – och tyvärr kommer vi inte att vinna vartenda slag.” ”Företaget kommer att sätta av 250 miljoner dollar för cybersäkerhet i år, jämfört med 200 miljoner 2012, och utgifterna kommer att öka exponentiellt i framtiden.” Jamie Dimon, vd för JP Morgan Chase Kunskapsdagarna 2015 PwC september 2014 14 14 Är det viktigt med cybersäkerhet? (Och varför skriver JP Morgans vd till sina aktieägare?) Vissa lyckas återhämta sig Marknadens reflexreaktion Effektiv krishantering Ineffektiv krishantering Handelsdagar efter incidenten Kunskapsdagarna 2015 PwC Källa: ”The Impact of Catastrophes on Shareholder Value”, Rory F. Knight & Deborah J. Pretty, Templeton College, University of Oxford, s. 3. 15 Wall Street Journal den 3 augusti 2015 I en kvartalsdeklaration till tillsynsmyndigheten uppgav banken att dess årsbudget för cybersäkerhet förväntas bli nästan dubbelt så stor i år. Därmed skulle årets utgifter bli cirka 500 miljoner dollar, mot 250 miljoner 2014. Jamie Dimon, vd för JP Morgan Chase Kunskapsdagarna 2015 PwC september 2014 16 16 Var börjar man då... Kunskapsdagarna 2015 PwC november 2015 Fem strategiska steg mot ett ändamålsenligt program för cybersäkerhet 1 Se till att strategin för cybersäkerhet överensstämmer med verksamhetsmålen och har en strategisk finansiering Finansiering 2 Slå fast vilka era mest värdefulla informationstillgångar är och prioritera skyddet av dessa viktiga data Kronjuveler 3 Lär er förstå era motståndare – deras motiv, resurser och sätt att attackera – för att reducera tidsåtgången mellan upptäckt och reaktion Hotanalys 4 Gör ett ordentligt grundarbete! Dataklassificering, sårbarhetshantering, identitets- och åtkomsthantering inklusive obegränsade åtkomsträttigheter, borttagande av lokala konton etc Grunderna 5 Bedöm säkerhetssituationen hos tredje parter och företag i leveranskedjan, och se till att de tillämpar de policyer och rutiner som ni angett. Tredjepartsrisk Kunskapsdagarna 2015 PwC november 2015 18 Den enda morot som behövs ... Kunskapsdagarna 2015 PwC november 2015 Alla vill tillhöra det vinnande laget! Välj möjligheter i stället för faror Vissa lyckas återhämta sig Marknadens reflexreaktion Effektiv krishantering Ineffektiv krishantering Handelsdagar efter incidenten Kunskapsdagarna 2015 PwC Källa: ”The Impact of Catastrophes on Shareholder Value”, Rory F. Knight & Deborah J. Pretty, Templeton College, University of Oxford, s. 3. 20 Kontaktuppgifter Magnus Karmborg magnus.karmborg@se.pwc.com +46 (0)72 584 99 04 © 2014 PricewaterhouseCoopers i Sverige AB. Att helt eller delvis mångfaldiga innehållet i detta dokument är förbjudet enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Förbudet gäller alla former av mångfaldigande genom tryckning, kopiering etc.
© Copyright 2024