29 januari 2020

Skugg-IT, svaga lösenord, osäkra molntjänster – anställda äventyrar IT-säkerheten

Organisationer i Sverige och resten av världen utsätts för allt fler försök till dataintrång och andra typer av attacker. Dessvärre gör slarviga anställda och dåliga molnrutiner livet lite lättare för cyberkriminella.

Säkerhetsföretaget McAfee har genomfört en ny undersökning bland över 1 000 organisationer i elva länder. För att få en djupare uppfattning om vilka risker världens organisationer utsätter sig för i molnet om de inte har rätt säkerhetstänk analyserade McAfee anonymiserade incidenter från totalt 30 miljoner användare av molnbaserade företagstjänster.

Till att börja med visar McAfees undersökning att 79 procent av de deltagande organisationerna använder publika molntjänster. I genomsnitt använder organisationerna 41 molntjänster, en ökning med 33 procent jämfört med förra året. Men, då pratar vi bara om molntjänster som organisationerna de facto har godkänt – i själva verket används tusentals andra tjänster som organisationerna inte känner till eller har någon kontroll över.

Detta fenomen brukar kallas ”skugg-IT” och kan givetvis vålla en hel del problem – och än värre är att 52 procent av organisationerna använder molntjänster som drabbats av intrång och stöld av data. Sammantaget kan detta skapa stora säkerhetsluckor för organisationer och riskera att känslig information hamnar i orätta händer, trots att riskerna är relativt enkla att förebygga med rätt rutiner och medvetenhet.

Personliga enheter är svarta hål

Molntjänster har som vi alla vet ersatt många affärskritiska applikationer som tidigare körts som lokal programvara, vilket successivt har lett till en ökad migrering av känsliga data till molnet. Kombinerat med användningen av personliga enheter för åtkomst till molntjänster, flytt av data mellan molntjänster och användning av osäkra molntjänster skapar nya riskområden för företag som använder molnet.

79 procent av organisationerna i McAfees undersökning uppger att de tillåter åtkomst till företagsgodkända molntjänster från personliga enheter – och var fjärde organisation säger att har de uppmärksammat att känsliga data laddats ner från molnet till en okontrollerad personlig enhet, där de inte kan se eller kontrollera vad som händer med informationen.

En essentiell del av säkerhetsarbetet i molnet handlar om att klassificera sina data för att säkerställa att känslig information skyddas på ett adekvat sätt. För även om samarbete underlättas kraftigt genom överföring och delning av data inom och mellan molntjänster, skapar det en ny utmaning vad gäller dataskydd. Faktum är att hela 49 procent av alla filer som läggs i en molntjänst så småningom kommer att delas. McAfees analys visar också att en av tio filer som innehåller känslig information och delas i molnet använder en offentligt tillgänglig länk för att komma åt filen – det är en ökning med 111 procent under det senaste året.

Ett problem är att det tycks lida brist på resurser och kompetens för att kunna möta hoten på ett optimalt sätt. 93 procent av alla tillfrågade IT-säkerhetsansvariga förstår att det är deras ansvar att säkra data i molnet. Men 30 procent av företagen menar att saknar personal med kompetens att säkra sina programvaror och tjänster i molnet, en ökning med 33 procent jämfört med förra året.

Fler tjänster och fler enheter = fler säkerhetsrisker

En annan ny undersökning, som Telenor utfört i samarbete med Sifo, pekar också på problemen med att vi använder allt fler tjänster och enheter för att utföra våra arbetssysslor – och hur detta snabbt leder till en ökad hotbild om vi inte implementerar rätt säkerhetsrutiner för hela organisationen.

Till exempel visar undersökningen att skrämmande många anställda på svenska arbetsplatser – både inom privat och offentlig sektor – har ett beteende som äventyrar sin arbetsgivares IT-säkerhet. Och det allra största problemet är dessvärre fortfarande osäkra lösenord. Det står först och främst otäckt klart att svenska organisationer utsätts för allt fler IT-attacker och intrång – och det kostar också allt mer pengar att få bukt med dem.

Tre av fyra tillfrågade företag och organisationer med över 500 anställda uppger att de har drabbats av dataintrång, och under 2019 kostade ett dataintrång i snitt 30 miljoner kronor att åtgärda, vilket är tre gånger så mycket som 2018.

Dessvärre beror inte den ökade hotbilden enbart på att de cyberkriminella blivit enormt mycket mer sofistikerade i sina tillvägagångssätt – i stället handlar det om att svenska företags anställda brister i sitt säkerhetstänk. Antingen genom ren ignorans eller genom bristande insikter och förståelse för säkerhetsriskerna.

Lösenord fortfarande största boven

Som vi nämnde i inledningen är svaga lösenord fortfarande upphov till många säkerhetsproblem. Telenors undersökning visar att hela 74 procent av svenska företags anställda använder osäkra lösenord och 45 procent använder samma lösenord till flera olika tjänster.

Dessutom uppger 30 procent att de delar gemensamma inloggningsuppgifter till vissa tjänster på arbetsplatsen. 44 procent av de anställda har en osäker användning av sin jobbdator eller mobil utanför arbetsplatsen (med osäker användning utanför arbetsplatsen avses att ha använt publikt wifi eller att ha lämnat sin jobbdator eller mobil obevakad utanför arbetsplatsen under det senaste året).

Totalt sett har hela 92 procent av de anställda någon form av beteende som kan klassas som riskabelt ur IT-säkerhetshänseende – förutom svaga lösenord nämns bland annat slarv med uppdateringar, användning av osäkra enheter och nätverk utanför arbetsplatsen och nedladdning av osäker programvara som vanliga riskområden. Trots detta anser 93 procent av de tillfrågade att IT-säkerhet är viktigt.

Undersökningen visar dock även att äldre är de mest it-säkra på arbetsplatsen. Tio procent mellan 50–64 år har ett it-säkert beteende jämfört med sex procent i åldern 30–49 år och sju procent i åldern 20–29.

Läs även:

«

»