Global Cybersecurity Outlook 2022

Læs mere om hvad vi kan forvente af cybertruslen i 2022

Don’t bring a knife to a gunfight

– et nemt forståeligt og fuldstændig korrekt budskab, og en af flere gode opfordringer fra World Economic Forum (WEF), Centre for Cybersecurity i deres seneste rapport – Global Cybersecurity Outlook 2022. Læs rapporten her.

Og et meget passende budskab når man skal diskutere cybersecurity.
Artificial Intelligence (AI), Machine Learning, Cognitive Computing mv. – kort sagt algoritmer og automatiseringer har ændret, og ændrer fortsat, de muligheder vi har i en mere og mere digitaliseret verden.

Pandemien har om noget accelereret digitalisering med blandt andet hybride arbejdspladser. Et af mange resultater af dette er unægtelig en væsentlig forøget angrebsflade, når vi snakker om cybersikkerhed. Arbejdspladser i hjemmet og andre steder udenfor virksomheden er en realitet på stort set alle arbejdspladser og vil givetvis være det fremover. Det alene har været en stærk årsag til det store fokus på de såkaldte SASE-løsninger, der heldigvis diskuteres i alle større organisationer nu. (Vil du vide mere om SASE, så se videoen her.)

En voldsom vækst i brugen af SaaS applikationer mm. øger også antallet af vinduer og døre ind til en organisations data og services, og selv med bedre nøgler til disse åbninger, er angrebsfladen vokset.
Dem, der vil udnytte mulighederne kriminelt, kan kun glædes over denne udvikling og selvom de værktøjer, vi kan benytte til at beskytte os, bliver bedre og bedre, er der særligt et område, der bør have fokus: Automatisering.

Rapporten fra WEF indeholder data fra en række globale virksomheder og deres syn på udviklingen inden for Cybersecurity. En af de væsentlige pointer – synes jeg – er denne:

global-cybersecurity-outlook-2022

Automatisering og machine learning (AI …eller hvad vi nu kalder det) ses som suverænt den væsentligste transformator.

Og det underbygges af et utal af andre kilder og analyser. Dem, der vil udnytte svaghederne og hullerne i din digitale infrastruktur (og hullerne og svaghederne er der, uanset hvem du er) er uhyre dygtige til at udnytte teknologiens muligheder, og man ved positivt, at stort set alle succesfulde angreb i dag er med meget automatiserede værktøjer med en høj grad af machine learning. Skal du forsvare dig effektivt mod disse angreb, er automatisering og moderne værktøjer den eneste vej. Det er ganske enkelt ikke muligt for en organisation at modstå de cyberkriminelle, hvis forsvaret består af værktøjer, der kræver en masse manuelle håndteringer af selv nok så dygtige folk. De kan simpelthen ikke følge med.

Moderne cybersikkerhedsplatforme bør og skal tilbyde en meget høj grad af automatisering, ellers bør de udskiftes. Men det stopper ikke her, man kan selv gøre meget for at automatisere sin infrastruktur. Alle gode produkter og løsninger tilbyder i dag såkaldte API’er, der gør, at løsningerne kan kobles sammen og indgå i en automatiseret infrastruktur, og der findes en række gode og modne automatiseringsværktøjer med fokus på især øget sikkerhed. Disse forhold bør naturligvis være en del af enhver investerings-tjekliste, og også den tjekliste vi gennemgår eksisterende løsninger ud fra. Men det er også vigtigt, at vi investerer i ansatte med de rette evner og kompetencer. God forståelse for cybersikkerhed og infrastruktur er vigtigt, men det er nu lige så vigtigt at have ansatte i team’et med forståelse for programmering og automatisering, og det er nyt mange steder.
Det var også nyt for os i Conscia, bevares, rigtig mange af vores dygtige konsulenter er stærke med scripting og automatiseringer, men også her er vi gået skridtet videre og har etableret en decideret softwareudviklings enhed i vores konsulentforretning. Fordi der er nødvendigt for at følge med, nødvendigt for at håndtere den voksende angrebsflade og nødvendigt for at hjælpe i enhver sammenhæng, når det drejer sig om cybersikkerhed.

Så husk: Bring a gun to a gun fight.

Der er flere andre takeaways fra rapporten, som jeg hermed opfordrer beslutningstagere til at ofre en times læsetid på, uanset om du arbejder med cybersecurity, eller andre dele af organisationens ledelse.

Et par af disse takeaways er i min optik:

  • Fokus på cybersikkerhed er ikke nok, cyber resilience skal være fokus.
    Det dækker også over begrebet ”Assume breach” – altså at vi alle bliver hacket, eller allerede er det.
    Så beredskab, disaster recovery mv. skal have samme fokus som forebyggelse. Du bliver ramt på et tidspunkt, det skal du have en plan for at håndtere.
    En helt oplagt metode til at komme ”hele vejen rundt” er at benytte CIS-kontrollerne, som bruges både som målestok i forhold til, hvordan det står til, og som et værktøj til at prioritere indsatser, der hvor de giver størst gevinst. CIS-kontrollerne sikrer, at man kommer det hele igennem inkl. data recovery, inventory kontrol, sårbarheds management mv. – alt sammen områder, der flytter organisationen fra ren cybersikkerhed til mere cyber resilience, præcis som WEF anbefaler. Vil du vide mere om CIS-kontrollerne, så læs her.
  • Mitigering af problemet vha. cyberforsikringer
    Forsikringsmuligheden forsvinder mere og mere. Det ses tydeligt ved de kraftigt stigende priser på den slags forsikringer, og det mindre og mindre område de dækker. Forsikringsselskaberne er godt klar over den voksende angrebsflade og stigende risiko. Så muligheden for at forsikre sig ud af problemer bliver mindre og mindre.
  • Cybersikkerhed og forretning skal tættere sammen
    Det kan ikke skrives bedre end dette ” integrating cyber risk into business strategy and integrating cyber leaders into business processes” Det er oplagt, men langt fra virkeligheden. Mange af de organisationer jeg møder har stadig IT-sikkerhed placeret på sidelinjen, nogen gange ”blot” som rådgivere uden budget. Det er bare ikke nok længere.