Databaser är nervsystemet i många verksamheter och därför ett självklart mål för cyberattacker. Om de drabbas av en cyberattack riskerar du att dina affärskritiska system slås ut.

När cyberkriminella använder AI räcker inte traditionella säkerhetsåtgärder som firewalls längre till - du behöver tänka cyberresiliens.

Så vad innebär cyberresiliens i praktiken, och vad behöver du göra för att kunna få verksamheten på banan igen om det värsta händer?

Jag pratade med David Chancellor-Maddison, expert på Cyber Resiliency & Disaster Recovery på vår samarbetspartner IBM.

Vad är cyberresiliens – och varför räcker inte traditionell säkerhet?

Traditionell IT-säkerhet fokuserar på att hålla hot – oavsiktliga eller avsiktliga - utanför systemet. Cyberresiliens utgår istället från att organisationen kommer att drabbas av avsiktliga angrepp. Cyberresiliens är en organisations förmåga att förebygga, stå emot, återhämta sig från - och anpassa sig efter - säkerhetsincidenter.

Fånga hoten med flera lager

Hur ser en effektiv arkitektur för cybersäkerhet ut?

David liknar den vid ett vattenreningsverk med flera filter som fångar upp olika stora partiklar – eller flera lager som fångar upp olika typer av hot:

Varje lager fångar upp olika typer av hot på samma sätt som olika filter fångar upp olika storlekar av partiklar:

• Första lagret: Övervakning och analys av säkerhetshändelser i realtid. 
• Andra lagret: Proaktiv skanning av applikationer för att kontrollera om data har komprometterats. 
• Tredje lagret: Regelbunden skanning av hela systemet för att upptäcka eventuella säkerhetsbrister och verifiera att data är intakt. 
• Fjärde lagret: Testa och säkerställ att dina data är fria från exploateringar och andra hot i en säker, isolerad datamiljö.

Genom att kombinera dessa lager skapar du ett robust skydd mot olika typer av cyberhot.

Det räcker inte med en backup för att säkerställa att data är intakt och snabbt kan återställas. Det behövs vad David kallar en ”golden copy” – en säker, verifierad datakopia. Den testas regelbundet över en period för att säkerställa att den är fri från komprometteringar och alltid är skyddad, verifierad och återställningsbar.

Användaridentiteter är den svaga länken

Idag sker intrången till stor del genom kapade användarkonton, ofta via phishing. Därför är din hantering av identiteter helt avgörande. Det är Zero Trust som gäller, menar David: lita inte på någon användare eller enhet, för man vet inte vem som faktiskt använder sig av dem.

Även här rekommenderar han en kombination av skyddsmetoder:

• Multifaktorautentisering (MFA) - med biometrik, tokens eller app-baserad bekräftelse.
• Tvåpersonersverifiering - särskilt för administratörsåtkomst eller återställningar.
• Kontinuerlig beteendeanalys – som upptäcker avvikande mönster som tyder på kapade identiteter.

Molntjänster och hybridmiljöer – vad gäller?

David förespråkar en hybrid molnstrategi som kombinerar både lokala och molnbaserade lösningar. Men att ha sin data i molnet medför vissa risker. Ett vanligt problem är shadow data, gamla testdata som glömts bort hos molnleverantören och blivit sårbara. En annan risk är när utvecklare skapar miljöer i molnet utan säkerhetsgranskning.

Så hur undviker man att data i molnet blir en sårbarhet?

• Zero Trust: Lita inte på någon enhet eller användare.
• Data Governance: Robusta datahanteringsprocesser som säkerställer att data är korrekt, säker och tillgänglig när den behövs. 
• Testning: Regelbunden testning av säkerhetskopior och återställningsprocesser för att säkerställa att de fungerar som avsett och att data kan återställas snabbt vid behov. 
• Säkerhetsstandarder: Säkerställ att molnleverantörens säkerhetsstandard är konsekvent med din lokala policy för att undvika säkerhetsluckor. 

“Utgå från att du kommer att bli attackerad och drabbad. Då blir frågan: hur snabbt kan du återhämta dig? Och vilka delar av din verksamhet är kritiska och behöver därför komma igång först igen?”, säger David.

Han berättar att IBM:s riktmärke är att upptäcka en ransomeware-attack inom 60 sekunder och återställa systemen inom ytterligare 60. Men för att nå detta krävs automation, integration och en genomtänkt strategi.

Operationell resiliens är förmågan att fortsätta verksamheten under och efter en cyberattack med minimal störning. Det kräver en beredskapsplan för snabb återhämtning, redundans i systemen och automatiserad återställning.

”Idag finns det verktyg som kan upptäcka ransomware-attacker inom 60 sekunder och återhämta sig lika snabbt,” säger David. Som kontrast nämner han ett skräckexempel där återställningen tog en organisation över tre månader.

Framtidens hot: AI, kvantdatorer och skärpt reglering

Cyberbrottslighet växer snabbt och förutspås kosta världen 10,5 trillioner dollar 2025 enligt Cybersecurity Ventures.

Kriminella grupper använder redan AI till att automatisera allt från phishing till dataintrång.

Nästa hot, menar David, är kvantdatorer som kan knäcka dagens kryptering på sekunder.

Därför behöver företag framtidssäkra sin data med kvantsäkra algoritmer, något som drivs av EU-kommissionen som redan möter cyberbrottsligheten med högre krav på rapportering, riskbedömning och incidenthantering (NIS2) och att AI-system ska vara robusta och kontrollerbara (AI Act).

David summerar: “Cyberresiliens är inte längre bara teknik – det handlar lika mycket om regelefterlevnad, styrning och affärskontinuitet.”

Dina databaser är dina värdefullaste tillgångar och cyberbrottslingars främsta mål. Det handlar inte om att förhindra alla attacker utan om att överleva dem. Frågan är inte längre om, utan hur snabbt du kan fortsätta verksamheten när attacken är ett faktum.

Erik Sandell