Operativ resiliens: hur klarar din verksamhet en cyberattack?

Hur snabbt skulle din verksamhet kunna komma igång igen om den slås ut i en attack imorgon?

Cyberkriminella och illasinnade aktörer använder alltmer potenta AI-verktyg som möjliggör en snabb upptrappning av attacker mot svenska företag.

Alla IT-system är potentiella mål – och i kombination med operativ teknologi (OT) som styr produktion och fysiska processer är du extra sårbar. 71% av svenska verksamheter bedömer sin OT-säkerhet vara otillräcklig (Radar Group 2024).

Det går inte längre att hålla hoten ute – vi måste kunna hantera dem på insidan. Förmågan att klara av en attack och återuppta verksamheten med minimal störning kallas operativ resiliens.

Så hur kan du bygga upp din organisations digitala immunförsvar - trots begränsade resurser att lägga på cybersäkerhet?

Fler intrång mot OT-bolag – med värre konsekvenser

OT-system har länge varit isolerade men har i allt högre grad integrerats med IT-nätverk och kopplats upp mot internet. Det gör dem exponerade för allvarliga cyberhot.  

Trenden bekräftas av Fortinets State of OT and Cybersecurity Report: 31% av organisationer med OT-system hade minst 6 intrång 2024 - jämfört med 11% 2023. 43% hade förlorat affärskritiska data och tappat produktivitet, en ökning från 34% 2023. 

Vi ser alltså en utveckling som är ett växande hot, framför allt mot företag vars verksamhet bygger på säker, stabil produktion utan kostsamma avbrott och allvarliga incidenter. 

Så vad kan vi göra?  

Utgå från att du kommer att drabbas

Först och främst krävs ett nytt mindset för att vända trenden. 

Traditionell IT-säkerhet fokuserar på att hålla hot – oavsiktliga eller avsiktliga - utanför systemet. Utgå istället från att organisationen kommer att drabbas av avsiktliga angrepp. Med den utgångspunkten hamnar fokus på att bygga upp en förmåga att förebygga, stå emot, återhämta sig från - och anpassa sig efter - säkerhetsincidenter. Därav min inledande fråga om hur snabbt din verksamhet kan återhämta sig.  

För att kunna besvara den är det en god idé att först identifiera ditt ”Minimum Viable Company.” Vilka verksamhetskritiska processer måste fungera för att företaget ska kunna fortsätta leverera? 

Följdfrågan blir sen: hur snabbt behöver dessa processer komma igång? Hur många minuter – eller sekunder – får det då ta att upptäcka till exempel en ransomeware-attack?   

Tid är naturligtvis en nyckelfaktor när det gäller att undvika stora produktionsbortfall och svidande ekonomiska förluster. Och för att agera snabbt nog behöver du verktyg som automatiserar hotupptäckt.  

Men hur är det möjligt att upptäcka alla potentiella hot i tid? 

Fånga olika hot med olika metoder

För att fånga upp olika typer av cyberhot behövs olika metoder: 

• Övervakning och analys av säkerhetshändelser i realtid 

• Proaktiv skanning av applikationer för att kontrollera om data har komprometterats  

• Regelbunden skanning av hela systemet för att upptäcka eventuella säkerhetsbrister och verifiera att det är intakt  

• Tester i en säker, isolerad datamiljö för att säkerställa att dina data är fria från exploateringar och andra hot 

För att säkerställa att din information är intakt och snabbt kan återställas räcker det inte med att ta en backup. Det behöver alltid finnas en säker, verifierad datakopia som testats regelbundet under en period. Detta för att säkerställa att den är fri från komprometteringar och alltid snabbt kan återställas. 

Det allra bästa är att inte bara testa backupen, utan hela återställningsförmågan genom att simulera hela förloppet från attack till återhämtning.  

Användaridentiteter - den svaga länken

Idag sker intrången till stor del genom kapade användarkonton, ofta via phishing. Därför är det helt avgörande hur du hanterar identiteter. Och det är Zero Trust som gäller. 

Zero Trust är ett tillvägagångssätt som går ut på att du inte litar på någon användare eller enhet, eftersom du faktiskt inte vet vem som använder sig av dem.  

Även här gäller det att kombinera flera metoder: 

• Multifaktorautentisering (MFA) – med biometrik, tokens eller app-baserad bekräftelse. 

• Tvåpersonersverifiering – särskilt för administratörsåtkomst eller återställningar. 

• Kontinuerlig beteendeanalys – som upptäcker avvikande mönster som tyder på kapade identiteter. 

Risker med produktionsdata i molnet

Att ha sina data i molnet har onekligen sina fördelar, men medför i sig vissa risker som man bör vara medveten om.  

Ett vanligt problem är så kallad shadow data, gamla testdata som glömts bort hos molnleverantören och blivit sårbara.  

Ett annat förekommande problem är utvecklare som skapar miljöer i molnet utan säkerhetsgranskning. 

Molnleverantörens säkerhetspolicies matchar heller inte alltid dina egna lokala policies vilket kan öppna säkerhetsluckor.  

Du kan minska dessa molnrisker genom att: 

• Se till att hitta och rensa bort känsliga “shadow data” på din molnplattform. 

• Testa säkerhetskopior och återställningsprocesser regelbundet för att säkerställa att de fungerar som avsett och att data kan återställas snabbt vid behov.  

• Kontrollera att molnleverantörens policies är konsekvent med dina egna. 

Tre steg till operationell motståndskraft

Cybersäkerhet kan kännas stort, läskigt och svåröverblickbart - särskilt om ditt företag inte har någon dedikerad säkerhetsansvarig.  

Så var ska man börja? 

Vi avrundar med tre byggstenar som lägger en bra grund för cybersäker drift:   

1. Inför ett effektivt GRC-ramverk (Data Governance) med processer för datastyrning som säkerställer korrekt, säker och tillgängliga data. 

1. Segmentera IT- och OT-nätverk och inför åtkomstkontroll baserat på zero trust 

1. Proaktiv, kontinuerlig övervakning som detekterar och analyserar hot automatiskt i realtid.  

Vänta inte med att se över ditt företags resiliens - det är en överlevnadsfråga. 

Och kom ihåg: det finns alltid hjälp att få. 

Paul Mickelsson, 

Principle Architect  

Gör din produktion resilient 

Vill du veta mer om hur du skyddar din produktion och gör den mindre sårbar för cyberattacker?