I fjor feiret Cyber Security Month sitt 10-årsjubileum. For ti år siden ble LinkedIn hacket, og avslørte 6,4 millioner passord. Spol et tiår frem, og overskriftene har ikke endret seg mye, med European Union Agency for Cyber Security som igjen navngir løsepengevare og skadelig programvare, i ulike forkledninger, som de viktigste cybersikkerhetstruslene.
Men noe HAR endret seg.
I følge IBM økte gjennomsnittskostnaden for databrudd med 2,6 % fra 4,24 millioner dollar i 2021 til 4,35 millioner dollar i 2022. Gjennomsnittskostnaden steg 12,7 % fra 2020-rapporten. Cyber-angrep på organisasjoner i kritiske infrastruktursektorer steg fra mindre enn 10 i 2013 til nesten 400 i 2020, en økning på slående 3 900%. For ikke å nevne de langsiktige konsekvensene som datainnbrudd har på forbrukernes tillit og merkevareomdømme; i dag kan de stoppe handelen og gjøre at de mister kunder over natten.
Data- og nettsikkerhet
Ikke overraskende har datasikkerhet fått økt oppmerksomhet, og er ikke lenger bare i tankene for IT-teamet. I dag sitter tanken om dette også hos administrerende direktør og styreleder. Hele 88% av styremedlemmer sier at nettsikkerhet betraktes som en forretningsrisiko, sammenlignet med bare 12 % som sier at det er en teknologirisiko, ifølge Gartners 2022 Board of Directors Survey.
Investorer, journalister og kunder følger også nøye med. Datalekkasjer skaper overskrifter og tar Twitter og andre sosiale medier med storm, og kan ødelegge omdømmet til en bedrift i løpet av få minutter. Datasikkerhet representerer også en alvorlig juridisk risiko som brudd på aktsomhetsplikten og unnlatelse av å ta alle rimelige forholdsregler for å beskytte alle kundedata bedriften innehar. Som om det ikke er nok, er finansiell risiko ikke langt bak, med reguleringer som handler raskt for å gi store bøter på de som angivelig bryter EUs strenge databeskyttelsesregler. Ettersom arbeidsstyrken blir mer og mer distribuert og digitaliseringen ikke viser noen tegn til å bremse ned, er det klart at for å håndtere risikoen, må sikkerhetssjefer og CIO-er se utover de vanlige bekymringsområdene for å beskytte virksomheten sin.
Vi har flere ting - flere steder
Ettersom antallet digitale enheter som driftes av bedrifter vokser, øker også risikoen ettersom sensitiv kundedata spres over en organisasjons digitale fotavtrykk. Bedrifter er sårbare flere områder når det kommer til enhetens livssyklus, og selv om få ville risikere å handle uten en sikkerhetsplan for enheter som er i bruk, tenker mange fortsatt bare på enheten mens dem er i drift. Kasserte enheter trenger også beskyttelse – utilstrekkelig IT-avhending risikerer at private bedrifts- eller kundedata havner i gale hender, og det kan få alvorlige konsekvenser. Disse faktorene fikk Cybersecurity and Infrastructure Security Agency (CISA) til å inkludere ITAD (IT Asset Disposal) som en identifisert trusselfaktor i sin veiledning for å forsvare seg mot software-angrep.
´The power of three´
God cybersikkerhet starter med å anskaffe, fortsetter med administrasjonen og ender med ansvarlig avhending av enheter ved slutten av deres første brukstid. Hvordan en organisasjon anskaffer eiendeler kan ha stor innvirkning på sikkerhetsresultatene. Tradisjonelle eierskapsmodeller er utdaterte, gir mange unødvendige risikoer og det legger en stor byrde på interne team for å håndtere sikkerhetsutfordringer alene eller gjennom flere konkurrerende leverandører.
Alternative løsninger for eid utstyr, som enhet-som-en-tjeneste (device-as-a-service), blir i økende grad en del av fremtidens tilpassede sikkerhetstrategier. De mest pålitelige gir tilgang til et administrasjonssystem, som gir organisasjoner umiddelbar tilsyn og kontroll over enhetene deres. De mest avanserte går et skritt videre og ser utover den første levetiden til enhetene, noe som gjør det mulig for organisasjoner å være kompatible og miljøansvarlige på samme tid.
Makulering av harddisker er den eldre formen for avhending, spesielt for databærende enheter som servere og datasentre. Men ifølge Blancco – en verdensleder innen datasikkerhet og sletting – er det ikke det mest effektive alternativet. “Å makulere de fleste tradisjonelle stasjoner vil gjøre dataene uopprettelige, men å ødelegge nyere teknologier, som SSD-er, har vist seg å etterlate data på stasjonsfragmenter, skaper muligheten for et datainnbrudd samtidig som stasjonen blir ubrukelig."
Denne typen praksis begynner det å legges merke til. Til og med EU-kommisjonen har gitt ut undersøkelser som fremmer "sletting av data" over ødeleggelse av enheter. Imidlertid, ifølge en nylig undersøkelse fra The Financial Times, makulerer teknologiselskaper, banker og offentlige tjenester millioner av datalagringsenheter hvert år.
´The circle of trust´
Å ikke ha en plan som ser på hele livssyklusen til en enhet – fra anskaffelse til IT-avhending (ITAD) – er ikke levedyktig for sikkerhetsbevisst organisasjon. I stedet for å kaste bort IT-utstyr ved å ødelegge dem og potensielt sette kundedata i fare, kan organisasjoner finne verdi i brukte enheter ved å prioritere reparasjon og gjenbruk, med trygghet om at en globalt kjent programvare for datasletting ikke etterlater spor av dataene deres. Tempoet i den teknologiske utviklingen gjør at vi ikke kan forutsi hva de neste ti årene vil bringe eller hvilke sikkerhetsutfordringer virksomheter vil møte. Vi kan imidlertid ta skritt nå for å sikre at organisasjonene våre er bedre beskyttet og mer motstandsdyktige mot cybertrusler, slik at overskriftene ikke roper ut de samme ødeleggende bruddene på bedriftens og kundenes personvern i årene som kommer.
Å bruke sirkulære prinsipper for teknologiledelse er et flott sted å begynne.
Vil du vite mer om Technology Lifecycle Management og hvordan vi kan hjelpe din bedrift?
Bli kjent med tjenestene våre eller kontakt oss for å diskutere med våre eksperter.
