Var tredje chef utsatt för it-brott det senaste året

En tredjedel av Sveriges chefer har drabbats av digital brottslighet det senaste året, visar Chefs undersökning. Samtidigt har risken för digitala säkerhetsproblem ökat under pandemin.

Ledarskap
Publicerad
Illustration: Anna Harvard

Digitaliseringen innebär enorma möjligheter – och enorma risker. När allt är uppkopplat och sammankopplat ökar sårbarheten för cyberangrepp och teknikhaverier om skyddet inte hänger med. Något som kan leda till att allt från mejlsystem till hela företag och viktiga samhällsfunktioner kollapsar.

Bara under det senaste året har mer än en tredjedel av Sveriges chefer, 36 procent, utsatts för it-relaterad brottslighet, visar Chefs undersökning.

Ungefär lika många säger att organisationen skadats till följd av digital brottslighet eller bristande it-skydd under samma period. En majoritet av cheferna anser att it-säkerheten försämrats under pandemin, då många arbetat hemifrån och på distans. En bedömning som delas av Anne-Marie Eklund Löwinder, säkerhetschef på oberoende Internetstiftelsen.

”På det traditionella kontoret finns i allmänhet en it-avdelning, egna routrar och eget nätverk. Hemma får man kanske samsas med datorspelande tonåringar, samtidigt som det surfas runt och klickas på länkar i en betydligt öppnare miljö. Därmed ökar risken för att få in virus och skadlig kod i maskinerna. Utrustningen kanske inte heller är uppdaterad på samma sätt som den på jobbet. Den it-säkerhetsskuld vi har att hantera efter pandemin kommer säkert att vara betydande”, säger hon.

Hur illa det kan gå när it-säkerheten fallerar kan illustreras av det som drabbade teknikhandelsföretaget Addtech i fjol. Större delen av it-systemet för de 1 700 anställda slogs ut i ett av de hittills största kända hackerangreppen i Sverige. En utpressningstrojan, så kallad ransomware, tog sig in via en bilaga som en ovetande medarbetare klickade på. Företaget valde att inte ge utpressarna den begärda lösensumman för att få systemet upplåst igen. I stället valde man att bygga upp hela it-miljön på nytt. Kostnad: 150 miljoner kronor.

”Den värsta mardrömmen man kan råka ut för. Vi hade missbedömt hotbilden”, kommenterade Addtechs it-chef Jesper Särnholm händelsen i It-säkerhetspodden.

Just utpressnings-programvara är ett hot som chefer särskilt bör uppmärksamma just nu, menar Anne-Marie Eklund Löwinder.

”Ja, både för att den brottsligheten är så oerhört lönsam, och för att distansarbetet under pandemin innebär ökade risker för angrepp. Det sker en utveckling där gärningsmännen inte nöjer sig med att utpressa själva organisationen med hjälp av programvaran, utan går vidare och angriper kunder och klienter individuellt”, säger hon och exemplifierar med en jätteattack mot finländska psykoterapicentret Vastaamo i fjol. Angriparna la då beslag på tusentals digitaliserade journaler och pressade sedan patienterna på pengar för att inte läcka deras personliga uppgifter.

Hur allvarligt är ett sådant angrepp för en verksamhet?

”Fruktansvärt allvarligt, för du tappar ju det förtroendekapital som du förhoppningsvis byggt upp.”

Anne-Marie Eklund Löwinder menar samtidigt att företag och organisationer har mycket att vinna på större öppenhet. Rädslan för ett solkat varumärke gör att locket gärna läggs på – mer diskussion och mindre hysch-hysch kan verka brottsförebyggande och leda till bättre skydd, menar hon. Egentligen finns ingen större anledning att skämmas:

”Nej, alla kan drabbas och det är ofta väldigt svårt att genomskåda it-relaterad brottslighet i dag. Angreppen blir allt mer sofistikerade och komplicerade. Vilket också gör det svårt att skydda sig.”

Vad bör chefen göra?

”Först och främst: skaffa en beredskap, innan det händer. Utgå från att det kommer att hända. Har du inte blivit hackad ännu, kommer du förr eller senare att bli det”, säger Anne-Marie Eklund Löwinder.

Nätfiske är det vanligaste säkerhetsproblemet som svenska chefer stöter på i dag, framgår av Chefs undersökning. Alltså det lurendrejeri som går ut på att stjäla lösenord och känsliga uppgifter, ofta med hjälp av bilagor med skadlig kod. Ett relativt nytt fenomen är de så kallade vd-breven, falska meddelanden som ser ut att komma från högsta chefen med begäran om brådskande utbetalningar. Något som en tiondel av de svenska cheferna råkat ut för, enligt vår enkät.

”Vi får ofta ganska hotfulla telefonsamtal från Indien och Turkiet där de utger sig för att vara från it-avdelningen. Det gäller att vara alert och stå på sig”, säger en av cheferna i undersökningen.

”Utpressningshot om påstådd porrsurfning har förekommit”, berättar en annan. En kraftig majoritet anser att de behöver lära sig mer om it-säkerhet.

Viktigare än (över)investeringar i ny dyrbar teknik, är att skapa en sund kultur för att höja säkerhetsmedvetandet, menar Marcus Nohlberg som är docent i datavetenskap vid Högskolan i Skövde. Och i det arbetet har chefen en nyckelroll:

”Det är svårt att köpa dåliga system i dag, då konkurrensen mellan tillverkarna är så hård. Många av säkerhetsproblemen handlar snarare om brister i hur tekniken används. Där behöver cheferna visa att de tar ett större ansvar. Prata om det! Ta upp frågor kring it-säkerheten på möten. Låt säkerhetsrutiner och incidenter ingå som en löpande del i den interna kommunikationen. Skapa ett utbildningsprogram, låt en föreläsare komma på besök … Allt det här är mycket billigare än ny teknik. Precis som många verksamheter varit duktiga på att lyfta jämställdhet och inkludering, går det att höja medvetenheten kring it-säkerhet”, säger Marcus Nohlberg och fortsätter:

”Ledningen måste visa att it-säkerhet är viktigt. Det går inte att säga att ’det tar it-avdelningen hand om’, för säkerhet är inte en it-fråga – det är en ledningsfråga. Chefen måste skapa en kultur där säkerhet är viktigt, får ta sin tid och vara lite bökigt. Förmedla insikten att somligt måste göras annorlunda än förut. Att ingen ska lämna ifrån sig lösenord via telefon är väl etablerat. Men när ens chef ringer, när vd:n ringer, och säger jag ska precis träffa största kunden, jag kan inte logga in här, vad är det för lösenord? Ja, då måste man ha arbetat upp rutinen att det inte spelar någon roll – inte ens när högsta chefen ringer ska ett lösenord lämnas ut.”

”Chefen ska vara en förebild vad gäller säkerhetstänkande, något annat funkar inte”, säger Marcus Nohlberg.

Vanliga säkerhetsbrister som angripare utnyttjar

• Brister i behörighetshantering.

• Brister i uppdateringsrutiner.

• Äldre it-system som inte underhålls tillräckligt.

• Brister i utveckling och underhåll av interna applikationer.

• Övertro på antivirus-produkter.

• Ingen organisation eller kunskap för incidentupptäckt och -hantering.

• Aktiva konton för medarbetare som inte längre arbetar kvar.

(Källa: Säpo)

Om undersökningen:
Webbaserad undersökning bland svenska chefer som besvarats av 777 personer, utförd i april 2021. Av deltagarna är 54 procent kvinnor och 45 procent män. 41 procent är chefer på ledningsnivå, 35 procent mellanchefer och 13 procent gruppchefer.

Fortsätt läsa kostnadsfritt!

Vi behöver bara en minut…

Så roligt att du vill fortsätta läsa! Det får du strax göra, utan att betala något.

Skapa ditt gratiskonto
  • Tillgång till våra låsta artiklar och webinar gratis!

Dina uppgifter delas aldrig med tredje part. Läs vår integritetspolicy här.