Under de senaste tolv månaderna har 43 procent av alla organisationer i Frankrike blivit utsatta för framgångsrika cyberattacker, enligt Asterè. Hur hanterar företag cyberriskerna idag? En analys genomförd av David Ofer, som är ordförande för Fédération française de la cybersécurité eller översatt det franska cybersäkerhetsförbundet.
Hur ser cyberriskerna ut idag?
Ett antal studier har visat att fenomenet ökar. Antalet lyckade attacker, som rapporterades till l’Agence nationale de la sécurité des systèmes d’information, ANSSI (den franska nationella byrån för säkerhet för informationssystem), under 2023 är 30 procent högre än vad som konstaterades under samma period 2022. Denna ökning har också observerats av avdelningen för cyberbrottslighet vid Åklagarmyndigheten i Paris.
”Hackarna har ett försprång framför staterna och företagen.”
Utöver de siffror som presenteras av olika parter är en sak säker, nämligen att cyberrisker finns överallt i en värld där allt är sammankopplat. Invasionen av digital teknik i våra dagliga liv, både i privatlivet och yrkeslivet, har öppnat upp en stor spelplan för en ny generation brottslingar och kriminella, som snabbt utnyttjar bristerna i datorsystem för att förlama organisationers verksamhet, stjäla identiteter och söka en ny helig Graal i vårt moderna samhälle, nämligen data. Idag går ingen säker för dessa ståtrövare i cyberrymden, vare sig man är privatperson eller det handlar om företag, föreningar, institutioner eller myndigheter.
Är det troligt att den artificiella intelligensen kommer att flytta gränserna i detta nya krig?
Algoritmerna gör det möjligt för aktörer inom förebyggande och skydd att bättre förstå och upptäcka attackernas källor samt sårbara områden. De är en värdefull allierad, när det gäller att skydda data och upptäcka försök till attacker. AI används inom många samhällsviktiga verksamheter, däribland försvaret och polisen, för att förbättra analysen av vissa data. Men den kan också utnyttjas av brottslingarna genom att möjliggöra mer sofistikerade attacker, via till exempel de ökända förfalskade nyheterna och videofilmerna, som det har talats mycket om i massmedierna.
Ligger inte brottslingarna steget före försvaret och motåtgärderna?
I kapplöpningen mellan ett hot som blir allt mer avancerat, och ett försvar som organiseras, är kampen ojämn. Hackarna, eftersom de – bokstavligen – ”investerar” i cyber, har fått ett försprång över stater och företag, som länge har sett cybersäkerheten som en kostnadspost. Myten om den maskerade hackaren, som arbetar ensam i sitt garage stämmer inte längre överens med verkligheten! Cyberattacker organiseras nu internationellt av brottsliga organisationer. De blir mer och mer sofistikerade, med exakt definierade mål och allvarliga konsekvenser för länders säkerhet och ekonomier.
Vilka branscher är de mest utsatta?
Hälso- och sjukvården har varit bland de mest drabbade av attacker på senare tid. Och det finns goda skäl till detta, eftersom den omfattar verksamhet som kan vara livsviktig för medborgarna och innehåller högkvalificerade personuppgifter, som därför kan säljas till ett högt pris. Även andra branscher, vars handlingsförlamning skulle påverka samhällets funktion, är intressanta för angriparna, nämligen lokala myndigheter, energiförsörjningen, telekommunikationerna och transporter i synnerhet. Idag är risken mycket starkt fokuserad på leveranskedjorna. Globaliseringen av marknaderna och ökningen av antalet av underleverantörer gör att leveranskedjorna helt klart blir överexponerade. I Förenta Staterna utsätts de för återkommande attacker. De franska leveranskedjorna har börjat att påverkas i sin tur.
Vilken plats och roll har det franska cybersäkerhetsförbundet i ekosystemet för digital säkerhet?
Cybersäkerheten i Frankrike intresserar nu olika aktörer. Mer specifikt riktar sig ANSSI till operatörer av avgörande betydelse och till stora grupper eller stora lokala myndigheter. Webbplatsen Cybermalveillance.gouv upprättades för att upplysa och ta hänsyn till (med begränsade ekonomiska medel) rapporter från allmänheten eller från företagen. Men när det gäller små och medelstora företag och små lokala myndigheter, som ändå är mycket talrika i Frankrike, är budskapen urvattnade, vilket gör att företagsledare och förtroendevalda ofta står handfallna inför information som de inte kan förhålla sig till. Det finns en mängd frågor, som rör cybersäkerhet och där det behövs mer kommunikation: territoriell täckning för små och medelstora företag, utbildning för ungdomar, broar mellan yrkesutövare, tillgång till en kontrollerad cyberrymd osv. Det är detta område som vi ville komplettera med det franska cybersäkerhetsförbundet, som upprättades för fyra år sedan på initiativ av förtroendevalda, specialister på digital säkerhet, företag, lokala myndigheter och domstolar. Vår ambition är att förena åtgärder för att upplysa, förebygga och skydda den ekonomiska strukturen genom en oberoende medborgarstrategi, som är fri från kommersiella intressen. Till skillnad från de många klubbar och föreningar som har investerat i ekosystemet för att försvara privata intressen, säljer vi varken produkter eller tjänster, och vi verkar utifrån ett strikt tillvägagångssätt av allmänintresse och allmännytta.
Var står företagen när det gäller förebyggande?
Återigen finns det en klyfta här mellan de stora grupperna, som kan få fram mer medel och resurser, och de små och medelstora företagen, som inte vet till vilka de skall vända sig, vilka åtgärder de skall vidta och vilka organisationer de skall anlita.
”Fler än 60 procent av de små och medelstora företagen har ingen cybersäkerhetsexpert.”
År 2023 genomförde förbundet en undersökning, som visade att mer än 60 procent av de små och medelstora företagen inte har någon expert på cybersäkerhet och att endast 25 procent har tecknat försäkringar. Det finns ett akut behov av att befria cyberämnet från dess tekniska slagsida för att kunna rikta sig till företag med enkla, begripliga termer. Kärnan i kampen mot cyberbrottsligheten är pengar. Den allt snabbare digitala utvecklingen följs inte av någon ökning av resurserna till säkerheten. Men i dag är små och medelstora företag inte villiga att anslå lämpliga budgetar till tillräckliga skyddsåtgärder på grund av att de inte behärskar ämnet.
Man pekar regelbundet på ett glapp mellan företagens behov av teknisk kompetens och bristen på tillgänglig kompetens på marknaden.
Jag tror ärligt talat, att saker och ting är mer komplexa och att frågan om resurser inte kan reduceras till denna enda obalans mellan tillgång och efterfrågan. Cyberutbildningarna har utvecklats avsevärt under de senaste åren. Men situationen är motsägelsefull. Å ena sidan misslyckas vissa kurser med att fylla sina platser. Å andra sidan tillsätter företagen inte tillräckligt många tjänster för digital säkerhet och tenderar också i ökande utsträckning att begränsa sina kriterier till mycket kvalificerade kandidater med fem års högskoleutbildning, medan deras faktiska behov delvis ser annorlunda ut. Än en gång bör cybersäkerhetsfrågorna inte reduceras till sin tekniska dimension. Det är med detta i åtanke, för att öka antalet personer med önskvärd kompetens och stödja företag, som det franska cybersäkerhetsförbundet nyligen skapade yrket cyberassistent.
Vad handlar det om?
Cyberassistenternas uppdrag består i att komma i kontakt med användare i företaget, att förklara reglerna för datorhygien och att kontrollera att riktlinjerna för säkerheten förstås och följs. Målet är att minska attackytorna, minska riskerna och att låta de berörda avdelningarna ta hand om de kritiska punkterna. Samtidigt har vi organiserat en utbildning för yrket som cyberassistent, med en kurs som omfattar 400 eller 600 timmar och som är öppen för ungdomar med studentexamen eller för personer som genomgår omskolning för att byta yrke.
Är den nuvarande lagstiftningen tillräcklig för att förebygga och reglera risken?
Ja, den räcker i stort sett för att reglera säkerhetsområdet (se faktarutan). Med tanke på hur mycket som står på spel, är det inte bråttom med lagstiftningen i första hand. Det är nödvändigt att definiera vilka grundläggande tjänster som skall skyddas, att förstärka ekosystemet för förebyggande och säkerhet, att reglera ansvaret i hela värdekedjan inom cyberområdet, att utveckla försäkringsskyddet och kanske framför allt att öka medvetenheten och utbilda på alla nivåer. Uppgiften är enorm. Låt oss slutligen komma ihåg att GDPR har en cyberkomponent som, om den tillämpas, skulle spara företag mycket krångel.
En robust lagstiftning
Godfrain-lagen från 1988 straffar obehöriga intrång – eller försök till intrång – i automatiserade databehandlingssystem. Under de senaste åren har en mängd texter tagits fram för att täcka in varje situation. Förordningen om digital operativ motståndskraft för finanssektorn (Digital Operational Resilience Act, DORA), som införts av Europeiska unionen, har stärkt cybersäkerheten inom finansiella tjänster.Direktivet om nät- och informationssäkerhet (NIS 2), som införlivades i fransk lagstiftning år 2024, kommer att göra det möjligt för ANSSI att höja cybersäkerhetsnivån för tusentals strukturer inom ett antal verksamhetssektorer, som nu kommer att regleras.
10/07/2024
