Vilka är de vanligaste cyberrelaterade incidenterna ni ser idag?

Vi ser tydligt att attacker som går ut på att kryptera och/eller stjäla information är den vanligaste anledningen till dataförluster. Detta baserar vi på de ca 500 incidenter vi hanterar per år här i Sverige.

Vad är det första företag ofta önskar att de hade gjort annorlunda?

Det absolut vanligaste svaret är att de önskar att de hade genomfört katastrofövningar. Genom att testa sina backuprutiner i förväg hade många kunnat upptäcka brister innan de stod mitt i en kris och faktiskt behövde läsa tillbaka sin data under tidspress.

Hur många lyckas egentligen återställa all sin data från backuper vid en katastrofövning?

Enligt de intervjuade i Veem Data Protection Trends Report var det bara 58% som kunde återställas i enighet med IT-säkerhetsavdelningens krav vid den senaste katastrofövningen.

Hur påverkar bristande kunskap i organisationer konsekvenserna av en attack?

Organisationer som saknar en tydlig incidenthanteringsplan har ofta också bristande kunskap i hur incidenter ska hanteras när en attack väl har inträffat. Konsekvenserna blir att det tar betydligt längre tid att återgå till normal drift. Kostnaderna ökar, verksamheten påverkas under längre tid och möjligheterna att få tillbaka förlorad data minskar drastiskt.

Vad saknar många nyutexaminerade när de möter verkliga incidenter?

Det som oftast saknas hos många nyexaminerade är praktisk erfarenhet av incidenthantering och krishantering. Att förstå teorin är viktigt, men i verkligheten krävs också att öva på att agera strukturerat och korrekt under stressade förhållanden.

Var går egentligen gränsen för att data skall kunna räddas?

Data som har skrivits över med ny information kan inte räddas. Inte heller data som har legat på områden som fysiskt förstörts, till exempel på en hårddisks skivytor. Där går den tekniska gränsen för vad som är möjligt att återskapa.

Kan man rädda data efter en ransomwareattack?

Ja, i många fall går det. I genomsnitt är det endast cirka 47 procent av alla filer som faktiskt blir krypterade vid en ransomwareattack. Det innebär att det ofta finns goda möjligheter att rädda en stor mängd data. Dessutom är det inte alltid hela filer som krypteras, vilket gör att delar av filer ibland kan återskapas.

Hur viktigt är förståelsen för data, lagring och återställning?

Den är extremt viktig. Det är avgörande att veta var data faktiskt lagras. I moderna lagringsmiljöer är det ofta svårt att peka ut det fysiska lagringsmedia som innehåller den kritiska informationen. Är datan skyddad i en molntjänst eller i de egna lokalerna? När det gäller återställning är det minst lika viktigt att veta hur man ska agera när något går fel.

Vilka hot ser ni oftast kopplade till bristande kunskap snarare än teknik?

Ett tydligt exempel är regelefterlevnad. Det är i grunden ett ledningsansvar och inte något som enbart ligger på tekniknivå hos IT-avdelningen. När detta missförstås uppstår ofta allvarliga säkerhetsrisker.

Vad skulle du säga till någon som funderar på att utbilda sig inom cybersäkerhet?

Jag skulle rekommendera att börja med en bred utbildning som skapar en stabil grund och som sedan kan leda vidare till specialistkunskaper inom ett specifikt område. Förståelsen för grunderna och för olika hotbilder är avgörande för att kunna arbeta effektivt med cybersäkerhet.

Hur tror du att efterfrågan på cybersäkerhetskompetens kommer att utvecklas de kommande åren?

Jag är övertygad om att behovet kommer att vara betydligt större än tillgången på personer med rätt kompetens inom cybersäkerhet. Efterfrågan kommer att fortsätta öka under lång tid framöver.