Nixu Cybersecurity Index måler it-sikkerhedens modenhed i nordeuropæiske organisationer ved at evaluere fire aspekter af it-sikkerhed i organisationerne: Nuværende tilstand, ledelse, finansielle investeringer og fremtidige udviklingsplaner. Resultatet af undersøgelsen viser en gennemsnitlige score på 67, hvilket næppe er tilfredsstillende på 10-100-skalaen. Scorerne er baseret på selvevaluering.
Undersøgelsen blev gennemført i september-oktober 2022. Den baserer sig på besvarelser fra 180 nordeuropæiske it-sikkerhedsledere fra forskellige brancher, der deler deres syn på den nuværende og fremtidige tilstand af it-sikkerhed i deres organisationer.
Ifølge undersøgelsesresultaterne er security awareness den mest kritiske it-sikkerhedskapacitet, og organisationerne planlægger at styrke den i de næste 12 måneder. Risikostyring vurderes derimod af beslutningstagerne som en mindre vigtig kapacitet. Kun 24 procent siger, at risikostyring er en af de mest afgørende faktorer inden for it-sikkerhed, og 21 procent planlægger at styrke den i løbet af det næste år. På trods af dette siger mere end en tredjedel af respondenterne (38 procent), at de mangler velorganiseret risikostyring.
Dette indikerer, at it-sikkerhed er blevet drevet mere som en teknologipost end som en integreret del af virksomhedens risikostyring. Men faktum er, at it-sikkerhed handler om risikostyring, og det bør behandles som et forretningsproblem.
Jan Mickos, Business Area Lead, Managed Services, hos Nixu
Supply chain security er det hotteste emne
Forsyningskædens rolle er blandt de vigtigste tendenser, der afsløres i undersøgelsen. Respondenterne ser det som det hotteste emne inden for it-sikkerhed inden for de næste 12 måneder. Det erstatter ransomware som ellers har været det mest hotte emne i de seneste 12 måneder. Et typisk cyber-angreb i forsyningskæden kan rettes mod en kritisk tjeneste, der i vid udstrækning bruges inden for en bestemt branche. For eksempel har detailsektoren allerede oplevet sådanne angreb, når udbydere af betalingssystemer er blevet kompromitteret.
Det er meget svært at forsvare sig mod den slags angreb, men de kan forebygges. De reelle mangler og hovedansvaret for at forhindre angreb gennem forsyningskæden ligger naturligvis hos leverandørerne, hovedsageligt softwarevirksomhederne. De skal overbevise kunderne om, at deres produkter både fungerer og er sikre. Det har vi længe kunnet tage mere eller mindre for givet, men det er rimeligt, at ansvarsspørgsmål og garantier fremover prioriteres højere i it-indkøbssituationer.
Jan Mickos, Business Area Lead, Managed Services, hos Nixu
De mest kendte cyber-angreb i forsyningskæden er Solarwinds (2020) og Kaseya (2021). Det var sidstnævnte, der blev kendt gennem Coop, hvor inficeret software slog butikkernes pos-systemer ud. Udgangspunktet var ikke et hackerangreb direkte mod Coop, men mod en virksomhed to skridt væk i deres forsyningskæde.
26 procent siger, at deres it-sikkerhedsbudget ikke bruges på den mest effektive måde. På den anden side er to tredjedele af respondenterne sikre eller helt sikre på, at deres it-sikkerhedsudgifter er optimerede og passende.
Organisationerne sætter kvalitet langt over pris, når de træffer beslutninger om it-sikkerhed. 97 procent af respondenterne vurderer, at tjenesteudbydernes dybe ekspertise inden for it-sikkerhed vurderes højt eller ekstremt højt.
Svært at finde sikkerhedskompentencer
Mange oplever i dag vanskeligheder med at finde kompetent arbejdskraft inden for it-sikkerhed. Og selvom det er muligt at finde de rigtige personer, er der mange steder modstand mod at rekruttere for at imødekomme behov, der anses for at være uden for kerneforretningen. Risikoen for at blive afhængig af enkeltpersoner, der sidder på nøglekompetencer inden for sikkerhed, er en anden kilde til at der tøves.
Nixu har arbejdet inden for it-sikkerhedsområdet i over 30 år. I de seneste årtier har feltet udviklet sig og ændret sig markant. Den nuværende geopolitiske udvikling øger også behovet for omfattende sikkerhedstænkning, uanset branche og geografisk placering.
Under sådanne omstændigheder vil enhver organisation kunne drage fordel af at søge hjælp til at forblive på den sikre side og gøre det effektivt. Da der er en global mangel på it-sikkerhedskompetencer, bør organisationer ikke konkurrere om, hvem der kan få rekrutteret. I stedet er den bedste vej at outsource it-sikkerhed og få færdigheder til at skalére for alle.
Jan Mickos, Business Area Lead, Managed Services, hos Nixu
Hele undersøgelsen er tilgængelig her.