Den dolda agendan: Så mörklägger företagen cyberattacker

De tysta riskerna för företagen

Flera tidigare säkerhetschefer, som valt att vara anonyma på grund av sekretessavtal, berättar om intensiva påtryckningar att dölja misstänkta incidenter.

En av dem, som arbetade på ett Fortune Global 500-företag, bevittnade detta fenomen upprepade gånger.

“Pressen var särskilt intensiv inför aktieägarmöten eller kvartalsrapporter”, berättar källan.

Den osannolika trenden: Halva världen kvar på Windows 10

Supporten för Windows 10 närmar sig sitt slut, men trots det använder nästan hälften av alla datoranvändare fortfarande det äldre operativsystemet.

Beslut om att inte offentliggöra incidenter fattades konsekvent utan ciso-chefens inblandning, ofta under motiveringen att det inte nödvändigtvis var en cybersäkerhetsincident.

Läs också: Maria Larsson om sänkt skatt på pension: “Småsmulor”. E55

Enligt rapporten från Bitdefender är påtryckningarna mest förekommande i Singapore med 76 procent, följt av USA med 74 procent och Storbritannien med 58 procent, medan Frankrike har lägst siffra med 35 procent.

Företagen som försöker tysta ner incidenter riskerar att deras problem förvärras, enligt Caroline Morgan, delägare i CM Law.

Lagliga konsekvenser som höga böter från tillsynsmyndigheter, varumärkesskador och stämningar kan bli förödande. Ubers tidigare säkerhetschef, Joe Sullivan, dömdes till villkorlig dom för att ha mörklagt ett säkerhetsbrott 2016, vilket understryker de personliga riskerna.

“Om en informationssäkerhetschef försöker dölja något och upptäcks är det ofta slutet på karriären”, varnar Morgan.

Hemlig forskning kan göra internet 45 procent snabbare

Forskare som arbetar lite i skymundan med stöd av en viss teknikjätte har presenterat en ny sorts fiberkabel som kan innebära ett genombrott för digital

Att skydda sig själv i en osäker värld

För att skydda sig själva i denna riskfyllda miljö måste ciso-chefer vidta en rad åtgärder, från att klart definiera roller till att skaffa sig personlig juridisk rådgivning. Enligt Charles Blauner, tidigare ciso-chef på en bank, är det avgörande att ha en tydlig ansvarsfördelning på företagen.

Han rekommenderar att man använder en RACI-matris (Responsible, Accountable, Consulted, and Informed) för att tydliggöra vem som fattar beslut om riskhantering.

Ett annat viktigt verktyg är noggrann dokumentation. “Dokumentation är avgörande”, säger Ilia Kolochenko, grundare av ImmuniWeb och verksam jurist.

Läs också: Miljardsatsningen ska skydda Sverige mot digitala attacker. Realtid

Ciso-chefer bör dokumentera alla möten, beslut och riskacceptanser, exempelvis genom ett riskregister. Detta kan vara så enkelt som ett kalkylblad där risker identifieras och accepteras av relevanta intressenter.

Kayla Williams, ciso på Devo, använder Google Sheets för att spåra godkännandeflöden, vilket skapar ett bevis som kan visas upp för revisorer.

Ciso-chefer bör även överväga juridiska skydd som skadeståndsavtal och försäkringar. Det är viktigt att förstå att en D&O-försäkring inte nödvändigtvis täcker alla former av personligt ansvar, som till exempel kriminella anklagelser.

En av de mest avgörande åtgärderna är att skaffa en egen advokat. Sullivan, den före detta Ubersäkerhetschefen, framhåller att företagets jurister arbetar för företaget, inte för individen. Att ha en egen advokat redan innan en kris uppstår kan vara avgörande för att fatta optimala beslut.

Kinas hemliga mjukvara ger regimer total makt

Dolt i läckta filer avslöjas hur ett kinesiskt företag exporterar internetcensur som används av regimer för att övervaka befolkningen. Det läcker

Missa inte:

Glömt koden igen? När minnet sviker – vad beror det på? News 55

Pensionsmyndighet-ändring hindrar jämställd pension för kvinnor. E55

Danmarks jättar vacklar – är framgångssagan över? Realtid