I en värld där cyberhoten ständigt utvecklas, ställs företagens säkerhetschefer inför ett dilemma som kan ha förödande konsekvenser.
Den dolda agendan: Så mörklägger företagen cyberattacker
En ny rapport visar att de utsätts för allt större påtryckningar från sina arbetsgivare att hålla tyst om dataintrång, en trend som har ökat dramatiskt.
Denna tystnad kan leda till allvarliga konsekvenser, både för företaget och för den enskilda säkerhetschefen, skriver Business Insights.
Pressen att mörklägga växer
Enligt en rapport från Bitdefender uppger 69 procent av säkerhetscheferna, de så kallade ciso-cheferna, att de har blivit tillsagda av sina arbetsgivare att hålla tyst om säkerhetsincidenter. Detta är en markant ökning från 42 procent för bara två år sedan.
Trycket att dölja incidenter har även rapporterats av 58 procent av alla it- och säkerhetsproffs som tillfrågats globalt, vilket illustrerar att tystnadskulturen är på frammarsch. Denna press grundar sig ofta i en rädsla för företagets rykte och potentiella ekonomiska förluster, vilket prioriteras framför regelefterlevnad.
Martin Zugec, teknisk lösningschef på Bitdefender, menar att cyberbrottslingars nya metoder bidrar till detta mörkläggande. Istället för traditionella attacker som krypterar data och snabbt blir synliga, fokuserar angripare nu på tyst datastöld.
“Det här tillvägagångssättet minimerar det offentliga utfallet och möjliggör privata förhandlingar”, säger Zugec, vilket ökar trycket på säkerhetscheferna att inte offentliggöra intrången.
Exempelvis genomfördes en attack av gruppen RedCurl specifikt mot hypervisorer, vilket undvek att påverka slutanvändarna direkt och därmed gjorde intrånget mindre synligt.
De tysta riskerna för företagen
Flera tidigare säkerhetschefer, som valt att vara anonyma på grund av sekretessavtal, berättar om intensiva påtryckningar att dölja misstänkta incidenter.
En av dem, som arbetade på ett Fortune Global 500-företag, bevittnade detta fenomen upprepade gånger.
“Pressen var särskilt intensiv inför aktieägarmöten eller kvartalsrapporter”, berättar källan.
Beslut om att inte offentliggöra incidenter fattades konsekvent utan ciso-chefens inblandning, ofta under motiveringen att det inte nödvändigtvis var en cybersäkerhetsincident.
Enligt rapporten från Bitdefender är påtryckningarna mest förekommande i Singapore med 76 procent, följt av USA med 74 procent och Storbritannien med 58 procent, medan Frankrike har lägst siffra med 35 procent.
Företagen som försöker tysta ner incidenter riskerar att deras problem förvärras, enligt Caroline Morgan, delägare i CM Law.
Lagliga konsekvenser som höga böter från tillsynsmyndigheter, varumärkesskador och stämningar kan bli förödande. Ubers tidigare säkerhetschef, Joe Sullivan, dömdes till villkorlig dom för att ha mörklagt ett säkerhetsbrott 2016, vilket understryker de personliga riskerna.
“Om en informationssäkerhetschef försöker dölja något och upptäcks är det ofta slutet på karriären”, varnar Morgan.
Att skydda sig själv i en osäker värld
För att skydda sig själva i denna riskfyllda miljö måste ciso-chefer vidta en rad åtgärder, från att klart definiera roller till att skaffa sig personlig juridisk rådgivning. Enligt Charles Blauner, tidigare ciso-chef på en bank, är det avgörande att ha en tydlig ansvarsfördelning på företagen.
Han rekommenderar att man använder en RACI-matris (Responsible, Accountable, Consulted, and Informed) för att tydliggöra vem som fattar beslut om riskhantering.
Ett annat viktigt verktyg är noggrann dokumentation. “Dokumentation är avgörande”, säger Ilia Kolochenko, grundare av ImmuniWeb och verksam jurist.
Ciso-chefer bör dokumentera alla möten, beslut och riskacceptanser, exempelvis genom ett riskregister. Detta kan vara så enkelt som ett kalkylblad där risker identifieras och accepteras av relevanta intressenter.
Kayla Williams, ciso på Devo, använder Google Sheets för att spåra godkännandeflöden, vilket skapar ett bevis som kan visas upp för revisorer.
Ciso-chefer bör även överväga juridiska skydd som skadeståndsavtal och försäkringar. Det är viktigt att förstå att en D&O-försäkring inte nödvändigtvis täcker alla former av personligt ansvar, som till exempel kriminella anklagelser.
En av de mest avgörande åtgärderna är att skaffa en egen advokat. Sullivan, den före detta Ubersäkerhetschefen, framhåller att företagets jurister arbetar för företaget, inte för individen. Att ha en egen advokat redan innan en kris uppstår kan vara avgörande för att fatta optimala beslut.
