Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Idag är andelen ransomware-attacker mot svenska företag fler och värre än någonsin. Det vill säga när hackare gör intrång i en organisations IT-system och tar över och låser alla datorer och stjäl känslig information. För att få tillbaka nyckeln och informationen krävs organisationen på en lösensumma. Även lösensumman för ransomware ökar kraftigt och är ofta på flera miljoner kronor. Då är inte ens de ekonomiska skador som också uppstått för företaget i form av driftavbrott med mera inräknade. Det finns till och med företag som har gått omkull på grund av en ransomware-attack.
Trots detta är det alltför få företag som investerar i sin IT-säkerhet. Många ser det som ett nödvändigt ont som kostar pengar, eller som en egen avdelning vars enda uppgift är att hindra medarbetare och utomstående från att göra fel och orsaka skada. Nu är det hög tid att tänka om.
IT-säkerhet är inte längre bara en IT-fråga utan en affärsfråga. Företagsledningarna måste inse att företagen är sårbara och vilka konsekvenserna blir om de inte har investerat i sin IT-säkerhet. Frågan är inte om företaget drabbas av en attack, utan när. För de företag som då har investerat i sin IT-säkerhet kan det innebära en ROI på flera tusen procent när IT-bedragarna väl slår till.
Hur kan man då som företag investera i sin IT-säkerhet? Först och främst behöver man identifiera vilken värdefull data företaget har och hur man skyddar den. Man bör också se över vilka brister och utmaningar som finns. Vidare bör alla företag ställa sig frågan vad det skulle innebära för verksamheten om IT låg nere under en period. Hur länge klarar man sig utan sin IT? Vilka risker är man villig att ta? Det är viktigt att man som företag förstår sina risker så att man därefter kan fatta medvetna beslut.
Det handlar alltså inte främst om att försöka undvika en IT-attack genom att minimera riskexponeringen, utan om att flytta fokus till återhämtning och begränsa effekten av en incident när den väl inträffar. Det behöver finnas en gemensam förståelse för att säkerhet och affär hänger ihop. Frågan måste vara med när man fattar strategiska beslut i ledningen och IT-säkerheten bör vara en självklar del av affärsmodellen där man arbetar efter devisen ”Security is business”.