- Annonser -
  • Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Tre åtgärder för att göra ditt företag redo för DORA

Om finanssektorn skall vara redo för DORA (Digital Operational Resilience Act), när den träder i kraft, krävs att de gör sig av med sitt nuvarande förhållningssätt till IT-säkerhet och fokuserar mer på att förutse dess utveckling, det skriver Pelle Kokholm Andersen, Nordic Security Solution Area Lead, Avanade.

-

- Annons -

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.

Det är ingen hemlighet att risken för IT-attacker är mer närvarande än någonsin. Digitaliseringen i pandemins spår har förstärkt den växande hotbilden, samtidigt som kriget i Ukraina har gjort att fler företag har hamnat i både statsaktörers och cyberkriminellas skottlinje.

I hybridkrigföringens tidevarv är slagfälten mångdimensionella, och incidenterna kring gasledningarna Nord Stream 1 och 2 påverkat många sektorer och tvingat många att inta högsta beredskapsnivå. Finansbranschen har ännu inte gjort det, men även här kan beredskapsnivån snabbt komma att behöva förstärkas. 

Som en motåtgärd till den ökande cyberbrottsligheten har EU-kommissionen utarbetat DORA (Digital Operational Resilience Act) – ett lagförslag för att stärka den europeiska finansbranschens digitala motståndskraft mot IT-attacker. 

”Allt talar för att det är en tidsfråga innan DORA förverkligas”

DORA är utan tvekan ett viktigt initiativ för att stärka IT-säkerheten i en samhällskritisk bransch. Ett problem är dock att finanssektorn inte är rustad för att leva upp till regelverket, trots branschens omfattande digitaliseringsprocess under de senaste åren. Just nu talar allt för att det är en tidsfråga innan DORA förverkligas. EU:s plan är att få igenom det slutliga godkännandet i slutet av 2022, med efterföljande implementering i de enskilda länderna. Därför är det absolut nödvändigt att redan nu ta de första stegen mot höjd IT-säkerhet och lägga grunden till förberedelserna för DORA.

För att lyckas med detta krävs framför allt följande tre åtgärder:

1. Säkerheten kräver regelbundna och aktuella beredskapsövningar
Digitaliseringen av samhället för mycket gott med sig, som till exempel större flexibilitet i arbetslivet, samt enklare och mer användarvänliga sätt att bedriva verksamhet på. Men samtidigt för den med sig stora förändringar. Ett företags marknadsandelar kan förändras på bara några år, eller till och med månader, samtidigt som de cyberkriminella kan anpassa sig och agera blixtsnabbt. Det är denna krassa verklighet som även finansiella företag har att förhålla sig till.

Tiden då verksamheter kunde ha beredskapsövningar en gång om året för att testa om larmsystem fungerar är förbi. Denna frekvens måste nu öka, samtidigt som säkerhetssystemen bör utformas så att man kontinuerligt kan bedöma risker, samt snabbt och effektivt uppdatera systemen. Dessutom kan artificiell intelligens och maskininlärning stärka skyddet genom att automatisera uppgifter och därmed lätta på bördan för IT-säkerhetsavdelningen. Detta inte minst med tanke på hur svårt det är att attrahera kompetens.

”Det går inte att fritt lägga ut hela digitaliseringen av sin verksamhet till en tredje part och anta att all data är skyddad”

2. Ta eget ansvar för din data  

DORA är långt ifrån det enda kravet som finanssektorn måste ta hänsyn till. Det närbesläktade EU-direktivet NIS2 ställer krav på företags datahantering. NIS2-direktivet innebär en skärpt tillsyn av exempelvis banker i det att de kan hållas direkt ansvariga för intrång i dess system. Det går alltså inte att fritt lägga ut hela digitaliseringen av sin verksamhet till en tredje part och anta att all data är skyddad. Det är tvärtom ett krav att själv ta ansvar för sina data. Outsourcing bör föregås av noggranna riskbedömningar, och vara brett förankrade i företagens ledning och styrelse. Det skall med andra ord betraktas som en verksamhetsrisk, snarare än en IT-säkerhetsrisk.

Om vi tar ransomware-attacker som ett exempel, så lyckas de vanligtvis då affärskritiska data inte är tillräckligt skyddad. Om ett system eller applikation på ett företag inte säkras, ökar risken för att utsättas för en ransomware-attack som inte upptäcks förrän långt senare. Det finns exempel på hackare som har haft åtkomst till företagets data i månader innan intrånget upptäcktes. Därför är det viktigt att företag skyddar sina data på att gediget sätt, samt att ha en handlingsplan färdigställd redan innan en IT-attack inträffar. 

Det moderna förhållningssättet till IT-säkerhet kallas passande nog för zero trust. Begreppet syftar på att det inte handlar om huruvida en cyberattack sker, utan när. Företag måste utgå ifrån att deras IT-miljö kan, och kommer att attackeras när som helst och de måste därför alltid ha en lämplig krisstrategi redo.

3. Säkerhet kräver risktagande

Det kan låta paradoxalt, men bra IT-säkerhet och förberedelser inför DORA kräver att företag vågar ta risker. Påståendet ska ses som en vilja att tänka utanför ramarna och att vara öppna för nya sätt att utföra saker på. Det är trots allt så som de cyberkriminella agerar.

Låt oss ta lösenordsoptimering som ett exempel. Enligt det traditionella synsättet, är lösningen att rulla ut effektivare lösenordsskyddsprogram eller att intensifiera befintliga lösenordspolicyer. Men tänk om nyckeln istället är att helt sluta använda traditionella lösenord?

Du kan aldrig förbereda dig fullt ut mot cyberattacker i en modern IT-miljö, där moln och kommunikation online är ett måste.  Därför är det viktigt att du har ett riskbaserat förhållningssätt till IT-säkerhet och aktivt förbereder dig på en IT-attack. 

Pelle Kokholm Andersen, Nordic Security Solution Area Lead, Avanade

DORA knackar på dörrenAtt stärka IT-säkerhet inom finanssektorn är således inte en fråga om när det bör göras, utan hur det ska göras. Och ja, det kräver både resurser, mod och betydligt mer flexibilitet i ledning och organisation, men det är nödvändigt om finansvärlden ska vara redo – inte bara för DORA, utan för den moderna digitala tidsåldern.

- Annons -

”Hållbara laddprodukter främjar fastighetsbranschens utveckling”

Hallå där Josefin Bengtsson, COO och Head of Marketing för Compleo Nordic. Vilka är Compleo?– Compleo erbjuder allt man behöver för en smart och...

FLER NYHETER

IMY publicerar vägledning för integritetsanalys

IMY publicerar nu ”Vägledning för integritetsanalys i lagstiftningsarbete”. Vägledningen riktar sig främst till de som tar fram författningsförslag som innebär att personuppgifter behandlas, till...
- Annons -

Stärkt system för samordningsnummer

Ett samordningsnummer är en identitetsbeteckning för personer som inte är eller har varit folkbokförda i Sverige, men som ändå har behov av att ha...

Hon blir ny ordförande för Tech Sveriges Hållbarhetsråd

Johanna Giorgi, hållbarhetschef för AddSecure, har utsetts till ordförande för Tech Sveriges hållbarhetsråd.Rådet arbetar aktivt både för att lyfta fram techbranschen som möjliggörare av...
- Annons -

Lagförslag om hjärtstartare i bostadsområden

Det inträffar runt 6 000 hjärtstopp om året utanför sjukhus i Sverige. Genom hjärt-lungräddning överlever ungefär var tionde. Den siffran skulle kunna dubblas om...

Hallå där, Rahmina Khatun, en av tre mottagare av ISACA-stipendiet 2022

Motiveringen lyder:I denna uppsats rätas frågetecknet ut till ett utropstecken och arbetet belyser att kamerabevakning utan tillståndskrav på platser där allmänheten inte äger tillträde...

Utbildning ska ge tågpersonal verktyg för att hantera hot och våld

Anmälda arbetsplatsolyckor orsakade av hot och våld som leder till sjukfrånvaro ligger högt inom spårbunden trafik.* Att ge till exempel tågvärdar och konduktörer ökade...

PAM-as-a-Service ger ett extra lager för ökad säkerhet

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Många allvarliga cyberattacker inleds genom att hackaren lyckas ta över så kallade privilegierade användarkonton....

PTS övade cyberförsvar

Under två dagar, 29-30 november, genomfördes PTS CDX 2022, (CyberDefenceExercise) en teknisk övning tillsammans med deltagare ur sektorn elektronisk kommunikation. Övningen genomfördes på FOI:s...

A-kassans utbetalningar skjuts upp efter cyberattack

Softronic sköter bland annat driften åt a-kassorna, som på grund av attacken meddelat att utbetalningarna från dem kommer att dröja."Av säkerhetsskäl kommer torsdagens utbetalning...

Offren för utpressningsattacker har ökat med 138 procent i Norden

Bland resultaten framkommer att det totala antalet incidenter ökat med drygt fem procent från föregående år. I snitt utsattes varje kund för fler än...

Säkerhet och digitalisering högst prioriterat för företags betalningslösningar inför 2023

Att stärka säkerheten är den satsning som företagen prioriterar allra högst när det gäller betallösningar, visar undersökningen. På andra plats hamnar digitalisering av betalningar,...

Gömmer sig en “cyberspion” i din datainfrastruktur?

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Cyberattacker är svåra att upptäcka. I snitt tar det upp till 287 dagar att...

2Secure anställer informationssäkerhetskonsult

Erik Baumgardt är i grunden statsvetare och inriktade sig tidigt på säkerhetspolitik och integritetsfrågor.– Jag vill utvecklas och lära nytt och såklart bidra till...

Verktyg ska hjälpa att systematisera och brottsförebygga i skolor

– Tillsammans med Länsstyrelsen i Blekinge har vi på den oberoende tankesmedjan Stiftelsen Tryggare Sverige utvecklat ett verktyg som möjliggör ett kunskapsbaserat och systematiskt arbetssätt...