Foto: Shutterstock

Det bedste forsvar er en smidig organisation

onsdag 17 okt 18

Kontakt

Daniel Alberto Sepúlveda Estay
Postdoc
DTU Management Engineering
45 25 44 03

Det globale WannaCry-ransomwareangreb inficerede mere end 300.000 computere i 150 lande i maj 2017.


Kilde: Center for Cybersikkerhed, Forsvarets Efterretningstjeneste

I december 2015 blev store dele af Ukraine mørklagt i seks timer som følge af malwaren ’KillDisk’, der lagde en række kraftværker ned.


Kilde: Rapporten 'The Future Market for Cybersecurity in Denmark.

Virksomheder bør kigge på strukturen i deres organisation, hvis de vil ruste sig mod cyberangreb, lyder det fra forsker. 

Cyberkriminalitet er i stigning, og virksomheder er ofte målet. Da virksomhederne indgår i stadig mere komplekse netværk, både i form af it-løsninger og globale forsyningskæder med mange leverandører, er mangfoldigheden af risici stor. Det gør det til en meget omfattende opgave for virksomhederne at lave en retvisende risikoanalyse, siger postdoc Daniel Sepulveda Estay fra DTU Management Engineering. Han har med sine ti års erfaring som bl.a. supply chain manager i Coca Cola og i mineselskabet BHP Billiton på nærmeste hold iagttaget, hvordan kompleksiteten gør opgaven med at beskytte virksomheden mod uventede hændelser som bl.a. cyberangreb stadig sværere. Som forsker i cyberrisiko har han bemærket en ny tendens:

”I stedet for at lægge hele indsatsen på at forebygge cyberangreb er nogle organisationer begyndt at arbejde med, hvordan de skal reagere på et angreb. Den rigtige reaktion er afgørende for, hvor hårdt og hvor længe angrebet påvirker virksomheden,” siger Daniel Sepulveda Estay.

Analyser af cyberangreb

I sin forskning har Daniel Sepulveda Estay bl.a. analyseret et konkret cyberangreb på en amerikansk it-hardware-virksomhed. Virksomheden fik stjålet data om en række nye produkter, som de var tæt på at gå på markedet med. Angrebet betød bl.a., at virksomheden mistede nogle store kunder, og hændelsen gik ud over virksomhedens indtjening i op mod fem år efter tyveriet.

”Modstandsdygtighed handler ikke om at undgå angrebene, men om, hvor hurtigt virksomheden kan komme sig efter et angreb. En virksomhed er modstandsdygtig, hvis den er i stand til at dæmme op for ødelæggelserne og hurtigt komme tilbage til normalt aktivitetsniveau,” siger Daniel Sepulveda Estay.

”I vores forskning udfordrer vi den traditionelle måde at analysere risici i forsyningskæden på, fordi mangfoldigheden af risici er blevet så enorm, at de traditionelle metoder til risikoanalyse kommer til kort,” siger Daniel Sepulveda Estay.

Han mener, at man kan forbedre risikoanalysen ved at gå bort fra de statiske analyser, der fokuserer på en virksomheds driftssikkerhed, og i stedet anvende dynamiske analyser, hvor fokus ligger på at identificere og tage kontrol over virksomhedens svage punkter.

”Når man kender virksomhedens sårbarheder, kan man designe strukturer som f.eks. teams og kommandoveje, der giver organisationen de egenskaber, der gør, at den kan reagere hurtigt ved f.eks. cyberangreb,” siger Daniel Sepulveda Estay.

Tre vigtige faktorer

Gennem sin forskning har han identificeret tre vigtige faktorer, der gør virksomheder modstandsdygtige over for cyberangreb: fleksibilitet, redundans og reaktionstid.

Fleksibilitet er vigtig i krisens akutte fase og består i at mobilisere eksisterende ressourcer i virksomheden. Det kan f.eks. være at allokere medarbejdere, der kan slippe de sædvanlige opgaver og i stedet hjælpe med at få overblik over angrebets omfang, håndtere konsekvenser som forsinkelse af produkter og services samt kommunikere med kunderne.

I krisens næste fase er redundans – en slags virksomhedens plan B – vigtig. Her mobiliserer virksomheden yderligere ressourcer i krisehåndteringen. Det kan være i form af f.eks. ekstra servere med backup eller et alternativt netværk af leverandører, som man har haft stående standby. Den tredje vigtige faktor, tid, handler om reaktionstiden, hvormed virksomheden bringer fleksibilitet og redundans i spil. Tidsfaktoren er afgørende for virksomhedens modstandsdygtighed:

”Den tid, det tager at mobilisere og udnytte både fleksibilitet og redundans, er afgørende for, hvor længe og hvor dybt krisen påvirker virksomheden,” siger Daniel Sepulveda Estay.

Kend sårbarhederne

Har man først opbygget en cybermodstandsdygtig virksomhed, vil den ikke alene være modstandsdygtig over for cyberangreb, men også over for andre hændelser som strejker, ulykker, terror eller ekstremt vejr, siger Daniel Sepulveda Estay. Det hele kræver dog, at virksomheden kigger indad:

”Vi kan ikke styre, hvad der kommer udefra, men vi kan forsøge at styre, hvordan vi vil reagere, hvis en krise opstår. Ved at kigge på organisationen i sin risikoanalyse får man øje på virksomhedens sårbarheder. De er vigtige at kende, hvis man vil have en modstandsdygtig organisation, som kan klare et cyberangreb,” siger Daniel Sepulveda Estay

Relaterede Videoer  

Vis flere