Dataintrång, AI och förlorat förtroende - så skyddar ni er

"Det där får IT ta hand om."

Så har kanske många verksamheter länge tänkt kring säkerhet. Men i takt med att fler system integreras, molntjänster växer och AI tar plats i varje hörn av organisationen har den inställningen spelat ut sin roll. Idag handlar digital säkerhet lika mycket om människor, processer och beslut. En strategisk fråga som påverkar hela organisationen: affären, varumärket, kundrelationerna - och förtroendet.

Men många attacker sker i det tysta. Ett mejl med fel länk, ett oskyddat API eller en glömd databas i molnet kan vara allt som krävs.

Incidenterna som får oss att vakna

När Swish och BankID går ner påverkar det miljontals användare på direkten. När medlemsuppgifter läcker från en idrottsplattform som SportAdmin hamnar tusentals personuppgifter i osäkra händer. Det blir då väldigt tydligt hur människor påverkas av verksamheters datahantering och att digitala tjänster måste fungera och vara säkra. För konsekvenserna är inte bara tekniska. De är juridiska, ekonomiska och påverkar kundrelationen.

Med hotbilden som växer i takt med AI och digitalisering behöver säkerhetsutbildning även ges till andra än IT. Och det behövs interna riktlinjer och policys.

Så sker dataintrång - och det som gör dem svårare hantera

Phishing och stulna inloggningsuppgifter är några av de vanligaste orsakerna till dataintrång. Phishing är när någon försöker lura dig att avslöja känslig information, ofta genom att skicka ett mejl eller sms som ser ut att komma från en betrodd avsändare, som din bank eller en kollega, med uppmaning om att kanska logga in någonstans för att kunna stjäla dina uppgifter. Idag kan AI användas för det här, där man har sett att AI kan göra realtidssamtal med både fejkade röster och även vissa fall ansikten i videosamtal. Med inloggningsuppgifter kan angriparen ta sig in i företagets system och orsaka stor skada.

Faktorer som kan göra intrång svårare att hantera

• Komplexa säkerhetssystem utan överblick
• Brist på säkerhetskompetens
• Incidenter via tredjepartstjänster
• ”Shadow data” – data som inte är kartlagd eller hanteras i okända system. Exempelvis genom att medarbetare delar information via otillåtna verktyg eller laddar upp till olika typer av molntjänster som egentligen inte är godkända av verksamheten.

I takt med att data sprids över moln, servrar och externa system försvinner insynen, och därmed möjligheten att snabbt upptäcka var sårbarheter finns.

Vad kan ni göra för att skydda er?

Att skydda sin data är en av de mest grundläggande, men också mest utmanande, delarna av dagens säkerhetsarbete. Här är fem konkreta områden att börja titta på.

1. Känn till er data, och var den finns

40 % av alla dataintrång globalt involverar data som lagras över flera olika miljöer som lokala servrar, privata moln och publika molntjänster. Problemet är att många organisationer inte har en komplett eller uppdaterad överblick över var data finns, vad den innehåller eller hur känslig den är.

• Gör en datainventering. Vad har ni, var lagras det, vem har åtkomst och hur skyddas det? Säkerställ att ni har överblick över alla miljöer, även externa system och molntjänster.
• Sätt upp rutiner för att kontinuerligt övervaka och uppdatera era dataflöden.

2. Centralisera er data

Organisationer som har en mer centraliserad datakontroll kan i genomsnitt upptäcka och stoppa intrång snabbare. Så förenkla systemmiljön, minska antalet lösningar med dålig säkerhet och se till att det finns tydliga roller och rutiner. Ju mer samlat ni har er data och er kontroll, desto snabbare kan ni agera.

3. Använd AI på ett säkert sätt

Allt fler verksamheter rullar ut AI-lösningar i snabb takt, men många AI-initiativ är idag inte säkrade. Många organisationer använder generativ AI i sin vardag, både på individnivå (t.ex. ChatGPT) och i större projekt. När medarbetare matar in känslig information i öppna AI-tjänster (till exempel interna dokument eller kunddata) finns risken att den informationen används för att träna modellen vidare. Det innebär att datan inte längre är i organisationens kontroll, och i värsta fall kan den läcka ut eller återanvändas i andras material.

Vad behöver man tänka på?

• Tänk innan du promptar
  Klistra inte in känslig information i öppna AI-tjänster som ChatGPT, det du skriver kan sparas och användas igen.
  
• Skydda träningsdata
  Se till att AI-system inte får tillgång till information de inte ska ha. Det gäller både interna och externa verktyg.
  
• Sätt upp policys och rutiner för AI-användning (AI governance)
  AI påverkar många delar av verksamheten, se till att det finns gemensamma riktlinjer och att alla vet vad som gäller.
  
• Utbilda teamet
  En snabb genomgång om vad man får och inte får göra med AI-tjänster kan räcka långt för att undvika misstag.
  
• Följ upp och håll koll
  Använd verktyg eller processer som kan upptäcka när AI används fel och eventuella dataläckor

4. Träna organisationen

“Phishing” och “social engineering” riktar sig mot människor, inte teknik. Träna hela organisationen i grundläggande cybersäkerhet, inte bara IT. Ju tidigare intrång upptäcks, desto lägre blir kostnaden.

5. Testa er beredskap

Att reagera snabbt och samlat vid en incident kan göra stor skillnad i både kostnad och påverkan. Gör regelbundna säkerhetsövningar, gärna med hela organisationen och inte bara med IT. Simulera ett dataintrång: vad gör ni, vem gör vad, vad säger ni till kunderna? Genom att testa era planer i förväg, sänker ni tröskeln när det väl gäller. Det handlar om att skapa trygghet, snabbhet och förtroende.

Checklista: Frågor att ställa i verksamheten

• Var lagras vår mest känsliga information, och hur skyddas den?
• Har vi koll på vilka system, tjänster och externa parter vi använder?
• Vad händer om vi blir av med åtkomst till systemen i en vecka?
• Har vi tydliga rutiner för lösenord, inloggningar och incidentrapportering?
• Hur använder vi AI, och har vi säkerhetspolicys för det? För verksamheten OCH för medarbetarna?
• Har vi någon plan för kommunikation vid en säkerhetsincident?

Tid är pengar, och förtroende

Ju längre ett intrång pågår, desto dyrare blir det oftast. De organisationer som lyckas upptäcka och hantera intrång snabbt, minskar skadan markant. Men säkerhetsarbetet slutar inte när själva intrånget är stoppat. Det är först då arbetet med att återbygga förtroende hos kunder, medarbetare och partners börjar.

Digital säkerhet är inte ett projekt. Det är ett pågående arbete, som kräver teknik, träning och tydliga processer. Och det är något hela organisationen måste vara en del av.