Hoppa till huvudinnehåll

Intelligence assured

Prenumerera på framtida blogginlägg via vårt nyhetsbrev

Läs mer om hur vi hanterar personlig information

Cybersäkerhet är idag inte bara en teknisk utmaning utan även en mänsklig utmaning – en fråga om säkerhetskultur. Kriminella utnyttjar inte alltid enbart tekniska brister utan förlitar sig ofta på människor för att komma åt känsliga uppgifter och det är därför den mänskliga faktorn som är orsaken till de mest allvarliga säkerhetsintrången. Att bygga och underhålla en stark säkerhetskultur är därför en oerhört viktig del i arbetet med cybersäkerhet.

Vad är säkerhetskultur?

Säkerhetskultur är gemensamma värderingar, föreställningar, attityder, kunskaper och beteenden hos individer och grupper i en organisation inriktade på att skapa säkerhet i verksamheten. Säkerhetskultur handlar om hur medarbetares värderingar påverkar sättet att tänka och agera i förhållande till risk och säkerhet. Den har därför stor betydelse för hur man arbetar och påverkar de anställda dagligen.

security culture

Vad är en bra säkerhetskultur?

I en bra säkerhetskultur är alla medvetna om riskerna och har både kunskap och vilja att genom sitt agerande bidra till att minska riskerna. Säkerhetstänkandet är en självklar del av verksamheten. Säkerhetskulturen har med andra ord en stor betydelse för hur man arbetar, prioriterar och på olika sätt skapar förutsättningar för medarbetarna att arbeta på ett säkert sätt. Ytterligare en sak som kännetecknar en god säkerhetskultur på en arbetsplats är att ledningen prioriterar och hanterar säkerhetsfrågor på alla nivåer i verksamheten och att de är en del av kulturen.

En bra säkerhetskultur minskar risken för säkerhetsintrång

Enligt NTT Securitys rapport Risk, Value Report 2019 kostar det i genomsnitt 30 MSEK att återhämta sig efter ett säkerhetsintrång. För 2018 var siffran 10 MSEK vilket alltså innebär att kostnaden har ökat dramatiskt. Med en bra säkerhetskultur kan man minimera onödiga säkerhetsproblem. Därmed minskar risken för stora driftstörningar och man kan undvika höga kostnader för att försöka reparera säkerhetsintrången.

Unga är ofta mindre medvetna om det viktiga med säkerhetskultur

Enligt en rapport från NTT Ltd är de under 30 ofta de som är sämst på säkerhet på en arbetsplats. Millennials, dvs de som är födda mellan 1980 och 2000, har vuxit upp med teknik som en naturlig del men det gör dem alltså inte automatiskt mer cybersäkra, snarare tvärtom. För dem är snabbhet, produktivitet och flexibilitet viktigare och de har ofta en mer avslappnad attityd mot cybersäkerhet vilket faktiskt gör dem till en tickande säkerhetsrisk. Att göra dem medvetna om risker samt lära dem hur de kan jobba säkert utan att det blir mer oflexibelt är därför prioriterade åtgärder.

steps to security culture

Hur blir vi bättre på säkerhetskultur?

För att bli bättre på säkerhetskultur behöver attityder och beteenden ändras. Organisation behöver se cybersäkerhet och säkerhetskultur som en verksamhetskritisk aktivitet, och inte som en isolerad IT fråga och ledningen måste prioritera frågan.

Det som ska genomsyra arbetet med säkerhetskulturen är att tänka på säkerhet som något som möjliggör arbetet – inte hindrar det.

Några enkla konkreta åtgärder som alla kan följa är följande:

  • Har du något av värde hemma eller på arbetsplatsen så låser & larmar du samt håller koll på vem som får komma in. Tänk likadant med digital information.
  • Använd inte samma lösenord till allt – och använd gärna tvåfaktorsidentifiering när det går
  • Tänk på att använda bra lösenord och lämna aldrig ut lösenordet till någon annan
  • Undvik att surfa på publika wi-fi nät där säkerheten inte är den bästa
  • Klicka inte på länkar i misstänkta phishing-mail och rapportera till IT-avdelningen så fort du misstänker att du blivit utsatt för ett phishing-försök. 
  • Försök ha regelbundna ”boost-sessions” där ni pratar om säkerhet och påminner om vilka säkerhetspolicys som finns, samt går igenom innehållet i dessa.
  • Ha uppdaterade enheter – dvs genomför alla uppdateringar. Anledningen är att dessa uppdateringar innehåller säkerhetsförbättringar som du givetvis ska se till att ta del av

Behöver du hjälp med hur du kommer igång med en bättre säkerhetskultur på din arbetsplats? 

Välkommen att kontakta oss på Advenica. Vi har lång erfarenhet av cybersäkerhet, vet vad som krävs och vilka rutiner och processer som du behöver gå igenom för att kunna skapa en stark säkerhetskultur.
 

En cyberattack på kontrollsystem inom olje- och gasindustrin kan leda till allvarliga konsekvenser för människors säkerhet och för miljön i form av utbrott, explosioner, bränder, utsläpp och spill.
Därför bör denna sektor arbeta med cybersäkerhet på ett konsekvent och kontinuerligt sätt. Men så är det oftast inte – vilket innebär en stor risk för både samhället och miljön.

Olje- och gasindustrin är beroende av digital teknik

ICS- och SCADA-systemen som används i denna sektor är beroende av digital teknik. Olje- och gasföretag litar på anslutna data- och kontrollsystem för att underlätta prospektering, borrning, systemövervakning och för att optimera produktionen från onshore- och offshore-resurser.
Tidigare isolerades nätverken som användes mellan processutrustning och styrsystem från andra nätverk såsom internet, men så är det oftast inte längre. Behovet av att överföra produktionsdata till IT-system, och behovet av fjärrunderhåll av systemen, innebär att en sådan separering inte längre är praktiskt möjlig.

Den ökade användningen av automatisering inom denna sektor behövs för att hantera kostnader, för att få ut det mesta möjliga från nuvarande tillgångar och för att maximera upptid. Men när beroendet av It-teknik har vuxit så har sårbarheten för cyberattacker också lett till ökad risk för hot mot ICS- och SCADA-nätverken. 

oil & gas industry

Låg cybersäkerhetsmedvetenhet inom olje- och gasindustrin

Enligt den senaste rapporten från Dragos är olje- och gasindustrin ett särskilt värdefullt mål för de som vill utnyttja industriella kontrollsystem (ICS) miljöer. En huvudsaklig orsak är att denna sektor fortfarande har kritiska it-sårbarheter som ligger oskyddade, dvs man har inte infört tillräckliga cybersäkerhetsåtgärder.

Ett exempel på ett företag som drabbades är Saipem, en italiensk entreprenör i olje- och gasindustrin, som i december 2018 blev offer för en cyberattack som drabbade servrar baserade i Mellanöstern, Indien, Aberdeen och Italien. Attacken, som använde en variant av det ökända Shamoon-viruset, påverkade mellan 300 och 400 servrar och upp till 100 persondatorer, vilket ledde till att data och infrastrukturer stängdes av.

Varför är medvetenheten om cybersäkerhet så låg i denna sektor?
En stor utmaning med all säkerhet är medvetenhet och utbildning bland anställda - att ha en säkerhetskultur. Skadlig kod sprids vanligtvis på grund av mänskliga misstag genom bilagor i e-postmeddelanden som öppnas, USB-minnen som sätts in, bärbara datorer som är anslutna till okända nätverk etc.

Inom olje- och gasindustrin finns majoriteten av personalen onshore och mycket arbete görs på distans. Medvetenhet om säkerhet och på att bygga en säkerhetskultur är kanske inte högsta prioritet. Utan denna medvetenhet installeras inte rätt utrustning, misstag görs och sannolikheten för oönskade incidenter ökar.

cybersecurity in oil & gas industry

Hur man arbetar med cybersäkerhet inom olje- och gasindustrin

Eftersom sektorn står inför en så hög cyber-risk är det mer avgörande än någonsin för olje- och gasorganisationer att skaffa sig en cybersäkerhetskultur och gå från reaktionär till proaktiv.

Anställda måste informeras om riskerna och lära sig att minimera sårbarheter. Gammal utrustning och system måste bytas ut, och nätverk bör separeras.

För att skydda data i ICS / SCADA-miljöer behöver organisationer inom olje- och gasindustrin också tekniska lösningar som förhindrar läckage och upprätthåller nätverkssekretess. Robust cybersäkerhet är en absolut nödvändighet för säker, kontinuerlig och pålitlig drift och är möjligt med rätt lösningar.

Behöver ni hjälp?
Advenica har lång erfarenhet av cybersäkerhet och med att säkra känslig data. Vi kan hjälpa dig med cybersäkerhetsrådgivning om hur du bygger en cybersäkerhetskultur och med framtidssäkra cybersäkerhetslösningar med hög assurans som säkerställer att du får en säker digitalisering.

Välkommen att kontakta oss!