Kostnaderna för dålig säkerhet

Förra månaden avslöjade Sony prislappen förknippad med att städa upp det massiva säkerhetsintrånget som avslöjade personlig information om mer än 100 miljoner användare av dess PlayStation Network och Qriocity streaming-mediatjänster: minst 171 miljoner dollar. Det var det största intrånget som något företag någonsin upplevt, enligt Sonys styrelseordförande, Sir Howard Stringer, och den svindlande summan kommer att täcka säkerhetsförbättringar, kundkompensation och utredningstjänster. Men hela vägtullarna kommer att bli svårare att mäta, eftersom det kommer att inkludera förlusten av kundernas förtroende för företaget.





Håller med: Enterprise Strategy Group, ett konsultföretag, frågade 308 IT-proffs i stora företag vilka faktorer som motiverade deras beslut att förbättra datasäkerheten. Regelefterlevnad toppade listan

Episoden var en påminnelse om de insatser som är involverade i datasäkerhet – och en indikator på att många organisationer inte skyddar sig själva tillräckligt bra. När det kommer till alla dessa säkerhetsproblem spenderar företag inte i förväg utan måste spendera mycket pengar på baksidan för att fixa saker, säger Thomas Ristenpart, en datasäkerhetsforskare vid University of Wisconsin, Madison.

Den här månaden, Affärspåverkan fokuserar på att säkra data mot stöld och förlust. Vi kommer att utforska säkerhetstaktiken som företag borde använda, investeringarna de borde göra och frågorna de borde ställa. Vi kommer att undersöka smarta metoder för mobila enheter, distansarbetare och molnberäkningar, och vi kommer att få insikter från topptänkare på området.



Hoten mot informationssäkerheten ökar delvis på grund av att världens datalager växer snabbt i takt med att kostnaden för lagring sjunker och tillgången på datorer och nätverksåtkomst ökar. I takt med att denna modermängd av data växer, ökar dess attraktionskraft för brottslingar och hackare.

För att skydda sig själva kan företag införa åtkomstkontroller för konfidentiell data, kryptera dessa data och på lämpligt sätt hantera krypteringsnycklar, granska användaraktiviteter och anlita konsulter för att se till att säkerhetspraxis är uppdaterad. Och eftersom den svaga länken i säkerhetskedjan ofta är människor, är en av de viktigaste sakerna företag kan göra helt enkelt att utbilda anställda i grundläggande datasäkerhetspraxis. Den här månadens paket med berättelser kommer att hävda att informationssäkerhet inte bara är en fråga för IT-avdelningen att oroa sig för. Det måste registreras i hela ett företag, med början på de högsta nivåerna, där beslut om kapitalinvesteringar fattas.

Stora bekymmer: Samma undersökning från Enterprise Strategy Group bad samma grupp IT-anställda att identifiera svaga punkter i deras nätverkssäkerhet.



En stor utmaning återspeglades i en färdplan för cybersäkerhetsforskning från 2009 (PDF) producerad av U.S.A. Department of Homeland Security. Bland annat fann man att eftersom informationsteknik och attackmetoder utvecklas så snabbt, har organisationer svårt att avgöra om deras data blir mer eller mindre säker, om den är mer eller mindre säker än andra organisationers, och om en given investeringsnivån lönar sig. Det hjälper inte att många organisationer bedömer grundläggande frågor om säkerhet ur ett kortsiktigt ekonomiskt perspektiv – även om kostnads-nyttoanalyser är svåra att göra eftersom kostnaden för att inte vidta lämpliga säkerhetsåtgärder kanske inte är uppenbara på flera år. Beslut som kommer från sådana analyser kommer ofta att vara skadliga för att göra betydande säkerhetsförbättringar på lång sikt, säger rapporten.

Det komplicerar saken ännu mer att när dataintrång inträffar är företagen inte alltid helt framträdande. (Sony tog sex dagar på sig att varna användarna om att deras information hade exponerats.) Snabbare svar skulle hjälpa offer eller potentiella offer, individer eller företag vars data exponerades att vidta åtgärder för att minska skadorna.

Eventuella förändringar i myndighetsföreskrifter skulle kunna skärpa reglerna för hur sådana överträdelser rapporteras och vad som ska avslöjas. I USA reglerar för närvarande 47 delstatslagar avslöjandet av dataintrång som avslöjar personlig information, men president Obama föreslog nyligen att en enda federal lag ska styra processen.



Det skulle vara till hjälp, säger kryptologen Bruce Schneier, chefsteknolog för det globala telekommunikationsföretaget BT – även om hur användbart beror på hur noggrann lagen visar sig vara. Vad som är klart nu är att efterdyningarna av dataintrång ibland är grumliga. Vi vet inte vem som hade tillgång till uppgifterna – om de är kriminella, barn eller spioner, säger Schneier. Vi känner inte till sårbarheten som orsakade intrånget. Ibland är allt vi med säkerhet vet hur mycket skadan kostade.

Dölj