Trender inom risk och compliance 2022

Ransomware, Supply Management och cloudsäkerhet står på agendan när Mats Malmberg, Head of Information Security på Sentor, listar ämnen han tror att vi kommer prata om inom risk och compliance under 2022.

Vad tror du att vi kommer se mer av inom risk och compliance under 2022?

”Det är ganska tydligt att det redan existerande problemet med ransomware kommer fortsätta öka under 2022. Vi har sett en beteendeförändring mot att angripare i större utsträckning offentliggör information eller förstör den i syfte att öka motivationen att betala. Risken att drabbas har blivit mer påtaglig, vilket flera uppmärksammade fall är bevis på, och måste hanteras genom hela organisationen - inte minst ur ett bolagstyrningsperspektiv, där proaktivitet är ett ledord. Informationssäkerhetsriskerna behöver analyseras som affärsövergripande risker, monetärt och ryktesrelaterat, för att rimliga proaktiva åtgärder ska kunna motiveras och implementeras. Detta kan bland annat innefatta att utbilda medarbetarna i säkerhetsfrågor, övervakning av IT-miljön för att kunna upptäcka angrepp, och tjänster som Red Team Testing för att regelbundet testa sin motståndskraft utifrån en angripares perspektiv.

Under 2022 kommer vi även behöva uppdatera bedömningen av våra risker mot bakgrund av den utveckling som sker i verksamheters ökade integration av bland annat IoT, molntjänster och AI. Om vi till exempel tittar på modernare bilar så är de beroende av flertalet uppkopplade system och behandlar stora mängder information. Samtidigt som dessa områden medför en mängd fördelar ökar även komplexiteten, attackytor och möjliga sårbarheter.

Supply management är ett annat buzzword vi kommer prata mer om under året. Verksamheter blir alltmer beroende av leverantörer, både för själva affären och det operativa arbetet. Samtidigt skapar ledet av leverantörer nya risker som dessutom är svåra att överblicka. Ett bevis på utmaningarna med leverantörsäkerhet är de flertalet fall av supply chain-attacker vi har kunnat se den senaste tiden, bland annat den som drabbade Coop via IT-leverantören Kaseya i somras.

Dessa risker behöver tas höjd för när nya leverantörer och system anskaffas. Jag tror att organisationer generellt sett har undervärderat hoten inom det här området hittills, men i takt med att publicerade fall har offentliggjorts kommer kraven bli högre när vi väljer våra samarbetspartners framöver. Där ingår även att titta på hela leveransledet; vem är leverantör till din leverantör, och hur hanteras din information säkert genom dessa led?

Detta ställer i sin tur högre krav på själva leverantören, som behöver kunna påvisa ett strukturerat och dokumenterat säkerhetsarbete. Under 2021 har vi sett en ökad efterfrågan på ledningssystem som ISO 27001 och SOC 2, och jag tror att det bara är början på den vågen. Från att tidigare ha varit ett alternativ, har efterlevnad av vedertagna ledningssystem för informationssäkerhet nu blivit ett allt tydligare krav för att kunna göra affärer eller ens ingå i en urvalsprocess.

Att arbeta strukturerat med informationssäkerhet där ledningen är involverad kommer att vara en väsentlig förutsättning för verksamheter att kunna nå sina verksamhetsmål och vara konkurrenskraftiga.

Sist men inte minst förväntas EU komma med en standard för uppkopplade enheter i slutet av året, den så kallade ”European Cyber Resiliance Act”. Denna kommer vi förstås hålla ögonen lite extra på under årets gång.”