IT-säkerhet hos Åländska företag
En marknadsundersökning av Alexandra Bergman på uppdrag av IT-Bolaget
Introduktion
Denna marknadsundersökning syftar till att identifiera nuvarande säkerhetsåtgärder, förstå bristerna och föreslå förbättringar som kan stärka företagens IT-säkerhet på Åland. Alla företag har kontaktats inledningsvis på mail. Företagen som valts ut för undersökningen har minst 5 anställda och en omsättning som överstiger en miljon euro. De företag som inte deltog uppgav orsaker som att de redan använder IT-Bolaget som leverantör, att de inte känner sig relevanta eftersom deras arbete inte endast begränsas till Åland utan finns i större utsträckning i andra länder eller att de inte kunde delta på grund av semestertider.
Alla företag fick samma frågor, oavsett om de deltog i en intervju eller svarade på enkäten. Intervjuerna skedde på plats eller på videolänk. Enkäten sköttes via en hemsida som det utformats en egen enkät som sedan gav en bra sammanfattning av svaren.
Dagens samhälle står inför en allvarlig och växande cyberhot miljö, med en dramatisk ökning av cyberattacker globalt, särskilt riktade mot företag och kritisk infrastruktur. De ekonomiska förlusterna till följd av cyberbrott har skjutit i höjden, och förväntas fortsätta stiga fram till 2025, med kostnader globalt som kan nå upp till 10,5 biljoner USD årligen. I Sverige och Finland har antalet cyberattacker, såsom ransomware och nätfiske, ökat markant och riktats mot allt från småföretag till stora organisationer inom telekommunikation och hälsovård.
Framöver förväntas dessa hot öka både i frekvens och komplexitet, vilket ställer höga krav på länderna att investera i avancerade cyber säkerhetslösningar och utbildning. Regleringar som EUs NIS2-direktiv kommer att intensifiera kraven på säkerhet och incidentrapportering, särskilt för företag inom kritiska sektorer. Samtidigt innebär det stora mörkertalet att många attacker aldrig rapporteras, vilket förvärrar den redan komplexa hotbilden. Cybersäkerhet har därmed blivit en avgörande prioritet för att skydda både ekonomiska intressen och samhällets infrastruktur.
Identifierade Utmaningar och Möjligheter
Gemensamma Teman
1. Dedikerad IT-säkerhetsansvarig:
- Många företag har en dedikerad person eller anlitar ett externt IT-bolag för att hantera IT-säkerheten. Detta är mer vanligt bland större företag, medan mindre företag ofta saknar en formell IT-säkerhetsavdelning. Mindre företag upplever sig ofta som mindre utsatta för hot på grund av sin lägre omsättning och förlitar sig mer på färdiga tjänster.
2. Kontroller och Uppdateringar:
- Regelbundna kontroller varierar, med några företag som genomför månatliga kontroller medan andra inte har någon fast rutin.
- De flesta företag använder uppdaterat antivirusprogram och brandväggar, men detaljer om användningen kan ibland vara vaga. Det framkom inte ett tydligt svar eller orsak.
3. Skyddsnivå:
- Många företag känner sig tillräckligt skyddade med sin nuvarande programvara, men det finns en medvetenhet om att förbättringar kan behövas. Dock finns det enstaka företag som uttrycker osäkerhet eller avstår från att använda tyngre säkerhetslösningar på grund av prestandaproblem, men har tillräckligt med skydd för att känna sig trygga.
- Molntjänster som Google Workspace och Briox används ofta och anses säkra.
4. Tvåfaktorsautentisering:
- Användningen av tvåfaktorsautentisering varierar. Vissa företag använder det för känsliga system medan andra inte har implementerat det fullt ut. Varierande orsaker har angetts varav en vanlig är att man inom företaget anser det inte lika användarvänligt med många extra steg som läggs på arbetet.
5. IT-säkerhetsutbildning:
- Formella IT-säkerhetsutbildningar för anställda är inte standardiserade. Vissa företag erbjuder regelbundna uppdateringar medan andra bara ger grundläggande instruktioner.
6. Hantering av IT-säkerhetsincidenter:
- Vissa företag har formella rutiner och checklistor för hantering av incidenter, medan andra hanterar dem på ad hoc-basis.
7. Backuphantering:
- Backuphantering är ofta outsourcad till externa tjänster, och graden av medvetenhet om backuphantering varierar. Några företag kontrollerar backuper dagligen. Där syns ett tydligt mönster att de företag som har en avdelning eller person som ansvarar för IT har mer kunskap och kontroll över sin data. Eftersom de företag som är med i undersökningen är varierande i storlek och bransch så är det varierande i åsikt om vad som är data värd att skydda.
8. Upplevda hot:
- Vanliga hot inkluderar phishing, ransomware, dataläckage och den mänskliga faktorn. Mindre företag känner sig mindre utsatta för hot på grund av sin storlek. Dock är det också vanligt att företag rapporterar att de inte har upplevt några incidenter, vilket kan vara ett resultat av antingen god säkerhet eller otillräcklig upptäckt och rapportering.
9. Förbättringsförslag:
- Företagen föreslår bättre processer och standarder, ökad användning av tvåfaktorsautentisering, mer IT-säkerhetsutbildning och kontinuerlig uppdatering av system. Det behöver skapas en medvetenhet hos företagen om vad för hot som är verkliga och som kan drabba dem oavsett storlek. Eftersom cyberbrott har ökat under de senaste åren och kommer att fortsätta öka. Så om man ökar medvetenheten om vad för åtgärder som finns och vilka åtgärder som kontinuerligt behöver ses över så har man en grund.
10. Påverkan av Ransomware:
- Alla företag upplever att en ransomware-attack skulle ha en stor negativ inverkan på verksamheten, även om graden av påverkan varierar beroende på företagets storlek och bransch. Flera företag har någon form av backupstrategi och uttrycker förtroende för att kunna återställa data efter en incident. Dock finns det också en medvetenhet om att vissa hot, såsom ransomware, kan påverka även dessa skyddsåtgärder.
Baserat på den tidigare informationen kan vi dra vissa slutsatser, men för en mer noggrann utvärdering kommer jag att fokusera på några nyckelområden:
Antivirus och Säkerhetslösningar
- Observation: En majoritet av företagen använder olika antivirus lösningar som F-Secure, Windows Defender, och andra, men det fanns också ett antal företag som inte besvarade denna fråga.
- Analys: Att vissa företag inte svarade kan tyda på att de inte använder någon antivirus lösning, inte har tillräcklig kunskap, eller helt enkelt inte prioriterar detta område. Det kan också indikera att vissa företag anser att frågan inte är relevant, kanske på grund av användning av andra säkerhetslösningar som molnbaserade tjänster med inbyggda säkerhetsfunktioner.
- Åtgärdsförslag:
- Utbildning och Medvetenhet: Öka medvetenheten bland mindre företag om vikten av grundläggande IT-säkerhetsåtgärder, inklusive antivirusprogram.
- Utveckling av Enkla Säkerhetspaket: Skapa och erbjud ett enkelt, men effektivt säkerhetspaket riktat mot mindre företag som kanske saknar dedikerade IT-resurser. Samt med möjlighet att tillgodose dem med kunskap om hot och risker företagen kan bli drabbade av.
Bruk av Tvåfaktorsautentisering (2FA)
- Observation: Användningen av tvåfaktorsautentisering varierar mellan företagen, med vissa som använder det för känsliga system och andra som inte har implementerat det alls.
- Analys: Detta antyder att det finns en varierande grad av medvetenhet och prioritering av säkerhetsåtgärder som 2FA. Företag som inte använder 2FA kan vara mer sårbara för attacker.
- Åtgärdsförslag:
- Implementering av 2FA som Standard: Rekommendera och hjälp företag att införa 2FA som en standard säkerhetsåtgärd, särskilt för system som innehåller känslig information.
- Utbildning i Säkerhetspraxis: Erbjud utbildning sessioner som förklarar fördelarna med 2FA och hur det kan implementeras enkelt och kostnadseffektivt.
IT-säkerhetsutbildning och Incidenthantering
- Observation: Det framgår att säkerhetsutbildning för anställda inte är standardiserad och att incidenthantering sker på ad hoc-basis i många företag.
- Analys: Detta kan leda till ineffektiv hantering av säkerhetsincidenter och ökad risk för företag, särskilt mindre företag som kanske inte har de resurser som krävs för att snabbt reagera på hot.
- Åtgärdsförslag:
- Standardiserad IT-säkerhetsutbildning: Utveckla och erbjud en standardiserad utbildningsplan för IT-säkerhet som företag kan använda för att utbilda sina anställda regelbundet.
- Incidenthanteringsrutiner: Hjälp företag att utveckla och implementera formella rutiner för incidenthantering, inklusive skapande av en incidentresponsplan och regelbundna övningar.
Backuphantering
- Observation: Backuphantering verkar vara outsourcad hos många företag, och graden av medvetenhet om backuphanteringen varierar.
- Analys: Detta kan leda till problem vid en eventuell dataförlust, där företag kan stå utan tillgång till kritiska data om de inte har en robust backup- och återställningsplan.
- Åtgärdsförslag:
- Översyn av Backupstrategi: Genomför en översyn av företagets nuvarande backupstrategi och erbjud lösningar för att förbättra backuphantering och återställning, inklusive utbildning i vikten av regelbundna backup-kontroller.
- Molnbaserade Backup-lösningar: Erbjud molnbaserade backup-lösningar som är kostnadseffektiva och enkla att implementera, särskilt för mindre företag.
Upplevda Hot och Risker
- Observation: Mindre företag ser sig inte som primära mål för cyberattacker och därmed använder de endast nödvändiga säkerhetsåtgärder.
- Analys: Detta är en farlig missuppfattning eftersom alla företag, oavsett storlek, kan vara mål för cyberattacker. Denna brist på medvetenhet kan göra dem till lättare mål för angripare.
- Åtgärdsförslag:
- Riskmedvetenhetskampanjer: Starta kampanjer för att öka medvetenheten om cyberhot som är specifikt riktade mot mindre företag. Ge exempel på verkliga incidenter där små företag har drabbats.
- Riskbedömningar: Erbjud tjänster som genomför riskbedömningar för att hjälpa företag att identifiera sina svagheter och implementera åtgärder för att minska riskerna.
Generell Förbättring av Säkerhetsåtgärder
- Observation: Även om vissa företag känner sig tillräckligt skyddade, finns det en medvetenhet om att förbättringar kan behövas.
- Analys: Det är positivt att det finns en medvetenhet, men utan konkreta åtgärder kan denna insikt inte leda till förbättringar.
- Åtgärdsförslag:
- Löpande Säkerhets Utvärderingar: Erbjud årliga eller halvårsvisa säkerhets utvärderingar som en tjänst för att hjälpa företag att identifiera och åtgärda nya säkerhetshot och sårbarheter.
- Proaktiv Säkerhetshantering: Skapa en tjänst för proaktiv säkerhetshantering, där företaget får kontinuerlig övervakning och uppdatering av sina säkerhetsåtgärder.
Sammanfattning av Åtgärdsförslag
För att hjälpa företagen som deltog i enkäten att förbättra sina IT-säkerhetsåtgärder rekommenderas det att vi utvecklar och erbjuder tjänster som fokuserar på medvetenhetshöjande åtgärder, standardiserad utbildning, implementering av robusta säkerhetssystem som 2FA och backuphantering, samt regelbundna säkerhetsbedömningar. Dessa åtgärder kan förbättra företagens förmåga att skydda sig mot cyberhot och minska riskerna för säkerhetsincidenter.
Visualisering
58,3% av företagen som deltog i undersökningen har mer än 25 anställda, följt av företag som har 5-10 anställda och sedan 10-15 anställda. Inget företag med 15-20 eller 20-25 anställda deltog.
Samtliga företag svarade på denna fråga (100% svarsfrekvens).
58,3 %av företagen saknar en dedikerad IT-avdelning eller person som ansvarar för IT-säkerheten. 41,7 %av de svarande företagen har en dedikerad person eller avdelning.
Samtliga företag svarade på denna fråga (100 % svarsfrekvens).
Majoriteten av företagen (motsvarande 63,6 %) har månatliga kontroller av sin säkerhet. 18,2 % uppgav att de aldrig utför kontroller och 18,2 % angav att de inte vet..
91,7 % av företagen svarade på denna fråga.
87,5 % av företagen har uppdaterade brandväggar och antivirusprogram, medan 12,5 % svarade nej eller vet inte.
Samtliga företag svarade på denna fråga (100 % svarsfrekvens).
73,9 % av företagen upplever att de har tillräckligt skydd mot hot, medan 26,1 % svarade nej eller vet inte.
95,8 % av företagen svarade på denna fråga.
75 % av företagen har implementerat tvåfaktorsautentisering, medan 25 % inte har det eller är osäkra.
Samtliga företag svarade på denna fråga (100 % svarsfrekvens).
31,8 % av företagen erbjuder regelbunden säkerhetsutbildning för sina anställda, medan 68,2 % inte gör det.
91,7 % av företagen svarade på denna fråga.
29,4 % av företagen genomför aldrig säkerhetsgenomgångar, medan 29,4 % gör det en gång om året. 17,6 % vet inte, 17,6 % gör det månadsvis, och 5,9 % gör det en gång per kvartal.
70,8 % av företagen svarade på denna fråga.
62,5 % av företagen har rutiner för säkerhetsgenomgångar, medan 37,5 % inte har det.
Samtliga företag svarade på denna fråga (100 % svarsfrekvens).
62,5 % av företagen använder speciella program för att skydda sig mot skadlig programvara, medan 37,5 % svarade nej eller vet inte.
Samtliga företag svarade på denna fråga (100 % svarsfrekvens)
Sammanfattning av hela undersökningen
Bakgrund och Syfte: Denna undersökning syftade till att utvärdera IT-säkerheten hos åländska företag. Fokus låg på att identifiera hur dessa företag hanterar säkerhetsrisker, vilka säkerhetsåtgärder de har implementerat, och vilka utmaningar de står inför.
Nyckel Insikter:
- Dedikerad IT-säkerhet:
- 58,3 % av företagen saknar en dedikerad IT-avdelning eller IT-säkerhetsansvarig.
- Större företag tenderar att ha mer formella IT-säkerhetsrutiner, medan mindre företag ofta förlitar sig på externa leverantörer.
- Användning av Säkerhetslösningar:
- 87,5 % av företagen använder uppdaterade antivirusprogram och brandväggar.
- Trots detta upplever 74% av företagen att deras skyddsnivå är tillräcklig, medan 26% uttrycker osäkerhet.
- Tvåfaktorsautentisering (2FA):
- 75 % av företagen har implementerat tvåfaktorsautentisering.
- IT-säkerhetsutbildning och Incidenthantering:
- 31,8 % av företagen erbjuder regelbunden säkerhetsutbildning för sina anställda.
- Incidenthanteringen varierar, med många företag som saknar formella rutiner.
- Backuphantering:
- Backuphanteringen är ofta outsourcad, och graden av medvetenhet kring detta varierar. Vissa företag kontrollerar backuper dagligen, medan andra har mindre frekventa kontroller.
- Upplevda Hot:
- Phishing, ransomware, dataläckage och mänskliga faktorn ses som de största hoten. Mindre företag tenderar att se sig själva som mindre utsatta.
Rekommendationer:
- Ökad Medvetenhet och Utbildning:
- Satsa på att öka medvetenheten kring grundläggande IT-säkerhetsåtgärder, särskilt bland mindre företag. Implementera standardiserad IT-säkerhetsutbildning och uppdatera regelbundet säkerhetsrutiner.
- Implementering av Tvåfaktorsautentisering:
- Rekommendera tvåfaktorsautentisering som en standardlösning, särskilt för känsliga system.
- Förbättrad Backuphantering:
- Utför regelbundna kontroller och uppdatera backup strategier för att säkerställa att företagen kan återställa data efter en eventuell incident.
- Proaktiv Säkerhetshantering:
- Erbjud tjänster för löpande säkerhetsutvärdering och incidenthantering. Skapa riskmedvetenhet kampanjer för att belysa hoten som även mindre företag står inför.
Nästa Steg:
För att stärka IT-säkerheten på Åland rekommenderas en strategisk satsning på att utveckla och erbjuda skräddarsydda säkerhetslösningar för mindre företag. Genom att implementera ovanstående rekommendationer kan åländska företag bättre skydda sig mot de växande cyberhoten och minska risken för säkerhetsincidenter.