Möller Insights – ”Det finns två typer av stora bolag - hackade och ovetande”

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om den nye FBI-chefens första intervju.

Det finns två typer av stora bolag - hackade och ovetande
I söndags intervjuades chefen för FBI, James Comey, i programmet 60 Minutes. En intressant intervju av flera anledningar, duktig journalist, första intervjun Comey gett sen han tillträdde som chef på FBI, men också att samtalet avhandlade cyberkriminalitet och cyberspionage.

James Comey säger bland annat i intervjun att det i USA finns två typer av storbolag – de som blivit hackade och de som inte vet att de har blivit hackade. De arbetar idag med att bygga ut FBI:s befintliga IT-brottsavdelning för att på ett bättre sätt bearbeta den kraftiga ökningen av hot de har sett de senaste åren.

Comey särskiljer på fyra olika typer av hot som de ser över internet. Det största och mest avancerade är andra nationer som försöker stjäla innovationer eller annan känslig information. Syftet här är ofta att vidareutveckla den egna nationen, få en inblick i en pågående affär eller liknande. Nästa hot består av organisationer som utför olika typer av teroristdåd. Därefter hacktivister och sist men inte minst de som endast bedriver kriminell verksamhet för att tjäna pengar.

När han får frågan varför ökade resurser krävs för att bekämpa cyberspionage och kriminalitet så svarar James Comey elegant:

“Cybercrime is becoming everything in crime. Again, because people have connected their entire lives to the Internet, that's where those who want to steal money or hurt kids or defraud go. So it's an epidemic for reasons that make sense”

Att inte tro att detta även gäller Sverige är minst sagt naivt. Trots det så tror jag inte att svenska företag är riktigt i samma mindset. Det är inte nödvändigtvis svenska företags fel utan jag vill snarare vända blicken mot Polisen, Säpo och MSB. Jag menar att de, precis som FBI, har ett ansvar att informera såväl företag som medborgare om risker som finns.

För situationen är allvarlig och när myndigheter väljer att inte kommunicera det så ligger ansvaret på säkerhetsbolag och vi målas ibland ut som verksamheter som bedriver ”skräckpropaganda”. Jag önskar, tro det eller ej, att jag skulle känna mig träffad av den anklagelsen, men faktum är att när den här typen av dialog inte lyfts fram, och där de enda aktörerna som gör det är privata bolag, så tas inte problemet på samma allvar som det förtjänar.

Det här är ju något som inte bara berör företag utan även privatpersoner. Precis som Comey beskrev det i tidigare citat så har internet idag blivit den givna platsen att utföra kriminalitet på. Den största skillnaden mellan att bli rånad på gatan och att bli rånad på internet är hur vi uppfattar situationen. Comey beskrev även detta med en elegant liknelse:

“I think there's something about sitting in front of your own computer working on your own banking, your own health care, your own social life that makes it hard to understand the danger. I mean, the Internet is the most dangerous parking lot imaginable. But if you were crossing a mall parking lot late at night, your entire sense of danger would be heightened. You would stand straight. You'd walk quickly. You'd know where you were going. You would look for light. Folks are wandering around that proverbial parking lot of the Internet all day long, without giving it a thought to whose attachments they're opening, what sites they're visiting. And that makes it easy for the bad guys.”

För även om det yttersta ansvaret över din privata information, eller där de hemliga dokumenten, ligger hos en verksamhet som lovat att hålla dem trygga så ligger ansvaret om offentlig information hos statliga myndigheter. Vi har inte något rapporteringskrav i Sverige, banker har till exempel ett egenintresse i att inte meddela dig om att ditt bankkonto tömts på pengar, de bara balanserar upp de summorna igen. Men om vi någonsin ska få verksamheter och privatpersoner att förstå utmaningarna med digitaliseringen måste något göras.

Det räcker inte att jag och IT-ansvariga förstår detta, det handlar om att verksamhetschefer och privatpersoner förstår.

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik