Annons
Ledare

Petter C Larsson: Säkerhetskrav kan bli säkerhetshot

Behovet av robusta cybersäkerhetsåtgärder har aldrig varit större. Men stränga regleringar öppnar också nya vägar för brottslingar.
Petter C Larsson
Gästkrönika • Publicerad 18 november 2023
Detta är en personligt skriven text i Trelleborgs Allehanda. Åsikter som uttrycks är skribentens egna.
Försiktighet anmodas.
Försiktighet anmodas.Foto: Terje Pedersen

Europeiska unionens införande av regelverk som GDPR och det stundande cyber- och informationssäkerhetsdirektivet NIS2 markerar ett viktigt steg mot en starkare digital integritet och säkerhet. Flera andra säkerhetsregelverk är i ankommande bland annat inom området AI.

Dessa regler är avsedda att skydda konsumentuppgifter och säkerställa ansvarsskyldighet hos organisationer. Men paradoxalt nog har denna utveckling öppnat upp en ny arena för cyberbrottslingar, där bristande regelefterlevnad ger ytterligare en vinkel för kriminella att utpressa sina offer.

Annons

I denna nya form av cyberbrottslighet, låt oss kalla den ”compliance-utpressning”, utnyttjas de alltmer stränga kraven i säkerhets- och dataskyddsregelverk. Angripare stjäl information, krypterar system, och hotar att exponera den stulna informationen om man inte får lösensumma. De hotar nu också med att till tillsynsmyndigheter rapportera sina offers brist på efterlevnad och deras bristande hantering av själva angreppet, vilket kan leda till omfattande rättsliga påföljder. På detta sätt hoppas de kriminella öka benägenheten hos sina offer att betala lösensumman.

Det blir alltså nu är inte bara en fråga om omedelbara finansiella förluster utan kan också innebära strategiska konsekvenser såsom böter och skadat anseende.

Det ironiska är att medan säkerhetsregleringar syftar till att stärka säkerheten och integriteten, skapar de samtidigt sårbarheter. Organisationer som redan nu kämpar med att uppfylla säkerhetskrav får nu anledning att ytterligare öka farten: det räcker inte längre att bara vara igång med sitt säkerhetsarbete; man måste också klara av att hantera säkerhetsincidenter på ett sätt som överensstämmer med lagstadgade krav.

Ett aktuellt exempel är fallet med MeridianLink, där cyberbrottslingar anmälde företaget till amerikanska kontrollmyndigheter för bristande regelefterlevnad. Detta illustrerar hur cyberbrottslingar strategiskt använder hotet om offentliggörande för att utöva påtryckningar på sina offer. Detta är en sofistikerad form av utpressning som kräver en lika sofistikerad respons.

För att hantera denna nya risk, måste organisationer investera i robusta cybersäkerhetsåtgärder och samtidigt säkerställa att de noggrant följer relevanta bestämmelser. En heltäckande strategi för cybersäkerhet och regelefterlevnad är inte längre en lyx, utan en nödvändighet.

I takt med att säkerhetsregelverk blir mer utbredda och strängare, kommer vi sannolikt att se en ökning av denna typ av utpressning. Det är dags för organisationer att inte bara se cybersäkerhet som taktiska åtgärder, utan som en integrerad del av verksamhetsstrategin och den övergripande regelefterlevnaden. Endast då kan vi hålla jämna steg med de ständigt föränderliga hoten i den digitala världen.

Petter Larsson är risk- och säkerhetsrådgivare

Annons
Annons
Annons
Annons