Förekomsten av cyberattacker och dataincidenter har ökat dramatiskt de senaste åren, både i Sverige och internationellt. Cybersäkerhetsexperten Truesec rapporterar en 221-procenting ökning av cyberattacker under 2023 jämfört med året innan. En ny rapport från Veeam Software visar att 92 procent av de tillfrågade företagen kommer öka investeringarna i dataskydd under 2024 för att stärka sin motståndskraft. Enligt en studie gjord av PWC ser 49 procent av tillfrågade VD:ar cyberincidenter som det största hotet mot tillväxt, något man förstår då den genomsnittliga stilleståndstiden för ett företag som drabbats av en ransomwareattack är hela 26 dagar (Coveware).
Att cyberincidenter blivit en mer aktuell fråga återspeglas även politiskt. Den 5 mars i år presenterades delbetänkandet "Nya regler om cybersäkerhet" för att anpassa svensk rätt till EU:s NIS2-direktiv. I delbetänkandet föreslås en ny lag, cybersäkerhetslagen, som omfattar både privata och offentliga verksamhetsutövare. Med syfte att skyndsamt stärka Sveriges motståndskraft inom informations- och cybersäkerhet är ikraftträdandet planerat till den 1 januari 2025. Därtill har regeringen inlett arbetet med att ta fram en ny informations- och cybersäkerhetsstrategi. Bevakning av den politiska och regulatoriska utvecklingen på cybersäkerhetsområdet blir således allt viktigare för företag.
Hur förbereder sig företag mot cyberhot och hur kan kommunikation hjälpa företag att hantera en cyberincident?
Cyberattacker och dataincidenter omgärdas av strikta krav på informationsgivning och annan hantering från myndigheter och regulatoriska instanser, vilket kan medföra utmaningar i utsatta företag och organisationers arbete med att kommunicera om det inträffade. Det finns fler aspekter som särskiljer kommunikationen vid en cyberkris från annan kriskommunikation.
Cyberincidenter är mycket dynamiska till sin natur. Krisens omfattning och påverkan kan förändras både hastigt och väsentligt över tid, vilket gör det svårt att från början definiera en strategi. Den första bedömningen av fakta är ofta felaktig eller ofullständig, i en kontext av ett intensivt tryck ifrån olika intressenter att snabbt kommunicera med begränsad information.
Att gå ut med felaktig information som man sedan får dra tillbaka kan leda till betydande konsekvenser för företags rykte och förtroende. Dessutom kan säkerhets- eller juridiska felformuleringar i kommunikationen få långtgående effekter på den tekniska utredningen eller ansvarsfrågor längre fram, över en längre tid.
Det finns därför goda skäl till att i början vid en misstänkt cyberincident utrycka sig medvetet försiktigt och hålla sig till vad man faktiskt vet och kan bekräfta, för att sedan i efterhand komplettera kommunikationen med vägledning utifrån det pågående utredningsarbetet. Osäkerhet är ett normalt inslag i cyberkriser, därför är det är klokt att undvika spekulationer i kommunikationen innan situationen är ordentligt utredd.
CERT-SE är Sveriges nationella CSIRT (Computer Security Incident Response Team) med uppgift att stötta samhället i arbetet med att hantera och förebygga it-incidenter. Myndigheten deltog förra året i 14 500 incidenter och ger utöver operativt stöd även råd till verksamheter för framgångsrik hantering. Man betonar bland annat vikten av förebyggande arbete och förberedande åtgärder för att påverka hur väl en organisation hanterar en incident. En handfast rekommendation som myndigheten framför utöver en tydlig krisorganisation och kristräning, är att ha backup och fysiska dokument tillgängliga för kontaktuppgifter och kommunikationsplaner. Om det skett en cyberattack finns det en risk att företaget inte har tillgång till de uppgifterna på vanligt sätt.
Så stärker du ditt företags kommunikativa förmåga vid cyberincidenter:
- Etablera och träna ett särskilt kärnteam med ansvar för hantering av cyberincidenter med juridisk expertis tillsammans med representanter för IT, verksamhetsledning, personal, kundtjänst och kommunikation.
- Vid en misstänkt cyberincident, ta tidigt hjälp av externa rådgivare för att stärka kärnteamets operativa kapacitet och bidra med viktiga utifrån-och-in perspektiv till prioriteringar, beslut och agerande.
- Motstå pressen och frestelsen i att spekulera i eller överkommunicera om vad som hänt för tidigt så att du inte behöver dra tillbaka uttalanden.
- Prioritera organisationens medarbetare i kommunikationen. Tänk igenom vilka kanaler medarbetarna kommunicerar i och hur deras informationsbehov ser ut för att försöka underlätta för dem att sköta sitt jobb under kraftig stress och med olika distraktioner.
- Glöm inte att allt du kommunicerar både kan informera och även provocera den som står bakom cyberattacken.
- Bevaka utvecklingen i media och på sociala medier löpande, men för konversationen i andra kanaler.
- Kom ihåg att du inte nödvändigtvis belönas för full transparens, folk kommer bli arga över det inträffade oaktat full transparens, men förtroendet kan återställas med korrekt och läglig kommunikation.
Om du vill veta mer om hur ditt företag kan förbereda sig och agera vid eventuella cyberincidenter, kontakta Stefan Nerpin eller Carl Fredrik Kjellberg.