Det har varit några tuffa år för ekonomin, såväl globalt som här i Sverige. Mot bakgrund av detta är det förståeligt att företag inom bank och finans just nu fokuserar på att driva effektivitet, vinna nya affärer och på olika sätt optimera verksamheten. Det är dock alltför få som ser kopplingen mellan god cybersäkerhet och att lyckas inom dessa fokusområden.
En undersökning som vi på Trend Micro tagit fram, visar att 43 procent av företagsledare inom bank och finans ser säkerhet mer som ett hinder än en möjliggörare. Det är helt klart oroande, inte minst sedan EU beslutat att utvidga cybersäkerhetsdirektivet NIS. Nya NIS2 har ökat fokus på cybersäkerhet, och med bara strax över ett år kvar till det börjar gälla, är det hög tid för branschen att förändra sin syn på vad cybersäkerhet är och bör vara för den egna organisationen.
Föreställningar om cybersäkerhet riskerar fälla krokben för företagen
Cybersäkerhet blir allt viktigare inte bara för företag utan för samhället i stort, finansbranschen är inget undantag. I undersökningen framkommer att finansföretagens kunder frågar efter cybersäkerhetspolicys på ett sätt de tidigare inte gjort, och man får frågor om företagets säkerhetshållning i förhandlingar med leverantörer och prospekt i större utsträckning än tidigare. Hela 85 procent tror att företagets säkerhetshållning kan ha påverkan på dess förmåga att vinna nya affärer och många oroar sig nu för att inte kunna hålla jämna steg med den ökande kravbilden.
Samtidigt har många den envisa föreställningen att cybersäkerhet skapar hinder för verksamheten. Detta blir tydligt vid till exempel digitala utvidgningar som ökad dataanalys. De flesta företagsledare inom bank och finans (94 procent) är eniga om att datadriven analys kan möjliggöra kostnadsbesparingar. Två tredjedelar (65 procent) klagar dock på att nuvarande säkerhetspolicys skapar informationssilos som står i vägen för att få till en optimal dataanalys. Dock är det bara 58 procent som ser en länk mellan cybersäkerhet och dataanalys. Detta trots att en plattform för cybersäkerhet starkt skulle kunna bidra till att bryta ner de informationssilos man nu brottas med.
Behöver tänka om för att möta kraven från NIS2
Föreställningarna om cybersäkerhet är inte tagna ur luften. Otillräckliga policys och punktlösningar skapar lätt informationssilos, vilket kan ha negativ inverkan på förtroendet från potentiella nya kunder och leverantörer och försvåra en användbar dataanalys. Men cybersäkerhet på rätt sätt utgör i stället en förutsättning för en lyckad digital transformation.
Det finns även en annan stor anledning till varför chefer inom branschen bör tänka om, nämligen att banksektorn omfattas av EU:s uppdatering av cybersäkerhetsdirektiv NIS, kallat NIS2. Det träder i kraft den 18 oktober 2024, vilket ger företagen ett drygt år på sig att se till att de högre krav på cybersäkerhet som direktivet ställer efterlevs i verksamheten.
Nytt för NIS2 är bland annat att chefer kommer hållas ansvariga för att säkra verksamheten. Det ställs även högre krav på säkerhet och rapportering, där en lista med minimumkrav måste uppfyllas för att verksamheten ska vara regelefterlevande. Vidare krävs ökad säkerhet för leverantörskedjor och leverantörer, och incidentrapportering måste nu göras inom 24 timmar i stället för 72 timmar.
För att klara kraven från NIS2 kommer investeringar i cybersäkerhet behöva göras, och här kommer plattformsbaserad säkerhet vara en nyckelfaktor. Inte minst då den utmaning som måste övervinnas är att bryta ner silos och få överblick över hela den uppkopplade verksamheten. Hot behöver kunna ses i tid och hanteras, leverantörer och tredjeparter behöver kunna överblickas och skyddas, och rapportering behöver vara exakt och komplett. Utan en plattformsapproach blir detta ett kostsamt och resurskrävande arbete, som inte bara försvårar efterlevnad av NIS2 – det riskerar att sakta ner även resten av företagets affärsmål.
Jean Diarbakerli, Säkerhetsrådgivare på Trend Micro
Disclaimer: Jean Diarbakerli, Säkerhetsrådgivare på Trend Micro har författat denna krönika för publicering i Finanstid. Påståenden och åsikter är krönikörens egna.