Cyber Awareness i Små- og Mellomstore Bedrifter

Abstract

Små- og mellomstore bedrifter (SMB) står for en betydelig andel av Europas økonomi og mange virksomheter ser på SMB-er som viktige samarbeidspartnere. Det er fordi flere organisasjoner er avhengig av SMB-ene sine tjenester og produkter, og uten tilgang på kritiske ressurser kan mange bedrifter stoppe opp. Virksomheter er dermed bekymret for SMB-er sin informasjonssikkerhet ettersom et dataangrep mot en SMB kan påvirke forsyningskjeder, partnernettverk og økosystemer. Dette er en realitet flere bedrifter har opplevd, enten gjennom et dataangrep mot dem eller mot samarbeidende bedrifter. Den manglende kunnskapen om informasjonssikkerhet i SMB-er må dermed øke.

Dette forskningsprosjektet retter søkelyset mot bevisstgjøring i SMB-er for å oppnå en dypere forståelse for hvordan de bygger bevisstgjøring (cyber awareness). Forskningsprosjektet gjennomføres som en casestudie i samarbeid med en teknologisk avansert bedrift og deres IT-leverandør. Bevisstgjøring er subjektivt, men kan skape verdifulle resultater for SMB-markedet og bransjeeksperter. Verdien i forskningsprosjektet kan være av høy relevans for bedrifter som ønsker å lære om effekten av sosiale sikkerhetstiltak.

9. januar 2021 ble Østre Toten kommune utsatt for et dataangrep og førte til at flere bedrifter investerte i tjenester og produkter for å forbedre sikkerheten. Den samarbeidende bedriften i forskningsprosjektet var blant dem som investerte i produkter og tjenester for å forbedre virksomheten sin sikkerhet. De leide inn en IT-ekspert for å styrke sikkerheten, men resultatet av investeringen viste seg å bli et ubrukt dokument uten nytteverdi. Kort tid senere ble bedriften utsatt for et dataangrep. Konsekvensene av sikkerhetshendelsen føre til utilgjengelige ressurser, redusert produksjonsevne og økonomisk tap.

En effekt av sikkerhetshendelsen var at de investerte i ytterligere sikkerhetstiltak. Investeringen innebar teknologiske sikkerhetstiltak som tilsvarer grunnleggende sikkerhetshygiene og kan sikre bedrifter mot 98 prosent av alle dataangrep. Åpenbart er et slikt teknologisk sikkerhetstiltak effektivt, men selv med slike løsninger er ikke bedriften gardert mot menneskelige faktorer. Feil som blir begått av mennesker er årsaken til en stor andel av sikkerhetshendelser og dette er noe SMB-er sliter med å takle. Det tyder på manglende forståelse for viktigheten organisatoriske og menneskelige sikkerhetstiltak.

Small and medium-sized enterprises (SMEs) account for a significant portion of Europe's economy, and many businesses consider SMEs to be important partners. This is because several organizations rely on the services and products provided by SMEs, and without access to critical resources, many businesses can come to a halt. Consequently, businesses are concerned about the information security of SMEs, as a data breach against an SME can impact supply chains, partner networks, and ecosystems. This is a reality that several companies have experienced, either through a data breach against them or against collaborating companies. The lack of knowledge about information security in SMEs needs to be addressed.

This research project focuses on raising awareness in SMEs to achieve a deeper understanding of how they build cyber awareness. The research project is conducted as a case study in collaboration with a technologically advanced company and their IT provider. Awareness is subjective but can yield valuable results for the SME market and industry experts. The value in the research project may be highly relevant for companies seeking to learn about the impact of social security measures.

On January 9, 2021, Østre Toten municipality was subjected to a data breach, leading several local businesses to invest in services and products to enhance their security. The collaborating company in the research project was among those who invested in products and services to improve their business's security. They hired an IT expert to strengthen their security, but the result of the investment turned out to be an unused document without any value. Shortly thereafter, the company experienced a data breach. The consequences of the security incident led to unavailable resources, reduced production capacity, and financial loss.

An effect of the security incident was that they invested in additional security measures. The investment involved technological security measures equivalent to basic security hygiene, which can protect businesses against 98 percent of all data breaches. Obviously, such technological security measures are effective, but even with such solutions, the company is not immune to human factors. Mistakes made by people are the cause of a significant portion of security incidents, and this is something that SMEs struggle to address. It indicates a lack of understanding of the importance of organizational and human security measures.