En ny rapport visar att många organisationer utsätter sig för onödiga risker genom att inte snabbare åtgärda säkerhetshål i sina IT-system. Studien omfattar även ett experiment i vilket fyra av sex svenska statliga organisationer gick med på att använda ett USB-minne från en främmande person.

Rapporten, skriven av säkerhetsexperter på företagen Kaspersky Lab och Outpost24, visar att även osofistikerade attacker mot företagsnätverk kan lyckas utan att angripare behöver använda sig av dyra nolldagssårbarheter (det vill säga säkerhetsluckor som precis har upptäckts i populära datorprogram, exempelvis Java) – även om just denna sorts attacker ökar i antal.

Istället utnyttjar cyberbrottslingar ofta sårbarheter som har funnits länge men som offren fortfarande inte har åtgärdat, trots att det finns uppdateringar tillgängliga som kan laga säkerhetshålen. Detta är inte förvånande: i genomsnitt tar det 60-70 dagar för ett företag att åtgärda en sårbarhet, vilket är mer än tillräckligt med tid för att angripare ska kunna skaffa sig tillgång till företagsnätverket. Studien visar dessutom att angriparna inte behöver hacka IT-systemet – utan snarare de medarbetare som hanterar systemet.