4 av 10 norske virksomheter oppdager sikkerhetshendelser ved en tilfeldighet, og 7 av 10 mener hendelsene skyldes uflaks, viser ferske tall fra Næringslivets Sikkerhetsråd.
– Mørketallsundersøkelsen 2018 viser at forståelsen for – og kunnskapen om – cybertrusler, risiko og konsekvenser fortsatt er for lav, sier direktør Jack Fischer Eriksen.
For 11. gang har Næringslivets Sikkerhetsråd (NSR) kartlagt sikkerhetstilstanden hos over 1500 virksomheter i privat og offentlig sektor, i Mørketallsundersøkelsen 2018. Resultatene gir et godt innblikk i norske virksomheters holdninger til digital sikkerhet, samt deres kunnskap, utfordringer, erfaringer, strategier og tiltak knyttet til risikovurdering, forebygging og beredskap.
Norsk sikkerhetsnaivitet
Mørketallsundersøkelsen viser at norske virksomheter har liten oversikt over kostnader og tap som følger i kjølvannet av sikkerhetshendelser. Bare blant de som har deltatt i undersøkelsen, og som klarer å fastslå en kostnad, utgjør dette nesten 30 millioner i 2017. Dette gir et estimat på 1,3 milliarder for norske virksomheter alene. I tillegg vil potensielle tap i form av kontrakter som går i vasken, et svekket omdømme og andre immaterielle skader få en negativ effekt på bunnlinja.
– Vi ser en påfallende stor naivitet når det kommer til forståelse av egne verdier, konsekvenser og kostnader for virksomheten. Mange har en «det vil ikke skje oss»-holdning. Så når mer enn 1500 respondenter svarer at de ikke har vært utsatt informasjonstyveri og spionasje, er det sannsynlig at manglende deteksjonsevne er årsaken, eller at det dysses ned, sier Jack Fischer Eriksen, direktør i NSR.
Hasse Kristiansen, leder for KPMGs rådgivningsavdeling innen cybersikkerhet, mener mange virksomheter har en gammeldags tilnærming til måten de jobber med sikkerhet.
– Vi må forholde oss til en ny type risiko, og det krever ny kompetanse. Selv om vi ser en økt grad av digital forståelse og modenhet i virksomhetene, og investeringer i cybersikkerhet øker, er mange fortsatt for dårlig forberedt, sier han.
– Nøkkelen er å se koblingen mellom teknologi, forretning og eksterne trusler, slik at virksomheten kan omsette innsikt til gode strategier og tiltak. IT er bare en del av det totale risikobildet i forretningen, og kompetansen må balanseres og styres mot riktig nivå i organisasjonen, påpeker Kristiansen.
Mer phishing, hacking og bedrageri
I 2018 er de vanligste sikkerhetshendelsene virus og malwareinfeksjoner (21 prosent), phishing eller annen sosial manipulering (18 prosent) og forsøk på datainnbrudd og hacking (13 prosent). Sammenlignet med 2016 er det en betydelig økning i antall virksomheter som utsettes for phishing, hacking, DDos-angrep og bedrageri.
67 prosent mener sikkerhetshendelsene skyldtes tilfeldigheter eller uflaks, mens 55 prosent skylder på menneskelige feil. Manglende sikkerhetsbevissthet hos ansatte (39 prosent) og manglende etterlevelse av prosesser (28 prosent) trekkes også frem som sentrale årsaker.
Andelen virksomheter som oppdager sikkerhetshendelser ved en tilfeldighet er helt oppe i 40 prosent, veldig likt andelen som detekterer hendelser gjennom rutinemessig intern sikkerhetsmonitorering, på 39 prosent. 31 prosent sier at det ble oppdaget som en følge av negative effekter på virksomheten. Og sjokket kan ha vært stort for de 5 prosentene som oppdaget hendelser gjennom varsling fra myndigheter eller politi, for ikke å snakke om de 5 prosentene som måtte lese om det i mediene.
Tiltak fokuserer i liten grad på menneskene
I 6 av 10 tilfeller har ledelsen blitt involvert dersom virksomheten har blitt utsatt for sikkerhetshendelser, mens styret har blitt varslet og involvert i 3 av 10 tilfeller. Kun 2 av 10 mener at virksomheten er påført økonomiske tap, og under 1 av 10 melder om organisasjonsendringer som følge av sikkerhetsbrudd.
Når det kommer til gjennomføring av tiltak som en konsekvens av sikkerhetshendelser, sier nesten halvparten (47 prosent) at de har endret retningslinjer og rutiner. 24 prosent har investert i nytt sikkerhetsutstyr, mens 22 prosent har strammet inn på kontrollen av eksterne leverandører og konsulenter. 20 prosent har investert i utvikling av sikkerhetsprosesser og etablert et sikkerhetsmiljø.
– Når 55 prosent sier at hendelser skyldes menneskelige feil, og 39 prosent mener det er resultat av manglende sikkerhetsbevissthet hos ansatte, burde enda flere virksomheter fokusere på ansattes sikkerhetsforståelse og kompetanse gjennom holdningskampanjer og opplæringsprogrammer. Kun 16 prosent sier at den interne opplæringen har blitt forbedret etter en hendelse, og bare 4 prosent har ansatt flere kompetente folk for å styrke sikkerheten, forteller Fischer Eriksen.
Styringssystemer gir bedre oppdagelsessevne
6 av 10 virksomheter har i dag et styringssystem eller rammeverk for informasjonssikkerhet. Det er på samme nivå som forrige undersøkelse fra 2016. Hos virksomheter med over 100 ansatte gjelder dette 8 av 10. Av de som har rammeverk eller styringssystem, opplever 9 av 10 at dette etterleves i virksomheten.
– Den gode nyheten er at Mørketallsundersøkelsen 2018 bekrefter at de som har implementert rammeverk og styringssystemer, og dermed evner å drive et systematisk og forebyggende sikkerhetsarbeid, i mye større grad klarer å identifisere og oppdage sårbarheter, trusler og hendelser. Dermed kan de raskere iverksette forebyggende og konsekvensreduserende tiltak, sier Fischer Eriksen.
– Kostnaden ved å etablere en proaktiv og forebyggende tilnærming til sikkerhet er mye lavere enn kostnadene og det potensielle skadeomfanget av en alvorlig hendelse, tilføyer Kristiansen.