Underleverandører er det svakeste leddet i cybersikkerheten til norske virksomheter, fastslår konsulentselskapet PwC i en fersk undersøkelse.

Hvert år kartlegger PwC hvordan norske selskaper vurderer sikkerhetstilstanden og hva de frykter i undersøkelsen «Cybercrime Survey».

I årets utgave av PwCs årlige sikkerhetsundersøkelse blant norske virksomheter som offentliggjøres denne uken, fremgår det at små underleverandører har vært et enklere mål for hackere enn store virksomheter når norske selskap er blitt utsatt for cyberhendelser det siste året.

Undersøkelsen er gjort blant 106 it-sjefer hos noen av de største virksomhetene i offentlig og privat sektor i Norge, ifølge konsulentselskapet.

Her slår politiet til mot de antatte Hydro-hackerne
Dataangrepet på Hydro i 2019 ledet til en stor, internasjonal politiaksjon i 2021. Nå er etterforskningen over og Kripos mener at «Norges største sak innenfor datakrim» er oppklart.
01:06
Publisert:

Da en underleverandør av Visma ble hacket i mai i år, ble to norske selskaper og flere titusen jobbsøkere hos svensk politi også rammet som følge av hendelsen hos Visma – og flere kommuner ble påvirket.

Ved å bryte seg inn hos underleverandører, klarer hackere å komme seg inn bakveien til datasystemene til store selskaper, fastslår PwC etter undersøkelsen hvor 106 it- og sikkerhetsledere i norske selskaper har vært respondentene.

Den nyeste undersøkelsen til PwC viser også at én av tre spurte ledere mener toppledelsens manglende forståelse for cybersikkerhet utgjør en risiko.
Den nyeste undersøkelsen til PwC viser også at én av tre spurte ledere mener toppledelsens manglende forståelse for cybersikkerhet utgjør en risiko. (Foto: Gunnar Lier)

Også Deloitte bekrefter at underleverandører er en vei inn.

– Norske virksomheter sikrer ofte sine egne systemer, men har liten kontroll på underleverandører og forståelse for risikoer disse bringer med seg. Svakheter og sårbarheter hos underleverandører kan enkelt utnyttes til å påføre skade, sier Cathrine Lagerberg, senior ekspert innen cyberrisiko og risikovurdering i Deloitte.

Økende antall angrep

– Mange norske selskaper har generelt lavt sikkerhetsnivå, hvor «alle har tilgang til alt» og er blitt lavt prioritert i lang tid. Flere har cybersikkerhet på «agendaen», men sliter med at ledelsen forstår trussellandskapet eller prioriterer sikkerhet nok, sier hun.

Også Telia bekrefter at underleverandører er blitt et viktig mål i Norge.

– Vi ser absolutt et økende antall målrettede angrep på underleverandører som leverer tjenester til både privat og offentlig sektor. Vi opplever en økende etterspørsel etter hjelp innenfor sikkerhet og it fra norske bedriftskunder som ikke helt vet hvordan de konkret skal gå frem for å beskytte sin virksomhet mot cyberangrep og andre typer datakriminalitet, sier leder for bedriftsmarkedet i Telia Norge, Jon Christian Hillestad.

– I en helt ny undersøkelse Telia har gjort, sier tre av fire bedriftsledere at de er mer bekymret for cyberangrep nå enn tidligere, og det er selvsagt bekymringsfullt når en tredjedel samtidig sier at de ikke har en plan for hva de skal gjøre hvis de blir angrepet, sier Hillestad.

Lav tillit til toppledelsen

Undersøkelsen til PwC viser også at én av tre spurte ledere mener toppledelsens manglende forståelse for cybersikkerhet utgjør en risiko. Dette er en dobling sammenlignet med året før.

Undersøkelsen viser også at over halvparten av virksomhetene hvor respondentene arbeider har opplevd en cybersikkerhetshendelse i løpet av det siste året. Nærmere seks av ti kan med sikkerhet si at de har vært utsatt for én eller flere cybersikkerhetshendelser det siste regnskapsåret, ifølge rapporten.

Antall målrettede cyberangrep øker, samtidig som forståelsen for cybersikkerhet synker. Phishing - som går ut på å lure ansatte til å gi fra seg vesentlig informasjon som for eksempel innloggingspassord- rammer så godt som alle; åtte av ti har opplevd phishing-angrep det siste året. Bekymringen blant respondentene er størst for nedetid i kritiske systemer, deretter informasjon på avveier og omdømme.

Halvparten av de spurte er dobbelt så bekymret for cybersikkerheten som for ett år siden. Ekspertene antar at nesten alle rammes, men at mange ikke oppdager vellykkede angrep, ifølge rapporten.

Resultatene fra undersøkelsen viser et «betydelig høyere» tillitsnivå til cybersikkerheten innenfor finanssektoren enn andre sektorer ifølge PwC – av respondenter fra andre sektorer enn finansbransjen. Dette kan ifølge konsulentselskapet henge sammen med at finanssektoren er strengt regulert.

67 prosent av respondentene anser organisert kriminalitet som sin dimensjonerende trusselaktør, etterfulgt av andre nasjoners etterretningstjenester (61 prosent) og «ansatte/innsideres ubevisste handlinger» (59 prosent).

Den økonomiske situasjonen i 2023 og 2024 fører til lavere investeringsvilje i cybersikkerhetstiltak, ifølge PwC. Norske selskaper oppfordres til å satse mer på opplæring av ansatte for å unngå sårbarhet, samt sikre underleverandørene bedre.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.