– Kriminaliteten har flyttet seg fra gata til data. Den registrerte kriminaliteten har gått ned 14,6 prosent siden 2012, men vi tror det reelle kriminalitetsbildet har gått opp fordi det er veldig store mørketall innen datakriminalitet, sier Jack Fischer Eriksen, direktør i Næringslivets sikkerhetsråd.
«Naiviteten er stor»
Gjennom Mørketallsundersøkelsen kartlegger Næringslivets sikkerhetsråd (NSR) annethvert år tilstanden innen it-sikkerhet i næringslivet og offentlig sektor. Politidirektoratet, Nasjonal sikkerhetsmyndighet, Telenor, Nordea og KPMG er blant aktørene som bidrar med analyser. Den nyeste undersøkelsen som legges frem på en sikkerhetskonferanse i Oslo torsdag, viser at norske virksomheter ikke har oversikt over hva de egentlig taper når de opplever sikkerhetsbrudd.
– Naiviteten hos norske virksomheter er påfallende stor. Når samtlige respondenter svarer de ikke har tapt forretningshemmeligheter gjennom informasjonstyveri og spionasje, kan man jo spørre seg om dette skyldes manglende kunnskap og deteksjonsevne, sier Jack Fischer Eriksen.
– Vi har ikke nok folkPris: 1,3 milliarder
Virksomhetene som deltok i undersøkelsen og klarer å tallfeste hva de har tapt som følge av sikkerhetsbrudd, har hatt kostnader på til sammen 30 millioner kroner bare i 2017. Med dette tallet som utgangspunkt, har Næringslivets sikkerhetsråd regnet seg frem til at sikkerhetsbrudd har kostet norske virksomheter 1,3 milliarder kroner i året som gikk.
– Det er et nøkternt estimat på det som er rene forstyrrelser i næringslivet, penger man må bruke for å komme tilbake til normaltilstand, sier Eriksen.
Blant dem som er utsatt for hendelser og klarer å tallfeste hva hendelsen har kostet økonomisk, er det i snitt en kostnad på drøyt 54.000 kroner for den mest alvorlige hendelsen i 2017. De som er hardest rammet, estimerer en kostnad på to millioner kroner.
Menneskelige feil
Årets utgave av undersøkelsen avdekker en kraftig økning i andelen selskaper som utsettes for dataangrep som phishing, hvor brukere lures til å røpe sine passord for de kriminelle. Det er også sterk økning av hacking, bedrageri og tjenestenektangrep, hvor serveren oversvømmes med data til den kneler. Virus- og malwareinfeksjon rammer flest virksomheter.
– Det mest slående er at phishing og sosial manipulering øker med ti prosent. Det er en markant økning i forhold til tidligere. Det oppgis at årsakene til at en hendelse oppstår er menneskelige feil, men det siste vi investerer i er tiltak i form av opplæring av mennesker. Hvorfor lærer vi ikke, spør Eriksen.
Av dem som ble utsatt for sikkerhetsbrudd i 2017 mener 67 prosent at hendelsene skyldtes tilfeldigheter eller uflaks, mens 55 prosent mener det var på grunn av menneskelige feil.
– Det er en vekker. Når i overkant av en tredjedel av offentlige virksomheter oppdager sikkerhetsbrudd ved en tilfeldighet, kan man stille spørsmål ved hvor effektiv informasjonssikkerheten er i praksis, sier Eriksen.
370 avviksmeldinger
– Sjokket har nok vært stort for de fem prosentene som oppdaget hendelser gjennom varsling fra myndigheter eller politi, for ikke å snakke om de fem prosentene som måtte lese om det i mediene. Merkelig nok sier så å si halvparten at hendelsen ble oppdaget umiddelbart, eller det ble detektert i løpet av få timer. Her er det tydeligvis mye flaks ute og går, med tanke på at 40 prosent sier oppdagelsen var tilfeldig, sier han.
– Datatilsynet mottok i fjor 370 avviksmeldinger og omtrent samme antall halvveis i 2018, sier Fischer Eriksen.
I privat sektor står det dårligst til innen bygg og anlegg, service og industri, hvor under halvparten oppgir at de har et sikkerhetsrammeverk på plass. Bygg og anlegg har generelt lav modenhet innen informasjonssikkerhet, fastslår undersøkelsen.
Nesten 20 prosent av virksomhetene vet ikke engang om de har et rammeverk for informasjonssikkerhet på plass.
NSR mener det finnes mange hendelser med uønsket tilgang til bedriftsdata, som for eksempel spionasje, som aldri fanges opp av selskapene.
– 61 prosent av respondentene svarer at de har et styringssystem for ikt-sikkerhet. De som har det, oppdager hendelser raskere og har mindre økonomiske tap og ledelsen blir involvert. Det er et positivt utviklingstrekk, sier Jack Fischer Eriksen.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.
