Bevissthet viktigere enn noen sinne

Gapet mellom IKT-trusselen og sikkerhetstilstanden i norske virksomheter bare øker. Næringslivets Sikkerhetsråds (NSR) la på Sikkerhetskonferansen 11. september frem Mørketallsundersøkelsen for åttende gang. Undersøkelsen lages av Datakrimutvalget for NSR med det formål å belyse omfanget av datakriminalitet og IT-sikkerhetshendelser, og for å kartlegge hvor sårbare virksomheter er.

Foto: Karoline Kathrine Åbyholm

Kristine Beitland (Foto: Karoline Kathrine Åbyholm)

Undersøkelsen er et eksempel på at næringslivet og myndighetene i best forebygger kriminalitet og sikkerhetshendelser i fellesskap. Dette blir viktig også fremover for å møte trusselbilde.

Synkende bevissthet

Sikkerhetsbevisstheten i norske virksomheter synker samtidig som trusselbilde øker. Undersøkelsen avdekker et økende gap mellom IKT-trusselbildet og sikkerhetstiltak. AS Norge har mye å gå på når det gjelder sikkerhetstilstanden. Ledere mangler kunnskap om informasjonssikkerhet, og har ikke oversikt over trusler og hendelser. Det er store mørketall både når det gjelder hendelser og kostnader. Undersøkelsen viser en nedgang eller utflatende trend når det gjelder alle organisatoriske og tekniske IKT-sikkerhetstiltak fra 2008 frem til i dag. 

Sårbarhet og outsourcing

Trenden med bruk av privateid utstyr som smarttelefoner, nettbrett og bærbare PCer øker. Privat utstyr kobles til ulike nettverk som gjør det vanskeligere å beskytte seg mot angrep. Bare 1 av 3 virksomhetene har retningslinjer for bruk av eget utstyr i jobbsammenheng.
Mange ledere har ikke bevissthet og kunnskap om hvor sårbar deres virksomhet er, og hva de må gjøre for å beskytte virksomheten, og ledere kjenner ikke hvilke verdier den lagrede informasjonen har.
Over halvparten av norske virksomheter har satt bort IT-driften, og mye tyder på at ledere ikke bare outsourcer selve oppgaven, men også sikkerhetsansvaret.
De mest utsatte for dataangrep er store virksomheter som driver forsikrings- og utvikling eller har immaterielle rettigheter.

Underrapportering

Undersøkelsen viser klare mørketall mellom faktiske IKT-sikkerhetshendelser registrert hos virksomheter og anmeldelser til politiet, samt klare indikasjoner på underrapportering. Datakrimutvalget har estimert antallet IKT- sikkerhetshendelse norske virksomheter utsettes for til ti cirka 45.000 hendelser. Datainnbrudd er estimerte 3200 hendelser mot 144 anmeldelser til politiet.

Mangelfull beredskap

62 prosent av norske virksomheter svarer det er kritisk når IT- systemene er nede inntil én dag. Dette understreker behovet for beredskapsplaner og øvelser på realistiske senarioer for raskt å gjenopprette normal drifte. Under halvparten av norske virksomheter har beredskapsplaner, og enda færre øver noe som er en forutsetning for å lykkes rent praktisk. 
12 prosent av de som har opplevd en hendelse følger heller ikke opp med forbedringstiltak for å forebygge nye hendelser.

Manglende tiltak

Av daglig ledere, som er øverste ansvarlige for sikkerhet og beredskap, svarer 1 av 5 at de ikke vet om det gjennomføres risikoanalyser i egen virksomhet. Bare 1 av 6 har retningslinjer for gjennomføring av verdivurdering av informasjonssikkerhetsarbeidet.
Godt under halvparten gjennomfører risikoanalyser hver gang det innføres nye IT- løsninger.
1 av 4 får sikkerhetsopplæring ved ansettelse. Av disse igjen får 1 av 4 kontinuerlig opplæring. Dette til tross for at det er ansatte som oppdager flest hendelser, og eksterne angrep er ofte rettet mot ansatte og ikke teknologi.

Anbefalinger

Ut fra disse funnene er Datakrimutvalgets hovedanbefalinger:
• Bevissthet, kompetanse og sikkerhetskultur må økes blant ledere og ansatte.
• Gjennomfør verdivurdering, risikoanalyse og iverksett tiltak.
• Utarbeide beredskapsplaner og gjennomfør øvelser.
• Hendelsesrapportering til ledere, inklusiv verditap.
• Anmeld alle straffbare forhold.
• Utarbeide retningslinjer når ny teknologi tas i bruk, som sosiale medier og nettskytjenester.

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss