Datakriminaliteten vi ikke ser

Over halvparten av norske bedrifter blir utsatt for alvorlig datakriminalitet. De fleste tilfellene kunne vært unngått.

Arne Røed Simonsen og Janne Hagen

Arne Røed Simonsen og Janne Hagen

Den niende Mørketallsundersøkelsen™ for datakriminalitet i regi av Næringslivets Sikkerhetsråd (NSR) har for første gang sammenliknet innrapporterte datainnbrudd (hacking) med det som blir registrert av profesjonelle overvåkingssystemer. Mens spørreundersøkelsen over flere år har indikert at bare 4 av 100 virksomheter er utsatt for datainnbrudd, viser data fra overvåkingssystemene til Nasjonal sikkerhetsmyndighet (NSM) og sikkerhetsfirmaet mnemonic at over halvparten av virksomhetene faktisk har hatt innbrudd.

Hva kan norske virksomhetsledere gjøre for å utbedre situasjonen?

1. Analysér risikoen når bruken endrer seg

Risikoen endres med endret bruksmønster. Undersøkelsen viser to trender når det gjelder bruk av IKT. For det første er skillet mellom privateid IT-utstyr og jobbutstyr i ferd med å bli visket ut. Virksomhetsledere må tenke gjennom hvilken risiko dette kan medføre, og sørge for et minimum av retningslinjer for bruk.

For den andre viser undersøkelsen at bruk av skytjenester øker. 3 av 4 brukere har tillit til skyleverandøren, men de har mindre kunnskap om hvilke krav som stilles når for eksempel personopplysninger flyttes til skyen. Mindre enn halvparten vet om avtalen med skyleverandøren regulerer tilsynsrett for offentlige myndigheter, hvilket den bør gjøre. Færre enn 1 av 3 har databehandleravtale med skyleverandør. Det er naturlig å tro at mange av disse systemene inneholder personopplysninger og da er databehandleravtale et krav, i henhold til personopplysningsloven. Det er viktig å analysere risikoen før data flyttes over i skyen. De valgte løsningene  må tilfredsstille lovkrav. Dersom bedriften ikke selv har nødvendig kompetanse, bør kjøp av eksterne tjenester vurderes.

2. Oppdater systemer og programvare

Hver gang en 0-dagssårbarhet, sårbarheter det ikke finnes motmidler mot, blir offentliggjort, resulterer det i store nyhetsoppslag. Sannheten er imidlertid at de fleste angrep utnytter svakheter i systemene som har vært kjent over lengre tid. I følge Microsoft utgjør 0-dagssårbarheter bare 0,1 prosent av tilfellene. NSM har også liknende erfaringer; de fleste vellykkede angrep utnytter kjente svakheter. Oppdatering av operativsystemer og annen programvare er derfor viktig og har helt klart en forebyggende effekt som stopper de fleste angrep. I følge NSM kan 80-90 prosent av alle kjente forsøk på dataangrep bli stoppet ved å innføre noen få tekniske tiltak, blant dem nettopp oppdatering av operativsystemer og annen programvare. Tiltakene koster ikke penger, og krever lite ressurser.

3. Hjelp IT-brukerne til god sikkerhetsatferd

Omfanget av målrettete angrep har økt gjennom flere år, og ifølge Microsoft blir 45 prosent av virus spredt gjennom åpning av epost, lenke eller fil. Stor effekt kan oppnås ved å øke kompetansen til ansatte, slik at infisert epost ikke blir åpnet. Siden man uansett ikke kan garantere at det ikke er en eneste bruker som åpner en infisert e-post, vil det være klokt å begrense brukernes rettigheter og muligheter til å laste ned og kjøre ikke-autoriserte programmer.

4. Overvåk systemene dine

7 av 10 virksomheter sier at varsling fra egne ansatte er den viktigste kilden til å oppdage hendelser, men som vi har påpekt innledningsvis blir bare et fåtall av disse oppdaget. Det skyldes ikke bare menneskelige begrensninger til å se, men også mangelfull logging og analyse av informasjon som ellers ville vist hva som skjer inne i systemene. 4 av 10 virksomheter vet ikke om de har hatt hendelser eller ikke. Like mange går ikke gjennom sine logger. Elektronisk overvåking av egne systemer er et viktig supplement til den menneskelige oppdagelsesevnen. Uten overvåking er man praktisk talt blind – uvitende om de hendelser man er utsatt for.

5. Når hendelsen er et faktum, søk hjelp og anmeld forholdet

Til tross for gode tiltak, er det slik at ikke alle hendelser kan unngås. Som NSM har påpekt senest ved sin sikkerhetskonferanse i år, er trusselen fra sterke aktører som driver målrettet industrispionasje stor. I 2013 rapporterte NSM om 51 alvorlige hendelser. Disse aktørene jobber langsiktig og målrettet. Angrepene er basert på god etterretning og de er vanskelige å oppdage.

Datakriminalitet er grenseoverskridende og vanskelig for lokalt politi å håndtere alene. Markedet for sårbarheter og ondsinnet programvare har også nådd modningsfasen. Så vel privatpersoner, myndigheter som kriminelle handler her.  Hvis forhold ikke blir anmeldt, får ikke norske myndigheter statistikk som viser omfanget. Dermed får heller ikke politiet mer ressurser til etterforskning.

Hvis ikke sensitiv informasjon sikres, er det økonomiske tapet stort. Center for Strategic and International Studies (CSIS) har estimert de globale tapene av datakriminalitet og anslår de norske tapene til 0,64 prosent av BNP, anslagsvis 19 milliarder kroner. Til sammenlikning er Trondheim kommunes drifts- og investeringsbudsjett for 2014 på 14,6 mrd. Det sier noe om hvilke ressurser som går til spille, og som med enkle grep kunne vært unngått.

Les hele rapporten her (PDF)

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss