Mørketallsundersøkelsen - informasjonssikkerhet og datakriminalitet

Næringslivets Sikkerhetsråd har som formål å forebygge kriminalitet i og mot næringslivet. Et av virkemidlene vi bruker er å informere om de kriminelle trusler og trender vi ser i dag og forventer i fremtiden. Mørketallsundersøkelsen har en sentral plass i denne opplysnings- og informasjons­strategien mot næringslivet og offentlige myndigheter. Gjennom den henter vi inn fakta om IT-tilstanden i privat og offentlig næringsliv.

Mørketallsundersøkelsen 2018 er den 11. undersøkelsen som foretas av Næringslivets Sikkerhetsråd (NSR) gjennom Informasjonssikkerhetsutvalget. Undersøkelsen er enestående i Norge og er et viktig bidrag til å kartlegge omfanget av datakriminalitet og IT-sikkerhetshendelser, samt bevissthet omkring informasjonssikring og omfanget av sikringstiltak i norske virksomheter. Alle svar er anonymisert slik at verken respondenter eller deres virksomheter har mulighet til å bli identifisert.

Dersom din virksomhet ønsker å støtte Mørketallsundersøkelsen 2020, ta kontakt med NSR på e-postlenken under.

De seks siste undersøkelsene kan lastes ned fra denne siden. Universiteter og høgskoler kan få rådata fra undersøkelsene ved henvendelse til Næringslivets Sikkerhetsråd.

All bruk og gjengivelse av materialet skal skje med referanse til undersøkelsens navn og Næringslivets Sikkerhetsråd.

 • Mørketallundersøkelsen 2018

  Forside Mørketallsundersøkelsen 2018

  Utdrag av hovedfunnene

  6 av 10 virksomheter har et styringssystem eller rammeverk for informasjonssikkerhet, på samme nivå som sist undersøkelse i 2016. Hos virksomheter med over 100 ansatte gjelder dette 8 av 10. Av de som har rammeverk eller styringssystem, opplever 9 av 10 at dette etterleves i virksomheten. 

  - Den virkelig gode nyheten er at Mørketallsundersøkelsen bekrefter at de som har implementert rammeverk og styringssystemer, og dermed evner å drive et systematisk og forebyggende sikkerhetsarbeid, i mye større grad klarer å identifisere og detektere sårbarheter, trusler og hendelser. Dermed kan de raskere iverksette forebyggende og konsekvensreduserende tiltak, sier Jack Fischer Eriksen, direktør i NSR.

  Last ned hele undersøkelsen her

  Download Norwegian Computer and Data Breach Survey 2018

   

 • Mørketallundersøkelsen 2016

  Forside MU2016

  Utdrag av hovedfunnene

  Over en fjerdedel av norske virksomheter – 412 av 1500, eller 27% – har opplevd uønskede sikkerhetshendelser det siste året. Virksomhetene forteller at dette fører til produktivitetstap i 4 av 10 tilfeller (i form av tapte arbeidstimer), men kun 2 av 10 oppgir at de har hatt kostnader som følge av slike hendelser. Dette viser at virksomhetene mangler oversikt over hva sikkerhetshendelsene koster dem, eller undervurderer disse kostnadene. Kun 9% av virksomhetene som utsettes for angrep tar saken videre til politiet. Det tilsier at det skjuler seg betydelige mørketall, og for de kriminelle nettverk er denne typen angrep mot norske virksomheter i praksis straffefrie.

  Last ned hele undersøkelsen her

  Download Norwegian Computer and Data Breach Survey 2016

 • Mørketallundersøkelsen 2014

  Forside MU2014

  Utdrag av hovedfunnene

  Årets Mørketallsundersøkelse er basert både på anmeldte hendelser, innrapporterte hendelser i undersøkelsen og anonymiserte og aggregerte sensordata om datainnbrudd fra NSM og Mnemonic. Det er stor usikkerhet knyttet til mørketall både hva gjelder antall estimerte hendelser og kostnader som følge av hendelser. Analysen basert på hendelsene oppgitt i Mørketallsundersøkelsen™ viser store avvik mellom estimerte hendelser og anmeldte hendelser. 

  Sammenligning av sensordata og svar i gruppen store virksomheter viser at halvparten er utsatt for datainnbrudd i en eller annen form, og ikke bare 5 % slik det er rapportert av store virksomheter i undersøkelsen.

  I år har undersøkelsen også satt søkelyset på personvern, men bare 5 virksomheter har rapportert personvernhendelser. Datatilsynet har selv 100 avviksmeldinger på hendelser som innebærer uautorisert utlevering av personopplysninger.

  Undersøkelsen viser økt bruk av skybaserte tjenester; 2 av 3 virksomheter bruker nå skytjenester. Bruk av sosiale medier har økt fra 1 av 5 i 2010 til 2 av 5 i 2012 og 3 av 5 i år.

  Last ned hele undersøkelsen her

 • Mørketallsundersøkelsen 2012

  Utdrag av hovedfunnene

  Mørketallsundersøkelsen™ viser at det er et større gap enn tidligere mellom trusler og sikkerhetstiltak blant norske virksomheter parallelt med at IT-avhengigheten øker. Norske virksomheter, særlig ledere, mangler kunnskap om informasjonssikkerhet og har ikke oversikt over trusler og hendelser. Dette kan forklare at mange virksomheter ikke har tatt i bruk tilgjengelige sikkerhetstiltak og heller ikke fokusert på sikkerhetskultur. Under følger de viktigste funnene.

  Økt sårbarhet

  Virksomheter i Norge tar i bruk mer teknologi, spesielt e-post på mobiltelefoner, og er mer aktive på sosiale medier, men mangler ofte retningslinjer.
  62 % av norske virksomheter svarer at det er kritisk når IT- systemene er nede inntil 1 dag.
  Det er en synkende sikkerhetsbevissthet i norske virksomheter, blant annet på grunn av manglende styrings- og monitoreringssystemer av hendelser, til tross for at IT-avhengigheten og trusselen øker.
  Halvparten av virksomhetene har tatt i bruk en form for nettskytjeneste, men et fåtall har retningslinjer.
  Virksomheter tar i bruk ny teknologi uten å foreta risikoanalyser og etablere retningslinjer. Dette gjør virksomhetene særlig sårbare for sikkerhetshendelser.

  Last ned undersøkelsen her

 • Mørketallsundersøkelsen 2010

  Utdrag av hovedfunnene

  Virksomhetene er mer avhengige av IT og har større mobilitet. Det finnes ingen offentlig pålagte sikkerhetskrav til selskapene som tar på seg IT-driftsoppgavene for andre virksomheter. Det finnes krav til noen virksomheter innenfor enkelte bransjer, men ingen krav direkte til driftsleverandørene som f. eks. sertifiserer virksomhetene.  Små og mellomstore bedrifter er underrepresentert når det gjelder å ta i bruk en rekke sikkerhetstiltak sammenlignet med store bedrifter. Dette er i samsvar med undersøkelsen fra 2008.

  Manglende overvåking og gjennomgang av logger medfører manglende oversikt og rapportering av sikkerhetshendelser til ledelsen. Dette reduserer muligheten til å iverksette preventive sikkerhetstiltak. Informasjon spres i nye medier og kanaler.

  Bruken av nettsamfunn har syv-doblet seg siden 2008, mens under 1/3 har retningslinjer for bruk av nettsamfunn.

  Virksomheter som driver forskning og utvikling er dobbelt så utsatt som andre virksomheter for å få frastjålet datautstyr, og de er 77% mer utsatt for datahendelser.

  Last ned undersøkelsen

 • Mørketallsundersøkelsen 2008

  Utdrag av hovedfunnene

  Undersøkelsen viser at 1/3 av virksomhetene var utsatt for datakriminalitet i 2007. Av totalt 4.400 estimerte datainnbrudd er kun 57 anmeldt til politiet. Dette viser at vi fremdeles har store mørketall, og at det er en utfordring å få virksomhetene til å anmelde slike forhold. Undersøkelsen viser også at det er grunn til å tro at virksomhetene (særlig de mindre) ikke er klar over at de er utsatt for hendelser. Større virksomheter som har sikkerhetsansvarlig eller IT leder rapporterer flere hendelser, og har også gjennomført fl ere sikringstiltak, som ofte er en forutsetning for å oppdage hendelser. Datainnbrudd, trojanere samt misbruk av IT ressurser krever tiltak og kompetanse for å bli oppdaget.

  Det som kjennetegner dagens informasjonssamfunn er at virksomhetenes informasjon ikke lenger bare ligger på sentrale servere, men er i stor grad kopiert til bærbare enheter og lagringsmedia.

  Last ned undersøkelsen

 • Mørketallsundersøkelsen 2006

  Utdrag av hovedfunnene

  De rapporterte hendelsene domineres av virusangrep, tyveri av utstyr og misbruk av IT ressurser. I alle disse kategoriene er manglende bevissthet hos sluttbrukere avgjørende for at hendelsene skjer. Mens virksomhetene er godt rustet på viktige tekniske sikringstiltak har kun 40 % av virksomhetene gjennomført opplæring av ansatte i sikker bruk av IT.

  I de tilfellene hvor gjerningsmann er identifisert er bortimot halvparten egne ansatte eller innleid personell. Det er utvalgets oppfatning at holdninger og bevisstgjøring av brukere er vel så viktig som teknisk sikringstiltak. Undersøkelsen viser for øvrig at kun 40 % av bedrifter med under 200 ansatte har krav til sikkerhet i avtaler med tjenesteleverandør ved utkontraktering av IT-drift.

  Last ned undersøkelsen

 • Mørketallsundersøkelsen 2003

  Utdrag av hovedfunnene

  Til tross for at 60 % av norske virksomheter ble rammet av slike hendelser i 2003 viser tall fra politiet at bare 187 tilfeller av datakriminalitet ble anmeldt.

  2003 ble norske virksomheter utsatt for omtrent:

  • 5200 datainnbrudd
  • 2,7 mill. forsøk på datainnbrudd
  • 150 000 virusinfeksjoner
  • 50 mill. forsøk på virusinfeksjon

  Last ned undersøkelsen

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss