Mørketallsundersøkelsen 2018: Tilfeldig om IT-sikkerhetshendelser oppdages

Hva skal til for å bedre evnen til å detektere et IT-sikkerhetsbrudd?  Mørketalls-undersøkelsen 2018 fra Næringslivets Sikkerhetsråd (NSR) viser at 67 prosent av respondentene oppgir tilfeldigheter som årsak til at virksomheten oppdager IT-sikkerhetsbrudd. Dette er det mulig å gjøre noe med. 

I dag slippes resultatene fra Mørketallsundersøkelsen. Rapporten er tilgjengelig på Næringslivets Sikkerhetsråd (NSR) sine hjemmesider.

Vi har hatt rapporten til gjennomsyn og bitt oss merke i flere av funnene.

Undersøkelsen utføres hvert andre år, med et representativt utvalg av norske private og offentlige virksomheter med mer enn fem ansatte. Det er gjennomført 1500 telefonintervjuer i februar 2018 som grunnlag for undersøkelsen.

SEKTOR

SektorAntall(n)   Andel intervju
Privat94763%
Offentlig 553 37%
Totalt1500100%

STØRRELSE

VirksomhetsstørrelseAntall intervju Andel intervju
5-19 ansatte72848,5%
20-99 ansatte 508   33,9%
100 ansatte eller flere   26417,6%
Totalt1500100%

Hvordan løser virksomhetene IT-driften?

48 prosent av norske virksomheter ordner IT-driften selv. 31% har delvis outsourcet dette, mens 17 prosent har outsourcet IT-driften helt. Vi noterer oss at 4% svarer ‘vet ikke’.

Det er de store bedriftene som håndterer driften selv, og de små som i større grad setter dette ut. Det er et klokt valg i våre øyne, ettersom det er krevende å etablere tilfredsstillende kompetanse og ressurser i mindre organisasjoner.

Vi har tidligere påpekt hvor viktig det er at du har fullstendig kontroll på leverandøren og evner å stille de riktige spørsmålene. En typisk problemstilling oppstår hvis du kjøper denne tjenesten fra en leverandør i et konfliktområde. Da er det betydelig mer risiko forbundet med å lagre dine sensitive data, enn om tjenestetilbyderen holder til i et land med solid infrastruktur og fredelige forhold.

Rammeverk eller styringssystem for informasjonssikkerhet

61% oppgir at de har et rammeverk eller et styringssystem for IT-sikkerhet. Det er de store bedriftene som er flinkest i klassen; 79% av de med 100 ansatte og over svarer at de har et slikt system, mens 54% av de med 5-19 ansatte svarer det samme.

Slik defineres rammeverk for informasjonssikkerhet i undersøkelsen:

Med rammeverk for informasjonssikkerhet menes intern kontroll ved etablerte rutiner, styring, tydelige ansvarsforhold og rapportering for å håndtere informasjonssikkerhet som dekker hele virksomhetens verdikjede. Rammeverk bør tilpasses virksomheten, f.eks. i henhold til sektor som helse, kraft og kommune. Herunder også i henhold til beste praksis, ISO standard, beredskapsforskriften, sikkerhetslov, personopplysningsloven (herunder GDPR), og internasjonale forordninger og direktiver som NIS. Se også føringer fra Nasjonal sikkerhetsmyndighet på̊ deres nettsider. 

Et av de positive funnene i årets undersøkelse er at det å ha styringssystemer og drive systematisk forebyggende sikkerhetsarbeid gir virksomhetene bedre oppdagelsesevne. Det gjør at de raskere kan iverksette kostnadsreduserende tiltak, samtidig som det bidrar til et mer robust og bevisst digitalt samfunn.

Av de som ble utsatt for sikkerhetsbrudd i 2017 mener 67 prosent at hendelsene skyldtes tilfeldigheter eller uflaks. De virksomhetene som har et styringssystem, ser i mindre grad tilfeldigheter og uflaks som en årsak til hendelsen enn de som ikke har slike system.

Deteksjon

Når det gjelder hvordan sikkerhetsbruddet ble oppdaget, er det også forskjell på virksomheter med og uten styringssystem for informasjonssikkerhet.

Blant de virksomhetene som ikke har et styringssystem, er det 50 prosent som oppdaget hendelsen ved en tilfeldighet, mens i virksomheter med styringssystem er det 37 prosent som oppdaget det ved en tilfeldighet.

Det forteller oss at disse bedriftene er bedre til å detektere hendelser og sikkerhetsbrudd. En viktig årsak til dette er at bedrifter med styringssystem oppdager hendelsene i større grad ved rutinemessig intern sikkerhetsmonitorering (44 prosent). Dette nevnes av kun 28 prosent av virksomhetene uten styringssystem.

Hvor raskt man oppdager et brudd er også vesentlig for evnen til å begrense skade. 49% svarer at de oppdaget bruddet umiddelbart, 23% i løpet av noen timer, og 15% i løpet av en dag. Men hele 7% svarer at de oppdaget hendelsen innen en uke.

På dette området er det ingen forskjell mellom virksomheter som har eller ikke har styringssystem for informasjonssikkerhet, eller store og små̊ virksomheter.

Phishing på frammarsj

Vi har tidligere pekt på hvordan phishing, eller sosial manipulasjon mot enkeltmedarbeidere, er en metode som brukes oftere blant datakriminelle. Undersøkelsen bekrefter dette. Denne kategorien øker med 10 prosentpoeng til 18% og er, sammen med virus/malware-infeksjon (21%), det flest svarer at de har vært utsatt for.

Er ledelsen en sikkerhetsrisiko?

Undersøkelsen viser, ikke uventet, at norske virksomheter har stort forbedringspotensial på området IT-sikkerhet. Vi skal ikke legge opp til en slik-gjør-du det-argumentasjon, men det er to aspekter ved dette arbeidet som Mørketallsundersøkelsen avdekker. 

Det første handler om å forstå risiko. Virksomheten må være i stand til å identifisere risikoen for å iverksette riktige tiltak. Når man gjør risikoanalyser og vurderer sine verdier, så kan man forebygge kriminalitet, hindre at den oppstår og begrense konsekvensene. Bedrifter som har et rammeverk, gjør dette i større grad enn de som ikke har det.

En oversiktlig metode for å kartlegge risikoer knyttet til virksomheten din. Last ned vår gratis e-bok her.

Det andre handler om å eie risikoen. Det er ledelsen som må eie risikoen og styre den. Ledelsen og styret må forstå, på bakgrunn av analysene, hvordan risikoen kan styres og hvilke tiltak som må implementeres som en følge av dette. 

I dette synet får vi verdifull støtte fra administrerende direktør Idar Kreutzer i Finans Norge. Under konferansen «Cybersikkerhet i styrerommet» tok han til orde for at det er nødvendig med minst én i styret som har kompetanse innen IT-sikkerhet. –Passivitet i styrerommet er den største sikkerhetstrusselen, sa Kreutzer. Vi kunne ikke vært mer enig.

Frode Lien Otnes

Frode er gründer og direktør i F24 Nordics. Han er utdannet innen økonomi og administrasjon ved Handelshøyskolen BI. I 2006 startet han F24 Nordics for å utvikle et elektronisk krisestøtteverktøy. Frode har ledet utviklingen av CIM og har aktiv prosjekterfaring fra implementeringen av CIM i blant annet regjeringens krisestøtteenhet og den omfattende implementeringen av krisehåndteringsverktøy hos DSB, fylkesmenn og kommuner. Sammen med Helsedirektoratet implementerte han også HelseCIM i alle landets helseforetak i 2012.

Gratis e-bok:

Slik kommer du i gang med risikovurdering

Har du spørsmål knyttet til våre produkt og tjenester?

Ta gjerne kontakt via telefon, e-post, eller i kontaktskjema under.
Send oss dine spørsmål og få svar.