– Må satses mer på kompetanse innen IT-sikkerhet

Kommentaren fra Fischer Eriksen kommer i forbindelse med dagens presentasjon av Mørketallsundersøkelsen 2018. Dette er ellevte gang Næringslivets Sikkerhetsråd (NSR) legger frem en slik tilstandsrapport om IT-sikkerheten i privat og offentlig næringsliv.

Mørketallsundersøkelsen utarbeides annethvert år. Etter en datainnsamling basert på 1.500 telefonintervjuer i regi av Opinion, analyseres materialet av Informasjonsutvalget i NSR.

63 prosent av de som intervjues kommer fra privat sektor, mens 37 prosent representerer offentlige virksomheter.

For andre gang på rad viser undersøkelsen at det ofte er tilfeldigheter som gjør at IT-sikkerhetshendelser oppdages. Årets undersøkelse slår også fast at virksomhetene har liten oversikt over hvor mye sikkerhetshendelser faktisk kan koste.

Ifølge Fischer Eriksen er kostnadene i Norge estimert til et titalls milliarder kroner årlig.

Et av de viktigste funnene i årets undersøkelse er at styringssystemer og systematisk forebyggende sikkerhetsarbeid gir virksomhetene bedre oppdagelsesevne og at de bidrar til at det raskere kan iverksettes kostnadsreduserende tiltak. Samtidig er det en utfordring at større bedrifter har mer utfordringer med å få de ansatte til å følge disse, enn de mindre virksomhetene.

– Dette er verdfull kunnskap for et digitalt samfunn som sammen må jobbe kontinuerlig mot et trusselbilde som stadig blir mer avansert, omfattende og som berører oss alle uavhengig av bransje, heter det i undersøkelsen.

Mørketallsundersøkelsen 2018 viser at virus og/eller malwareinfeksjon ligger på topp blant de vanligste informasjonssikkerhetshendelsene, med phishing og sosial manipulering som en god nummer to – foran forsøk på datainnbrudd/hacking og hendelser forårsaket av bedriftens ansatte. Antallet tilfeller phishing og sosial manipulering er mer enn doblet siden 2016. Det har også vært en økning i DDoS-angrep eller trusler om dette. Det samme gjelder bedrageri.

I sin presentasjon av Mørketallsundersøkelsen poengterte Jack Fischer Eriksen at det er et tankekors at null prosent opplyser at de har mistet verdifull informasjon.

– Det tror vi skyldes manglende kunnskap; at de faktisk ikke vet om eller hva de er blitt frastjålet, sier han.

Årsakene til at informasjonssikkerhetshendelsene skjer, oppgis i hovedsak å være tilfeldigheter og uflaks, menneskelige feil, mangel på sikkerhetsbevissthet hos de ansatte og at eksisterende prosesser ikke blir fulgt.

Også CEO-svindel har økt den siste tiden, sammenlignet med at det de siste årene har vært en nedgang. Ved inngangen til 2018 er det imidlertid registrert en gledelig nedgang når det gjelder løsepengevirus.

Blant virksomheter med styringssystem for informasjonssikkerhet ble 37 prosent av sikkerhetsbruddene oppdaget ved en tilfeldighet. Blant de uten slik system ble 50 prosent av hendelsene tilfeldig oppdaget.

– Det er behov for å omsette kunnskap til tiltak. Vi trenger derfor arenaer for deling av oppdatert kunnskap og erfaringer som samlet vil kunne bidra til et mer robust digitalt samfunn, konkluderes det med – samtidig som undersøkelsen forteller at bare seks av ti virksomheter har gjennomført aktiviteter for å øke de ansattes sikkerhetsbevissthet i løpet av siste år.

61 prosent av virksomhetene som er utsatt for sikkerhetshendelser involverer ledelsen, mens 31 prosent rapporterer til styret.

Ni prosent av virksomhetene med sikkerhetshendelser har gjennomført organisasjonsendringer som følge av disse.

Etter innføringen av nytt personvernregelverk (GDPR) i sommer, har 48 prosent av virksomhetene gjort endringer eller forbedringer i arbeidet med personvern og informasjonssikkerhet.

– Det kan tyde på at mange virksomheter ikke kjenner til regelverket og ikke er klar over at de må etterleve det, heter det i undersøkelsens analyser.

Når det gjelder risikobildet i tiden som kommer, støtter Mørketallsundersøkelsen seg blant annet til kompetansen hos NSM. Der observeres det en betydelig økning i graving (engelsk:mininig) etter kryptovaluta, såkalt kryptojacking.

– Dette åpner en rekke nye problemstillinger innen forebyggende IT-sikkerhet. NSM observerer også en trend der angrep blir mer komplekse, med andre teknikker enn tradisjonell phishing. Det anbefales sterkt at virksomheter fortsatt fokuserer på epostsikkerhet, samtidig som det bygges generell motstandsevne for å kunne avdekke og stå imot ulike kompleke angrep.

Dette støttes av Kripos som ifølge undersøkelsen erfarer at trusselaktørene er blitt mer teknisk kompetente.

Tidligere justisminister Anders Anundsen leder programmet på Sikkerhetskonferansen og uttrykte under åpningen bekymring for blant annet antall anmeldelser av IT-kriminalitet. Anmeldelsesprosenten er kun på ni prosent.

– Hvis folk utsettes for tyver som stjeler lommeboka deres på Karl Johan, løper de til politiet. Hvis folk rammes av datakriminalitet, er det bare et fåtall som varsler myndighetene. Det er betenkelig, sier Anundsen.