Sikkerhetsbrudd skyldes uflaks
Hele 67 prosent av respondentene i Mørketallsundersøkelsen 2018 mener sikkerhetshendelsen var ren uflaks. Skal man ta med seg én lærdom fra den årlige undersøkelsen må det være å skaffe seg et styringssystem for informasjonssikkerhet.
"Ofte blir norske virksomheter utsatt for dataangrep uten at de er klar over det. ... De som har gode styringssystem og rutiner klarer å håndtere slike angrep bedre."
Allerede i introduksjonsvideoen kom mantraet frem: Det gjelder å ha orden på styringssystemet!
Torsdag var det duket for offentliggjørelsen av Mørketallsundersøkelsen 2018. Dette er 11. gangen Næringslivets Sikkerhetsråd har utført undersøkelsen som sikter på å innhente fakta om it-sikkerhetstilstanden i privat og offentlig næringsliv.
I størst grad mener norske virksomheter at sikkerhetsbruddene har oppstått som en følge av tilfeldigheter eller uflaks.
Styringssystem
Det var Jack Fischer Eriksen, direktør i Næringslivets Sikkerhetsråd, som stod for presentasjonen av funnene i årets undersøkelse. Også Eriksen nevnte viktigheten av et styringssystem. Skal vi tro årets undersøkelse er dette alfa og omega for bedriftens sikkerhet.
Seks av ti virksomheter oppgir at de har et rammeverk eller et styringssystem for informasjonssikkerhet. Dette skal vise seg å være en god investering.
Virus
Virus- og malwareinfeksjon er den sikkerhetshendelsen som rammer flest virksomheter. 21 prosent av virksomhetene skal ha blitt utsatt for det i løpet av 2017.
Deretter kommer phishing med 18 prosent. Forsøk på datainnbrudd/ hacking ligger som nummer tre på listen over mulige sikkerhetshendelser som virksomheten har vært utsatt for.
Uflaks
Av de som ble utsatt for sikkerhetsbrudd i 2017 mener 67 prosent at hendelsene skyldtes tilfeldigheter eller uflaks, mens 55 prosent mente årsaken skyldtes menneskelige feil.
– Når vi snakker om tilfeldigheter eller uflaks, så er det slik at de som har et styringssystem i sjeldnere grad oppgir dette som årsak til at hendelsen oppstod. Allerede der ser vi at de som har et rammeverk er bedre forberedt enn andre, sa Eriksen fra scenen.
Et paradoks
Også når det kommer til årsaken til at sikkerhetsbruddet ble oppdaget er det ifølge undersøkelsen forskjell på virksomheter med og uten styringssystem for informasjonssikkerhet.
Totalt er det 40 prosent som mener at hendelsen ble oppdaget ved en tilfeldighet.
Blant de virksomhetene som ikke har et styringssystem er det 50 prosent som oppdaget hendelsen ved en tilfeldighet. I virksomheter med styringssystem er det 37 prosent som oppgir at det ble oppdaget ved en tilfeldighet.
– Vi lever litt i den derre flaks-verdenen - det er tilfeldig om vi oppdager noe og uflaks at vi blir utsatt for noe. Det er litt skummelt, påpekte Eriksen fra scenen.
Rapportering og tiltak
Hos 61 prosent av virksomhetene som er utsatt for sikkerhetshendelser blir ledelsen involvert i saken. Videre er det 31 prosent som har rapportert hendelsen til selskapets styre. Kun ni prosent oppgir at de rapporterer til politiet.
– Det er skremmende, for da tenker jeg at vi lever litt i det blinde. Det er svimlende store mørketall, kommenterte Eriksen.
Sikkerhetsdirektøren virker heller ikke spesielt imponert over tiltakene som blir gjort.
På spørsmålet om hvilke endringer som ble gjort etter en sikkerhetshendelse har 47 prosent svart at det har blitt gjort en endring i policy eller rutiner og 24 prosent skal ha investert i sikkerhetsutstyr.
– Det siste vi gjør er å investere i oss mennesker, altså vi som gjør feilen. Det overrasker meg, for det er helt åpenbart at det er vi som sitter bak maskinen som er det svake ledd, og det er vi som trenger mere kompetanse. Det bruker vi altså ikke penger på, vi bruker pengene eller styringen på å endre i policy, sa Eriksen fra scenen.
GDPR
På spørsmål om virksomhetene har gjort jobben sin i forkant av innføringen av det nye personvernregelverket svarer 48 prosent ja. 61 prosent har gjennomført aktiviteter som skal øke de ansattes bevissthet rundt sikkerhet. Her er det interne foredrag som er det vanligste tiltaket.
– Tilbake til dette med tilfeldigheter og uflaks – med nye GDPR skal ting rapporteres inn innen 72 timer. Om vi baserer oss på flaks så kan dette bli svært dyrt for de som er utsatt for uheldige hendelser, for man skal ha orden på sine sysaker. Her er det mange som må gå i seg selv og sørge for at det ikke er flaks som gjør at de klarer å oppdage hendelsene eller ikke, formante Eriksen.