- Norsk it-sikkerhet er et roterom

- Bare les denne, da er mye gjort, sier leder for Nasjonal sikkerhetsmyndighet (NSM), Kjetil Nilsen, og gestikulerer med en rapport.

Rapporten han holder i været, er Mørketallsundersøkelsen, som er ment å avdekke det reelle omfanget av datakriminalitet i Norge.

I undersøkelsen ser man på forskjellen mellom hendelser registrert av politiet og hendelsene virksomheter og personer faktisk utsettes for.

Det er åttende gang undesøkelsen blir gjennomført, og tradisjonen tro blir den presentert på Næringslivets Sikkerhetsråds (NSR) konferanse, som for øvrig går på sitt 25. år.

Nytt av året er det er flere små- og mellomstore bedrifter har svart på undersøkelsen, færre store.

Stort gap

Totalt var det 361 anmeldte forhold, mot 745 faktiske hendelser registrert av NSR.

Konkret har 886 av 4500 private og 1500 offentlige virksomheter svart, det gir en svarprosent på 15. Det er 3 prosent mer enn i 2010.

- Det er nedgang i faktiske hendelser siden 2010, men dette kan være fordi færre av de store virksomhetene svarer, mens de små ikke har kapasitet og evne til å oppdage henelser.

Det sier NSR-direktør Kristine Beitland i sin presentasjon av rapporten.

Hovedgrunnen til at hendelser ikke blir anmeldt til politiet, er at virksomhetene mener sakene er ubetydelige.

Datakrimutvalget har estimert totalt antall hendelser i norske virksomheter til cirka 45.000. Prisanslag for tapet er 20 milliarder, men flere av dem som tok talerstolen på konferansen tror dette er et svært forsiktig estimat.

- Hovedkonklusjonen er at det er større gap mellom trusselbildet og sikkerhetstiltak. Det er en manglende bevissthet om inforamsjonssikkerhet og datakriminalitet hos norske ledere, det mangler fokus på sikkerhetskultur.

Beitland ser også med alvor på at hendelser ikke rapporteres.

Rotete

At gapet mellom trusselbildet og tiltak øker, er Nilsen fra NSM klar til å skrive under på. Deres rapporter viser akkkurat det samme: Man er bedre i dag enn man var i går, men i mellomtiden har de med onde hensikter blitt bedre enn det igjen.

Han mener det er rent slurv:

- Informasjonssikkerhet i norske bedrifter er rett og slett digitalt rot, sier han, og viser frem et bilde av et hus med masse rot rundt.

- Det er lett å se fysisk, men man får ikke øye på det digitalt, eksemplifiserer han.

NSM ser det selv når de gjennomfører sikkerhetssjekker, av og til ber bedrifter om å bli forsøkt hacket av NSM. Nilsen mener det altfor ofte er alt for lett: Det mangler grunnleggende sikring. Passord er av typen 123456 og "Sommer". Bedrifter har ikke oversikt over hva som er installert av programvare. Datanettverk er ikke adskilt i ulike soner. Det er langt fra alle som praktiserer kryptering av sine bærbare datamaskiner. Hendelser logges ikke.

- Helt grunnleggende sikkerhet gjennomføres ikke. Det er enkelt å komme seg inn i store, små og offentlige virksomheter. Våre teknikere trenger ikke bruke annet enn gratisverktøy - de trenger ikke engang spisskompetanse, sier han.

Det underbygges av mørketallsundersøkelsen. Bare se på dette:

/ (%) / (%) /

Få skapsprengere

Nilsen bekymrer seg også over alle som ikke har rapportert - altså 85 prosent.

- Mørketall er ikke bare hva bedriften ikke vet, men hva de ikke fortelller andre om. Det er 85 prosent som ikke har sagt noe, påpeker han, og spekulerer på om de har enda værre ting å skjule enn dem som har svart.

Forskjellen mellom å iverksette og gjennomføre tiltak, peker han på. Og det hele bir skummelt når man ser på hvordan den organiserte kriminelle verden utvikler seg med teknologikompetase. Det har blitt lettere å gå til datakriminalitet enn å sprenge en safe.

- Det er nesten ikke registrert ran i det hele tatt i år. De kriminelle går etter pengene på en annen måte, der pengene er lettest tilgjengelig, sier Nilsen.

Også for etterretningstjenester er det enklere å hacke noen enn å bruke årevis på å lære opp og få agenter til å inflitrere virksomheter av interesse.

Nilsen tror det skyldes to karaktertrekk ved nordmenn. Vi er naive. På en annen side er vi alt for egenrådige, vi vil heller finne løsningen selv enn å spørre naboen.

- Mye av dette er kultur som har utviklet seg over tid, sier Nilsen, og maner til bedre samarbeid, det finansnæringen trekkes frem som et godt forbilde: I denne bransjen kan konkurrenter snakke åpent om sikkerhetsutfordringer.

- Skremmende

Her er et par ledelsesmessige utfordringer som står omtalt i rapporten:

• Av daglige leder som er øverste ansvarlige for sikkerhet og beredskap, svarer 1 av 5 at de ikke vet om det gjennomføres risikoanalyser i egen virksomhet.
• Bare 1 av 3 virksomheter har beredskapsplaner. Av disse igjen er det 1 av 3 som har krav til at det gjennomføres øvelser.
• 12 prosent av de som har opplevd en hendelse har ikke fulgt opp med forbedringstiltak for å forebygge nye hendelser.
• Oversikt over hendelser er mangelfull på grunn av lite utbret monitirering og logging i norske virksomheter, samt hendelsesrapportering til leder.
• Bare 1 av 6 virksomheter har retningslinjer for gjennomføring av verdivurdering.
• 1 av 6 ledere vet ikke om det er utarbeidet en oversikt over virksomhetens personopplysninger.
• Bare 4 av 10 ansatte får opplæring ved nyansettelser. Av disse er det 4 av 10 som får kontinuerlig sikkerhetsopplæring. Dette til tross for at det er ansatte som oppdager flest hendelser, og eksterne angrep ofte er rettet mot ansatte og ikke teknologi.
• Over halvparten av virksomhetene outsourcer hele eller deler av it-driften, men sikkerhetsbevisstheten synker ved at det stilles færre krav til eksterne leverandører. (Et ekesempel: Halvparten av virksomhetene har tatt i bruk en form for nettskytjeneste, men et fåtall - 9 prosent - har utarbeidet retningslinjer)
• 1 av 3 virksomehter vet ikke kostnaden knyttet til sikkerhetshendelser.

Også Hege Skryseth, administrerende direktør i Microsoft Norge, var invitert til å kommentere rapporten.

- Risikoforståelsen er for lav, også blant ledere. Det er skremmende at en av fem ikke vet om det er foretatt risikovurdering. Her må vi skape en bevissthetsgrad, sier hun.

Rådene

Rapporten selv har følgende anbefalninger:

«Datakrimutvalgets viktigste anbefalninger er å fokusere på sikkerhetskompetanse, holdninger og informasjonsinnhenting om sikkerhetshendelser.

• Bevissthet, kompetanse og sikkerhetskultur må økes blant ldere og ansatte
• Gjennomfør verdivurdering, ririskoanalyse og virksett tiltak
• Utarbeid beredskapsplaner og gjennomfør øvelser
• Hendelsesrapportering til ledere, inklusiv verditap
• Anmeld alle straffbare forhold
• Utarbeide retningslinjer når ny teknologi tas i bruk, som sosiale medier og nettskytjenester»

Computerworld følte for å skyte inn et spørsmål til Nilsen:

- Vi har sett flere tilfeller av at politiet henlegger saker ved eksempelvis tyveri av Ipad, selv om offeret grunnet ulike apper og rapporteringsfunksjoner vet hvem gjerningsmannen er. Hva tenker du om dette, sett i lys av trenden Bring Your Own Device og sett i lys av at mange bedrifter ikke gidder anmelde hendelser til politiet?

- Jeg synes det er beklagelig at politiet ikke har ressurser til å prioritere slik på grunn av ressurser. Jeg skjønner at de må prioritere, men sett i informasjonssikkerhetssammenheng er det uheldig.