Mørketallsundersøkelsen 2018: | KPMG | NO
close
Share with your friends

Mørketallsundersøkelsen 2018:

Mørketallsundersøkelsen 2018:

Stadig flere norske virksomheter utsettes for cyberangrep: 7 av 10 skylder på tilfeldigheter og uflaks.

1000

Kontaktperson

Relatert innhold

4 av 10 norske virksomheter oppdager sikkerhetshendelser ved en tilfeldighet, og 7 av 10 mener hendelsene skyldtes uflaks, viser ferske tall fra Næringslivets Sikkerhetsråd (NSR). – Mørketallsundersøkelsen viser at forståelsen og kunnskapen om cybertrusler, risiko og konsekvenser fortsatt er for lav, sier NSR-direktør Jack Fischer Eriksen.

For. 11. gang har NSR kartlagt sikkerhetstilstanden hos over 1500 virksomheter i privat og offentlig sektor i Mørketallsundersøkelsen. Resultatene gir et godt innblikk i norske virksomheters holdninger knyttet til digital sikkerhet, kunnskap, utfordringer, erfaringer, strategier og tiltak knyttet til risikovurdering, forståelse, forebygging og beredskap.

Les Mørketallsundersøkelsen 2018 her (pdf).

Norsk sikkerhetsnaivitet

Mørketallsundersøkelsen viser at norske virksomheter har liten oversikt over kostnader og tap som følger i kjølvannet av sikkerhetshendelser. Bare blant de som har deltatt i undersøkelsen og som klarer å fastslå en kostnad, utgjør dette nesten 30 millioner i 2017. Dette gir et estimat på 1,3 milliarder blant norske virksomheter alene. I tillegg vil tap i form av mistede kontrakter, et svekket omdømme og andre immaterielle skader få en negativ effekt på bunnlinja.

– Vi ser en påfallende stor naivitet når det kommer til forståelse av egne verdier og potensielle konsekvenser og kostnader for virksomheten. Mange har en "det vil ikke skje oss"-holdning. Så når mer enn 1500 respondenter svarer at de ikke har vært utsatt informasjonstyveri og spionasje, er det ikke usannsynlig at manglende deteksjonsevne er årsaken, eller at det er et tabubelagt område, undrer Jack Fischer Eriksen, direktør i NSR.

Hasse Kristiansen (KPMG) og Jack Fischer Eriksen (NSR).

Hasse Kristiansen, leder for KPMGs rådgivningsavdeling innen cybersikkerhet, mener mange virksomheter har en gammeldags tilnærming i måten de jobber med sikkerhet.

– Vi må forholde oss til en ny type risiko, og det krever ny kompetanse. Selv om vi ser en økt grad av digital forståelse og modenhet i virksomhetene, og investeringer i cybersikkerhet øker, er et mange fortsatt for dårlig forberedt, sier han.

– Nøkkelen er å se koblingen mellom teknologi, forretning og eksterne trusler, slik at virksomheten kan omsette innsikt til strategier og tiltak. IT er bare en del av det totale risikobildet i forretningen, og kompetansen må balanseres og styres mot riktig nivå i organisasjonen, påpeker Kristiansen.

Mer phishing, hacking og bedrageri

I 2018 er de vanligste sikkerhetshendelsene virus og malwareinfeksjoner (21 prosent), phishing eller annen sosial manipulering (18 prosent) og forsøk på datainnbrudd og hacking (13 prosent). Sammenlignet med 2016 er det en betydelig økning i antall virksomheter som utsettes for phishing, hacking, DDos-angrep og bedrageri.

67 prosent mener sikkerhetshendelsene skyldtes tilfeldigheter eller uflaks, mens 55 prosent skylder på menneskelige feil. Manglende sikkerhetsbevissthet hos ansatte (39 prosent) og manglende etterlevelse av prosesser (28 prosent) trekkes også frem som sentrale årsaker.

Antallet virksomheter som oppdager sikkerhetshendelser ved en tilfeldighet er helt oppe på 40 prosent, veldig likt antallet som detekterer hendelser gjennom rutinemessig intern sikkerhetsmonitorering, på 39 prosent. 31 prosent sier at det ble oppdaget som en følge av negative effekter på virksomheten. Og sjokket kan ha vært stort for de 5 prosentene som oppdaget hendelser gjennom varsling fra myndigheter eller politi, for ikke å snakke om de 5 prosentene som måtte lese om det i mediene.

Tiltak fokuserer i liten grad på menneskene

I 6 av 10 tilfeller har selskapets ledelse blitt involvert dersom virksomheten har blitt utsatt for sikkerhetshendelser, mens styret har blitt varslet og involvert i 3 av 10 tilfeller. Kun 2 av 10 mener det har påført virksomheten økonomiske tap, og under 1 av 10 melder om organisasjonsendringer som følge av sikkerhetsbrudd.

Når det kommer til gjennomføring av tiltak som en konsekvens av sikkerhetshendelser, sier nesten halvparten (47 prosent) at de da har endret retningslinjer og rutiner. 24 prosent har som en følge investert i nytt sikkerhetsutstyr, mens 22 prosent har strammet inn på kontrollen av eksterne leverandører og konsulenter. 20 prosent har investert i utvikling av sikkerhetsprosesser og etablert sikkerhetsmiljø.

– Når 55 prosent sier at hendelser skyldes menneskelige feil, og 39 prosent mener det er resultat av manglende sikkerhetsbevissthet hos ansatte, burde enda flere virksomheter fokusere på ansattes sikkerhetsforståelse og kompetanse gjennom holdningskampanjer og opplæringsprogrammer. Kun 16 prosent sier at den intern opplæringen har blitt forbedret etter en hendelse, og bare 4 prosent har ansatt flere kompetente folk for å styrke sikkerheten, påpeker NSR-direktøren.

Styringssystemer gir bedre oppdagelsessevne

6 av 10 virksomheter har i dag et styringssystem eller rammeverk for informasjonssikkerhet. Det er på samme nivå som forrige undersøkelse fra 2016. Hos virksomheter med over 100 ansatte gjelder dette 8 av 10. Av de som har rammeverk eller styringssystem, opplever 9 av 10 at dette etterleves i virksomheten.

– Den gode nyheten er at Mørketallsundersøkelsen bekrefter at de som har implementert rammeverk og styringssystemer, og dermed evner å drive et systematisk og forebyggende sikkerhetsarbeid, i mye større grad klarer å identifisere og detektere sårbarheter, trusler og hendelser. Dermed kan de raskere iverksette forebyggende og konsekvensreduserende tiltak, sier Fischer Eriksen.

– Kostnaden ved å etablere en proaktiv og forebyggende tilnærming til sikkerhet er mye lavere enn kostnadene og det potensielle skadeomfanget av en alvorlig hendelse, tilføyer Hasse Kristiansen.

Ta kontakt

 

Forespørsel

 

Send inn