To gange årligt tager Trend Micro pulsen på det globale erhvervslivs egen vurdering af den aktuelle risiko for at blive hacket. Resultatet samles i Trend Micros Cyber Risk Index (CRI).
CRI anvender en numeriske skala, der går fra - 10 til + 10. - 10 er udtryk for den højeste risiko for at blive offer for hackere.
Det seneste indeks er rykket fra -0,04 i anden halvdel af 2021 til -0,15 i første halvdel af 2022. Virksomhederne vurderer altså, at risikoen for at blive hacket er betydeligt forøget de seneste 6 måneder.
Årsagen skal bl.a. findes i, at virksomhedernes angrebsflade er blevet større. Mange virksomheder har ifølge rapporten vanskeligt ved identificere, hvor deres forretningskritiske data og applikationer rent fysisk er placerede.
- Man kan ikke beskytte, hvad man ikke kan se. I mange virksomheder er IT-miljøet blevet stadig mere kompleks og sammensat. Det giver en voksende angrebsflade med blinde vinkler, som for mange er svær at overskue og dermed beskytte. Mange virksomheder står med en oplevelse af, at de er ved at miste kontrollen over IT-sikkerheden, siger Christian K. Bech, landechef hos Trend Micro i Danmark.
Flere forventer at blive hacket
Mens det i andet halvår af 2021 var 84 pct. af alle virksomheder, som blev ramt af et “vellykket” cyberangreb, er det tal nu steget til 90 pct. i første halvdel af 2022.
Ikke overraskende er antallet af virksomheder, som forventer at blive hacket i løbet af det kommende år, steget fra 76 pct. til 85 pct.
71 pct. af virksomhederne anslår yderligere, at det er sandsynligt, at de vil få stjålet kritiske data i løbet af det næste år. Ser man på, hvilke typer af data der er mest udsatte for at blevet stjålet, peger rapporten på følgende fire typer:
• HR-filer, dvs. data om virksomhedens ansatte
• Forretnings-e-mails
• Finansiel information
• Juridiske korrespondance mellem advokat/klient, som er beskyttet af tavshedspligt
Sikkerhed og forretning ikke i synk
Rapporten peger også på, at der er betydelige uoverensstemmelser mellem de mål, virksomhedens sikkerhedsafdeling har opsat, og de mål, virksomhedens forretningsmæssige ledelse har formuleret.
Stillet over for spørgsmålet “Min virksomheds IT-sikkerhedsmål er afstemt med forretningsmålene” afgiver virksomhederne i gennemsnit en score på 4,79 ud af 10 point, hvor 10 er udtryk for, at der fuldstændig overensstemmelse mellem målene for IT-sikkerhed og forretning.
Spørger man virksomhederne, hvad der er de værste konsekvenser af at blive ramt af et hackerangreb, peger virksomhederne primært på:
• De store omkostninger, der er forbundet med at hyre eksterne eksperter
• Skader på kritisk infrastruktur
• Fald i produktivitet
Direktørsvindel er den mest frygtede cybertrussel
Trend Micro har også bedt virksomheder rangliste de værste cybersikkerhedstrusler i første halvår af 2022. Her ser top fem således ud:
• Business Email Compromise (BEC), også kaldet direktørsvindel
• Clickjacking, hvor en bruger tror, vedkommende har klikket på én ting, men i virkeligheden er blevet fuppet til at klikke på noget andet
• Fileless attacks, dvs. angreb, som ikke kræver, at hackerne først installerer filer på en computer eller server, men i stedet kan udnytte de systemer, der allerede er installeret
• Ransomware
• Loginangreb (identitetstyveri)