For. 11. gang har Næringslivets sikkerhetsråd (NSR) kartlagt sikkerhetstilstanden hos over 1500 virksomheter i privat og offentlig sektor. Mørketallsundersøkelsen har en sentral plass i organisasjonenes opplysnings- og informasjonsstrategi – og gir et unikt innblikk i norske virksomheters holdninger knyttet til digital sikkerhet, kunnskap, utfordringer, erfaringer, strategier og tiltak knyttet til risikovurdering, forståelse, forebygging og beredskap. Årets Mørketallsundersøkelse bekrefter at visse tiltak fungerer, men at vi fortsatt har behov for arenaer hvor virksomheter kan dele oppdatert kunnskap og erfaringer.

Styringssystemer gir dramatisk bedre deteksjonsevne

6 av 10 virksomheter har et styringssystem eller rammeverk for informasjonssikkerhet, på samme nivå som sist undersøkelse i 2016. Hos virksomheter med over 100 ansatte gjelder dette 8 av 10. Av de som har rammeverk eller styringssystem, opplever 9 av 10 at dette etterleves i virksomheten.

- Den virkelig gode nyheten er at Mørketallsundersøkelsen bekrefter at de som har implementert rammeverk og styringssystemer, og dermed evner å drive et systematisk og forebyggende sikkerhetsarbeid, i mye større grad klarer å identifisere og detektere sårbarheter, trusler og hendelser. Dermed kan de raskere iverksette forebyggende og konsekvensreduserende tiltak, sier Jack Fischer Eriksen, direktør i NSR.

Norsk sikkerhetsnaivitet

Men, Mørketallsundersøkelsen viser også at norske virksomheter har liten oversikt over kostnader og tap som følger i kjølvannet av sikkerhetshendelser. Bare blant de som har deltatt i undersøkelsen, og som klarer å fastslå en kostnad, utgjør dette nesten 30 millioner i 2017. Dette gir et estimat på 1,3 milliarder blant norske virksomheter alene. I tillegg vil tap i form av mistede kontrakter, et svekket omdømme og andre immaterielle skader få en negativ effekt på bunnlinja.

- Norske virksomheters naivitet er fremdeles påfallende stor når det kommer til konsekvensen av å ikke sikre sine verdier og leverandørkjeder. Når samtlige respondenter svarer at de ikke har tapt forretningshemmeligheter gjennom informasjonstyveri og spionasje, kan man jo spørre seg om dette skyldes manglende kunnskap og deteksjonsevne, undrer direktøren.

Mer phishing, hacking og bedrageri

Når det kommer til hendelser de har vært utsatt for, er de vanligste virus og malwareinfeksjoner (21 prosent), phishing eller annen sosial manipulering (18 prosent) og forsøk på datainnbrudd og hacking (13 prosent).

Sammenlignet med 2016 er det en betydelig økning i andelen virksomheter som utsettes for phishing, hacking, DDos-angrep og bedrageri. Det er en vekker at 67 prosent mener sikkerhetshendelsene skyldtes tilfeldigheter eller uflaks. Det gjelder i noe mindre grad de som har et styringssystem. Sistnevnte gruppe mener i større grad at årsaken til hendelsene skyldtes manglende teknisk kompetanse eller utstyr som gjorde dem ute av stand til å forhindre trusselen.

Andre faktorer som oppgis som årsak til sikkerhetsbrudd er menneskelige feil (55 prosent), mangel på sikkerhetsbevissthet hos ansatte (39 prosent) og mangel på etterlevelse av prosesser (28 prosent) eller at prosessene i seg selv har vært utilstrekkelige (20 prosent).

4 av 10 oppdager sikkerhetsbrudd ved en tilfeldighet

Antallet virksomheter som oppdager sikkerhetshendelser ved en tilfeldighet er helt oppe på 40 prosent, veldig likt antallet som detekterer hendelser gjennom rutinemessig intern sikkerhetsmonitorering, på 39 prosent. 31 prosent sier at det ble oppdaget som en følge av negative effekter på virksomheten. Og sjokket har nok vært stort for de 5 prosentene som oppdaget hendelser gjennom varsling fra myndigheter eller politi, for ikke å snakke om de 5 prosentene som måtte lese om det i mediene.

- Sikkerheten er i mindre grad overlatt til tilfeldighetene hos de virksomhetene som har styringssystem. 44 prosent av disse oppdaget sikkerhetsbrudd gjennom rutinemessig monitorering, 30 prosent gjennom andre interne kontroller og revisjoner. 37 prosent av dem gjorde tilfeldige oppdagelser, forteller Fischer Eriksen.

- Merkelig nok sier så å si halvparten (49 prosent) at hendelsen ble oppdaget umiddelbart, eller det ble detektert i løpet av få timer (23 prosent). Her er det tydeligvis mye flaks ute og går, med tanke på at 40 prosent sier oppdagelsen var tilfeldig, smiler han.

Tiltakene reflekterer ikke alltid behovene

I 6 av 10 tilfeller har selskapets ledelse blitt involvert dersom virksomheten har blitt utsatt for sikkerhetshendelser, mens styret har blitt varslet og involvert i 3 av 10 tilfeller. Kun 2 av 10 mener det har påført virksomheten økonomiske tap, og under 1 av 10 melder om organisasjonsendringer som følge av sikkerhetsbrudd.

Når det kommer til gjennomføring av tiltak som en konsekvens av sikkerhetshendelser, sier nesten halvparten (47 prosent) at de da har endret retningslinjer og rutiner. 24 prosent har som en følge investert i nytt sikkerhetsutstyr, mens 22 prosent har strammet inn på kontrollen av eksterne leverandører og konsulenter. 20 prosent har investert i utvikling av sikkerhetsprosesser og etablert sikkerhetsmiljø.

- Når 55 prosent sier at hendelser skyldes menneskelige feil, og 39 prosent mener det er resultat av manglende sikkerhetsbevissthet hos ansatte, burde enda flere virksomheter fokusere på ansattes sikkerhetsforståelse og kompetanse, holdningskampanjer og opplæringsprogrammer. Kun 16 prosent sier at den intern opplæringen har blitt forbedret etter en hendelse, og bare 4 prosent har som en konsekvens ansatt flere kompetente mennesker i eget selskap, påpeker Fischer Eriksen.

Fremgang å spore

- Mørketallsundersøkelsen 2018 viser at det å etablere en systematisert og planmessig tilnærming til sikkerhetsarbeidet gjennom styringssystemer og rammeverk har en positiv effekt. Dette er tiltak som gir økt deteksjonsevne, bedre beredskap og forebygging. Kostnaden ved å en slik proaktiv tilnærming til sikkerhet, er mye lavere enn kostnadene og det potensielle skadeomfanget ved en alvorlig hendelse, understreker direktøren.

I Mørketallsundersøkelsen kommer det samtidig tydelig fram at kunnskapen om trusler og risikoområder generelt sett er altfor lav. Norske virksomheter har verken god nok oversikt over sine verdier eller risikoen de er utsatt for, og dermed heller ikke oversikt over skader og kostnader sikkerhetsbrudd og cyberangrep kan påføre dem.

- Kunnskap og innsikt er helt essensielle innsatsfaktorer for å kunne forebygge hendelser og etablere gode og riktige sikkerhetsmekanismer. Da må det investeres– i lederkompetanse, i virksomhetens egen risiko- og sikkerhetskompetanse, og i programmer som øker bevissthet og kunnskap hos de ansatte, avslutter han.