Undersøkelsen avslører blant annet interessante data fordelt på kjønn og alder. For eksempel bruker én av ti menn 1-2 timer av arbeidstiden på privat surfing, og sosiale medier er populært. Men som mange vet, er slike nettsteder attraktive blant cyberkriminelle. Samtidig er én av ti IT-ledere bekymret for å miste sensitive data, og 7 prosent opplever at sikkerhetsløsningen deres har negativ innvirkning på dataressursene. Til tross for denne situasjonen er det få bedrifter som regulerer de ansattes nettsurfing.
- Denne undersøkelsen setter søkelyset på flere forhold, blant annet at flere bedrifter har mangelfulle retningslinjer vedrørende bruken av Internett, sier landssjef Thomas Ludvik Næss i Trend Micro Norge. Nesten halvparten av de spurte bedriftene har ingen regler eller retningslinjer overhodet for hvordan de ansatte skal opptre, og hva de bør være oppmerksomme på, når de surfer på nettet. Vi har muligheten til å gjøre livet betraktelig surere for de cyberkriminelle dersom bedriftene blir bedre på å informere sine ansatte om farene på nettet.

Trend Micros undersøkelse er basert på svar fra IT-ansvarlige og ansatte i små- og mellomstore bedrifter i Norge. Trend Micro ønsker å belyse hvordan IT-ansvarlige opplever sikkerheten i bedriften og vise hvilken risiko de ansatte løper når de bruker bedriftens nettverk og datamaskiner til surfingen.

Utfordringene er store når det gjelder internettsikkerhet for små- og mellomstore bedrifter - ofte har de små IT-avdelinger og mindre ressurser til rådighet i form av tid og penger. Samtidig har de tilstrekkelig store ressurser til å være attraktive mål for cyberkriminelle. Et innbrudd kan lamme produktiviteten og svekke bedriftens omdømme.

IT-ansvarlige frykter datatyveri fra cyberkriminelle
Ifølge rapporter fra Trend Micros globale forskningssenter TrendLabs, er de såkalte social engineering-angrepene en raskt voksende trussel. Samtidig tyder rapportene på en dramatisk økning i datainnbrudd gjennom web 2.0-plattformene som brukes av de sosiale nettverkene. Trend Micro ser også en økning i bruken av ondsinnet kode som har til hensikt å stjele sensitive data som påloggingsdetaljer og kredittkortopplysninger.

Undersøkelsen avslører at én av ti av de spurte IT-lederne frykter at cyberkriminelle skal få tak i sensitive data som bank- og kredittkortopplysninger. To av ti oppgir at de er bekymret for at sikkerhetsløsningen de benytter, ikke skal klare å stå imot den økende mengden internettrusler. Denne uroen gjenspeiles ikke blant de ansatte, der to av tre svarer at de overhodet ikke er redde for å bli rammet av nettkriminialitet. Når det gjelder sikkerhetstiltak i forbindelse med sensitiv informasjon i e-postmeldinger, viser det seg at én av tre sender e-post ubeskyttet og uten kryptering.

Netthandel, sexsurfing og Facebook i arbeidstiden
Undersøkelsen viser også at de ansatte - om enn ubevisst - tar store sjanser når de surfer på nettet med jobb-PC-en, både på og utenfor kontoret. Den risikable atferden er hovedsakelig surfing som ikke er jobbrelatert, og sending av ubeskyttet e-post som inneholder sensitiv informasjon om bedriften. Utenfor kontorets vegger sender så mange som 67 prosent av de ansatte jobbrelatert e-post via nettpost på jobb-PC-en, 20 prosent sender jobbrelatert sensitiv informasjon via e-post og 23 prosent sender jobbrelatert e-post over mobiltelefon. 42 prosent passer dessuten på å besøke de sosiale nettverkene de er medlemmer av.

Ved jobbing på det fysiske kontoret oppgir 37 prosent av de ansatte at de handler privat på nett i arbeidstiden. Mennene er minst forsiktige: 42 prosent oppgir at de handler på nettet, sammenliknet med 33 prosent av kvinnene. 28 prosent av de mannlige ansatte ser på videoinnhold på nettet, sammenliknet med 9 prosent av kvinnene. Også når det gjelder sider med seksuelt innhold topper mennene statistikken. 6 prosent av de mannlige ansatte, men ingen av de kvinnelige, oppgir at de går inn på slike nettsider på jobben. Omtrent like mange menn som kvinner oppdaterer Facebook-statusen fra kontoret: Hele 52 prosent av de spurte deltakerne innrømmer at de sjekker hva som foregår på Facebook og andre sosiale nettverkssider.
- De cyberkriminelle blir stadig flinkere til å utnytte de interaktive egenskapene til såkalte web 2.0-applikasjoner, og de legger inn ondsinnet kode i lenker på internettsider. Slik klarer de å ta over og infisere datamaskiner uten at det merkes eller synes, forklarer Næss. Ansatte som surfer på slike sider på jobb-PC-en, utsetter bedriften for risiko. Dersom skadelig kode trenger inn på bedriftsnettverket, kan det få alvorlige følger for organisasjonen.

Majoriteten av bedriftene har ingen regler
En del arbeidsplasser har regler for de ansattes private surfing i arbeidstiden. 38 prosent av de IT-ansvarlige svarer at det er forbudt å gå inn på nettsider med seksuelt innhold, 20 prosent har regler mot å laste ned programmer, filmer, musikk og liknende for personlig bruk, og 13 prosent forbyr sine ansatte å besøke Facebook og andre sosiale nettverkssider. Men hele 55 prosent av bedriftene har ingen restriksjoner i det hele tatt. Disse bedriftene lar sine ansatte surfe som de vil, og 33 prosent svarer at de synes det er i orden at de ansatte surfer fritt på nettet - så lenge de skjøtter sine arbeidsoppgaver.
- Resultatet fra undersøkelsen tyder på at vi må gjøre mer for å informere og hjelpe småbedriftene med å håndtere den nye generasjonen nettrusler, som kan angripe IT-infrastrukturen og gjøre ubotelig skade på utstyr, produktivitet og omdømme. Dette er enda viktigere når medarbeiderne beveger seg utenfor bedriftens nettverk og jobber mobilt, sier Næss.

Viktige punkter fra undersøkelsen blant de IT-ansvarlige:

- 7 prosent opplever at bedriftens sikkerhetsløsning har negativ innvirkning på datamaskinenes ressurser, 54 prosent mener at sikkerhetsløsningen har liten negativ innvirkning på dataressursene, mens 25 prosent oppgir at de vurderer å bytte til en IT-sikkerhetsleverandør som tilbyr løsninger som legger beslag på mindre dataressurser.

- I løpet av de siste 12 månedene har 19 prosent hatt skadelig kode eller virus i systemet, 13 prosent har mistet mobile enheter som bærbare PC-er og mobiltelefoner, 10 prosent har opplevd at viktige data har forsvunnet eller blitt slettet ved et uhell og 7 prosent av bedriftene har blitt utsatt for nettfiske, såkalte phishing-angrep.

- 29 prosent forbyr sine ansatte å spille dataspill, nettspill eller pengespill. 21 prosent av bedriftene har forbud mot å besøke dating-nettsteder, 13 prosent forbyr sine ansatte å bruke sosiale nettverkssider og se på videoinnhold på nettet, og 11 prosent forbyr personlig netthandel og direktemeldingstjenester.

- 46 prosent mener at de ikke trenger formelle retningslinjer, og 38 prosent ser det som unødvendig å informere de ansatte om nettvett og ansvarlig internettbruk.

Viktige punkter fra undersøkelsen om de ansattes internettvaner:

- De mannlige ansatte bruker mer tid enn kvinnene på privat nettsurfing i arbeidstiden: 12 prosent av mennene tilbringer 1-2 timer på nettet daglig, sammen¬liknet med 4 prosent av kvinnene. Samtidig svarer 7 prosent av kvinnene, men bare 3 prosent av mennene, at de ikke surfer på nettet i arbeidstiden i det hele tatt.

- Når det gjelder selve internettbruken, er det ganske store likheter mellom kjønnene. Det vanligste er å lese nettaviser (90 prosent), skrive private e-poster (84 prosent) og besøke sosiale nettverk (52 prosent). 37 prosent oppgir at de handler på nett i arbeidstiden. Menn handler oftere på nett i arbeidstiden enn kvinner (henholdsvis 42 og 33 prosent), og de er også mer tilbøyelige til å se på videoinnhold på nettet (28 prosent mot 9 prosent). Andelen ansatte som oppgir at de har besøkt nettsider med seksuelt innhold på jobben, er 6 prosent av mennene, men ingen av kvinnene.

- Den ansattes alder har også stor betydning for surfemønsteret i arbeidstiden. De mest aktive surferne finner vi i aldersgruppen 18-29 år, og de over 50 surfer minst. 71 prosent i den førstnevnte gruppen besøker sosiale nettverkssteder (sammenliknet med 22 prosent i aldersgruppen 50 +), 31 prosent leser blogger (sammenliknet med 5 prosent av aldersgruppen 50 +) og ikke overraskende er de også flittigere brukere av prate- og direktemeldingstjenester (29 prosent sammenliknet med 7 prosent i aldersgruppen 50 +). Den eneste aktiviteten der aldersgruppen 50 + har et forsprang, er å besøke sider med seksuelt innhold. I denne gruppen oppgir 5 prosent at de gjør dette i arbeidstiden; tallet for aldersgruppen 18-29 år er 0 prosent. Fordelt etter region er det osloborgere og innbyggere på Sørvestlandet som oftest finner veien til sex-nettsteder - 4 prosent, sammenliknet med ingen i eksempelvis Nord-Norge.

Trend Micro foreslår en rekke sikkerhetstiltak som mindre bedrifter kan iverksette for å beskytte eiendeler, kundeinformasjon og omdømme:

- Passe på at alle ansatte bruker sikre passord som består av en blanding av store og små bokstaver, sifre og spesialtegn som £, $, % og @. Passordet bør endres ofte.

- Informere de ansatte om risikoen ved å laste ned filer fra upålitelige kilder.

- Beskytte nettverket ved å sørge for at alle datamaskiner har brannmur, antivirusprogrammer og beskyttelse mot nettrusler, og at slike beskyttelsestjenester fungerer både i og utenfor kontornettverket.

- Oppdatere alle operativsystemer og all programvare jevnlig, slik at sikkerhetsløsningen skal kunne stå imot den strie strømmen av nye trusselvarianter.

- Ta sikkerhetskopier - og helst oppbevare dem utenfor kontoret - og bruke kryptering for å beskytte sensitiv informasjon om ansatte, leverandører og kunder.

- Benytte seg av e-postkryptering.

- Aldri lagre sensitiv informasjon på USB-pinner eller andre eksterne, bærbare enheter, i tilfelle de blir stjålet eller mistet.

- Investere i sikkerhetsløsninger som vokser i takt med bedriften.

Undersøkelsen ble utført av YouGov på oppdrag fra Trend Micro i mai 2009. 110 IT-ansvarlige og 303 ansatte fra bedrifter med maks. 100 ansatte deltok i undersøkelsen.