Næringslivets Sikkerhetsråd (NRS) presenterte Mørketallsundersøkelsen 2018 på sin årlige sikkerhetskonferanse i Oslo i går.
Mørketallsundersøkelsen 2018 er den 11. undersøkelsen fra Næringslivets sikkerhetsråd og arbeidet rundt undersøkelsen gjennomføres av Datakrimutvalget, hvor blant andre NorSIS er representert. Undersøkelsen er enestående i Norge og er et viktig bidrag til å kartlegge omfanget av datakriminalitet og IT-sikkerhetshendelser, samt bevissthet omkring informasjonssikring og omfanget av sikringstiltak i norske virksomheter.
Et viktig element utvalget har lagt vekt på under utviklingen av denne rapporten er at undersøkelsen ikke bare skal kartlegge sikkerhetstilstanden og IT-sikkerhetshendelser, men også bidra til kompetanseheving og hjelp i det forebyggende sikkerhetsarbeidet. Utvalget har lagt vekt på å fremme forebyggende aktiviteter og tiltak gjennom rapporten.
Undersøkelsen for 2018 viser at virksomhetene har liten oversikt over kostnadene knyttet til sikkerhetshendelser, kostnader som er estimert til et titalls milliarder kroner hvert år.
Funn fra undersøkelsen
Noen av de mest interessante funnene i årets undersøkelse omhandler en stor økning i virksomheter som har vært utsatt for phishing og annen sosial manipulering, hva sikkerhetsbrudd skyldes, hvordan sikkerhetsbrudd oppdages og i hvilken grad rammeverk og styringssystemer bidrar til å identifisere og detektere sårbarheter, trusler og hendelser.
Når det kommer til hendelser virksomheter har vært utsatt for, er de vanligste virus og malwareinfeksjoner (21 prosent), phishing eller annen sosial manipulering (18 prosent) og forsøk på datainnbrudd og hacking (13 prosent). Sammenlignet med 2016 er det en betydelig økning i andelen virksomheter som utsettes for phishing, hacking, DDoS-angrep og bedrageri.
En vekker er at 67 prosent mener sikkerhetshendelsene skyldtes tilfeldigheter eller uflaks. Det gjelder i noe mindre grad de som har et styringssystem. Sistnevnte gruppe mener i større grad at årsaken til hendelsene skyldtes manglende teknisk kompetanse eller utstyr som gjorde dem ute av stand til å forhindre trusselen.
Andre faktorer som oppgis som årsak til sikkerhetsbrudd er menneskelige feil (55 prosent), mangel på sikkerhetsbevissthet hos ansatte (39 prosent) og mangel på etterlevelse av prosesser (28 prosent) eller at prosessene i seg selv har vært utilstrekkelige (20 prosent).
Antallet virksomheter som oppdager sikkerhetshendelser ved en tilfeldighet er helt oppe på 40 prosent, veldig likt antallet som detekterer hendelser gjennom rutinemessig intern sikkerhetsmonitorering, på 39 prosent. 31 prosent sier at det ble oppdaget som en følge av negative effekter på virksomheten. Og sjokket har nok vært stort for de 5 prosentene som oppdaget hendelser gjennom varsling fra myndigheter eller politi, for ikke å snakke om de 5 prosentene som måtte lese om det i mediene.
I forlengelsen av dette uttaler Direktør i NSR Jack Fisher Eriksen på egne nettsider at: – Den virkelig gode nyheten er at Mørketallsundersøkelsen bekrefter at de som har implementert rammeverk og styringssystemer, og dermed evner å drive et systematisk og forebyggende sikkerhetsarbeid, i mye større grad klarer å identifisere og detektere sårbarheter, trusler og hendelser. Dermed kan de raskere iverksette forebyggende og konsekvensreduserende tiltak.
Kilde: nsr-org.no: Mørketallundersøkelsen 2018