Få rapporterer til CERT


Bare 2% rapporterer IT-hendelser til sektor CERT (Computer emergency response team), eller lignende. Dette fremkommer i Mørketallsundersøkelsen 2016. 1500 virksomheter er intervjuet i den 10. undersøkelsen som NSR har gjennomført.

Virksomhetene er et tilfeldig utvalg fra foretaksregisteret med fem eller flere ansatte, hvilket gjør at respondentene i årets undersøkelse gjenspeiler den generelle næringsstrukturen i Norge i større grad enn tidligere. Hovedvekten av virksomhetene er små, og andelen store er betydelig mindre enn i tidligere undersøkelser. Ny innsamlingsmetode gjør det vanskelig å sammenligne data over tid, og derfor sammenlignes ikke årets funn med tidligere undersøkelser. Årets undersøkelse er inspirert av en undersøkelse gjennomført i Storbritannia, og fokuset er på oppdagelse og håndtering av endelser, med utgangspunkt i den verste hendelsen.

Over en tredjedel av norske virksomheter – 412 av 1500, eller 27 prosent – har opplevd uønskede sikkerhetshendelser det siste året. Virksomhetene forteller at dette fører til produktivitetstap i 4 av 10 tilfeller (i form av tapte arbeidstimer), men kun 2 av 10 oppgir at de har hatt kostnader som følge av slike hendelser. Dette viser at virksomhetene mangler oversikt over hva sikkerhetshendelsene koster dem, eller undervurderer disse kostnadene. Kun 9% av virksomhetene som utsettes for angrep tar saken videre til politiet. Det tilsier at det skjuler seg betydelige mørketall, og for de kriminelle nettverk er denne typen angrep mot norske virksomheter i praksis straffefrie.

Enda færre rapporterer til sektor CERT eller lignende. Årsaken til at så få rapporterer til sektor CERT kan være mange. En CERT vil kunne ta imot informasjon om hendelser, og gi råd tilbake om håndtering av disse.

Utfordringen ligger i at et stort antall små og mellomstore virksomheter, enten ikke naturlig vil være er tilknyttet en sektor CERT, ikke har tilstrekkelig kunnskap om hva en CERT kan bistå med, eller ikke har økonomi til å være knyttet til en sektor CERT.

Uansett hvor god sikkerhet en virksomhet har vil de ikke være garantert en hendelsesfri tilværelse, det kan være en god grunn til å være tilknyttet en CERT.

En rapport, Flipping the Economics of Attacks, utarbeidet av Ponemon Institute, sier at 39% av alle hackerangrep ville kunne være avverget dersom en virksomhet hadde vært tilknyttet et miljø som delte informasjon. Rapporten er basert på intervju av 304 personer med god kunnskap om hacking.

 

Grunnleggende tiltak for mindre virksomheter

Undersøkelsen viser at norske virksomheter fortsatt lider økonomiske tap fra sikkerhetshendelser som kunne vært unngått ved hjelp av grunnleggende tiltak. NSMs fire tiltak mot dataangrep kan stoppe en stor del av angrepene mindre virksomheter utsettes for:

  • Oppgrader program- og maskinvare
  • Vær rask med å installere sikkerhetsoppdateringer
  • Ikke tildel sluttbrukere administratorrettigheter
  • Blokker kjøring av ikke-autoriserte programmer

Systematisk sikkerhetsarbeid

For mellomstore og store bedrifter er det viktig å sette sikkerhetsarbeidet i system. Styringssystemer for informasjonssikkerhet – som ISO 27001 eller ISO9001 – er nyttige i dette arbeidet. DIFIs veileder for informasjonssikkerhet, som er basert på ISO 27001, er et godt utgangspunkt. Her tilbys gratis maler og andre verktøy som kan benyttes direkte ute i virksomheten Det finnes også bransjespesifikke styringssystemer, som Normen for Helse- og omsorgssektoren.

Sikkerhetskopier

Løsepengevirus er et voksende problem, og flere virksomheter i undersøkelsen fortalte at infeksjon av slike virus førte til tap av data og arbeidstimer. Derfor blir sikkerhetskopier og rutiner for hurtig gjenopprettelse stadig viktigere.

  • Innfør jevnlig sikkerhetskopiering av virksomhetens data
  • Ha rutiner for gjenopprettelse av data, og test at disse fungerer

Du kan laste ned og lese hele undersøkelsen både på norsk og engelsk via www.morketallsundersokelsen.no

 

Arne Røed Simonsen, seniorrådgiver i Næringslivets Sikkerhetsråd (NSR)

Gjeste-artikkel er skrevet av seniorrådgiver Arne Røed Simonsen i Næringslivets Sikkerhetsråd (NSR).

Les mer om NSR: http://www.nsr-org.no/