Kun ni prosent anmelder IT-angrep til politiet

(Artikkelen er skrevet av seniorrådgiver Arne Røed Simonsen i Næringslivets Sikkerhetsråd (NSR). Den sto først på trykk i Aktuell Sikkerhet utgave 05-2016)

Virksomhetene er tilfeldig utvalgte fra foretaksregisteret med fem eller flere ansatte, hvilket gjør at respondentene i årets undersøkelse gjenspeiler den generelle næringsstrukturen i Norge i større grad enn tidligere. Hovedvekten av virksomhetene er små, og andelen store er betydelig mindre enn i tidligere undersøkelser. Ny innsamlingsmetode gjør det vanskelig å sammenligne data over tid, og derfor sammenlignes ikke årets funn med tidligere undersøkelser. Årets undersøkelse er inspirert av en undersøkelse gjennomført i Storbritannia, og fokuset er på oppdagelse og håndtering av endelser, med utgangspunkt i den verste hendelsen.

Over en fjerdedel av norske virksomheter – 412 av 1.500, eller 27 prosent – har opplevd uønskede sikkerhetshendelser det siste året. Virksomhetene forteller at dette fører til produktivitetstap i fire av 10 tilfeller (i form av tapte arbeidstimer), men kun to av 10 oppgir at de har hatt kostnader som følge av slike hendelser. Dette viser at virksomhetene mangler oversikt over hva sikkerhetshendelsene koster dem, eller undervurderer disse kostnadene. Kun ni prosent av virksomhetene som utsettes for angrep tar saken videre til politiet. Det tilsier at det skjuler seg betydelige mørketall, og for de kriminelle nettverk er denne typen angrep mot norske virksomheter i praksis straffefrie.

Hendelser og mørketall

Ut fra besvarelsene er det virus og skadevare som forårsaker de verste hendelsene for norske virksomheter. Undersøkelsen viser at inntrengning i datasystemene, systemfeil og virus hovedsakelig førte til tapte arbeidstimer. Med løsepengevirus eller ransomware, derimot, er tapte data den klart største konsekvensen, etterfulgt av arbeidstimer. Konsekvensene er mer sammensatte dersom virksomheten blir utsatt for spam og sosial manipulasjon. Her fordeler konsekvensene seg på tap av data, direkte økonomiske konsekvenser, arbeidstimer og ukjente konsekvenser. Over 50 av de 412 virksomhetene aner ikke hvor mye hendelsen kostet dem, og det er en tendens til å undervurdere disse kostnadene. En bedrift som fikk filene på en server kryptert rapporterte at hendelsen ikke kostet dem noe til tross for at det nødvendigvis har gått med noe tid til å gjenopprette filene. En annen bedrift oppga at et løsepengevirus kostet dem 100 kroner, som heller ikke framstår som en realistisk sum. Samtidig oppga enkelte bedrifter betydelige utgifter i forbindelse med den verste sikkerhetshendelsen. For en bedrift med 27 ansatte førte phishing til utgifter på 600 000 kroner, mens en virksomhet innen undervisning med 15 ansatte og delvis outsourcet IT-drift opplevde at partneren ble utsatt for datainnbrudd som førte til at personopplysninger kom på avveie og enorme utgifter.

Mangelfulle sikkerhetskopier synes å være et problem for mange mindre selskaper og medfører uunngåelige tap når sikkerhetshendelser inntreffer. En bedrift mistet to måneders regnskap da en maskin sluttet å virke, noe som resulterte i at dette måtte føres inn på nytt, mens en annen virksomhet mistet filer grunnet løsepengevirus og estimerte kostnadene for dette til en million kroner. Samtidig førte frykt for spredning av løsepengevirus til dramatiske avgjørelser. En virksomhet «låste ned hele datanettverket», noe som gjorde at 1.200 brukere ikke kunne jobbe. En annen tok ned en filserver midlertidig, som fikk konsekvenser i fem kommuner.

Undersøkelsen viser at virksomheter som har gode sikkerhetskopier rapporterer om betydelig mindre konsekvenser som følge av løsepengevirusinfeksjoner. Spranget fra noen tapte arbeidstimer til et tap på flere hundre tusen er enormt og viser viktigheten av gode sikkerhetsrutiner.

Årsaker til at hendelsen ikke ble rapportert

Årets spørreundersøkelse går ikke inn på hvorfor så få anmelder hendelser, men i Mørketallsundersøkelsen fra 2014 kom det fram at flertallet ikke trodde det ville være mulig å finne gjerningsmannen, mens andre manglet tiltro til politiets kompetanse. Politiet mottok 51 anmeldelser for datainnbrudd i 2015, men ettersom så få anmelder angrep er det naturlig å anta at det faktiske antallet datainnbrudd er høyere. Det er en utfordring for politiet å spore kriminalitet på nett. En angriper som holder til i Frankrike kan bruke utstyr i Kina til å angripe en norsk virksomhet og samtidig få det til å se ut som angrepet kommer fra Australia. Sakenes kompleksitet fører ofte til henleggelse, men virksomheter som angripes bør likevel vurdere å anmelde. Dersom mørketallene blir mindre får politiet et klarere bilde av dagens situasjon, noe som kan føre til at arbeidet med slik kriminalitet prioriteres høyere og politiets kompetanse øker.

På spørsmålet om hvem som sto bak den mest alvorlige hendelsen var det 22 prosent som svarte, og kun et mindretall av disse visste hvem som sto bak. Svarene spriker fra egne ansatte til elever ved skolen, kunder, russiske servere, Kina, IT-leverandører og kjenninger av politiet. At så få kunne svare på hvem som sto bak kan tyde på at disse hendelsene kun etterforskes av virksomheten i begrenset grad.

Grunnleggende tiltak for mindre virksomheter

Undersøkelsen viser at norske virksomheter fortsatt lider økonomiske tap fra sikkerhetshendelser som kunne vært unngått ved hjelp av grunnleggende tiltak. NSMs fire tiltak mot dataangrep kan stoppe en stor del av angrepene mindre virksomheter utsettes for:

• Oppgrader program- og maskinvare

• Vær rask med å installere sikkerhetsoppdateringer

• Ikke tildel sluttbrukere administratorrettigheter

• Blokker kjøring av ikke-autoriserte programmer

Systematisk sikkerhetsarbeid

For mellomstore og store bedrifter er det viktig å sette sikkerhetsarbeidet i system. Styringssystemer for informasjonssikkerhet – som ISO 27001 eller ISO 9001 – er nyttige i dette arbeidet. DIFIs veileder for informasjonssikkerhet, som er basert på ISO 27001, er et godt utgangspunkt. Her tilbys gratis maler og andre verktøy som kan benyttes direkte ute i virksomheten. Det finnes også bransjespesifikke styringssystemer, som Normen for helse- og omsorgssektoren.

Sikkerhetskopier

Løsepengevirus er et voksende problem, og flere virksomheter i undersøkelsen fortalte at infeksjon av slike virus førte til tap av data og arbeidstimer. Derfor blir sikkerhetskopier og rutiner for hurtig gjenopprettelse stadig viktigere.

• Innfør jevnlig sikkerhetskopiering av virksomhetens data

• Ha rutiner for gjenopprettelse av data, og teste at disse fungerer

Du kan laste ned og lese hele undersøkelsen både på norsk og engelsk her.