Hacker

Mørke tall i datakrim

Under sin årlige sikkerhetskonferanse la Næ­rings­li­vets sik­ker­hets­råd fram re­sul­ta­te­ne av Mørke­talls­under­sø­kel­sen 2008. Målet er å be­ly­se om­fan­get av da­ta­kri­mi­na­li­tet og andre uøns­ke­de it-hen­del­ser i nor­ske virk­som­heter.

Publisert

Det­te er den sjet­te un­der­sø­kel­sen som ut­ar­bei­des av Da­ta­krim­ut­val­get i Nærings­livets sik­ker­hets­råd (NSR). Den ble lagt fram av Øy­vind Da­vid­sen, som har vært le­der for Da­ta­krim­ut­val­get de sis­te fire år.

Nytt av året er at un­der­sø­kel­sen har med spørs­mål rundt per­son­opp­lys­nin­ger. Det­te er også den før­s­te av un­der­sø­kel­se­ne som er ut­ført på web.

Bru­ken av it

Un­der­sø­kel­sen vi­ser at bru­ken av it har ste­get hele vei­en. E-post og hjem­me­sider vi­ser en svak øk­ning fra 2003 og 2006. Også da var den svært høy. I 2008 had­de hhv. nes­ten 100 % e-post og over 90 % av be­drif­te­ne hjem­me­si­de.

Hjem­me­kon­tor blir mer ut­bredt, fire av fem har nå til­gang hjem­me­fra, nes­ten en dob­ling fra 2003. Elek­tro­nisk be­ta­lings­for­mid­ling bru­kes i mye stør­re grad i nå (90 %) enn i 2003, da det fak­tisk var nes­ten null.

– Instant messaging (IM) bru­kes i stør­re grad av næ­rings­li­vet, drøyt 30 % i 2008 mot snaue 20 % i 2006. Det­te vi­ser at tek­no­lo­gi vis­ker ut gren­se­ne mel­lom næ­rings­liv og pri­vat­liv. Det be­tyr igjen at en arbeids­giver bør ten­ke ret­nings­lin­jer og opp­læ­ring for sine an­sat­te, an­be­fa­ler Da­vid­sen.

Fryk­ter ikke om­døm­met

Bedriftene avslører i liten grad at de er blitt utsatt for data­kriminalitet. Dette er liksom blitt noe bedriftene ikke snakker høyt om (derav, som kjent, navnet Mørke­talls­under­sø­kel­sen). Likevel viser under­søkelsen at det er vel­dig få, bare én av tyve, som fryk­ter tap av om­døm­me etter å ha blitt utsatt for data­kriminalitet.

– I USA er det­te mot­satt. Der sier 26 % at de ikke har an­meldt hen­del­sen for­di de fryk­ter tap av om­døm­met hvis de an­mel­der og saken blir kjent.

Les også: Sensitive opplysninger ofte på avveie

Av øv­ri­ge kon­se­kven­ser ved hen­del­sen, sva­rer 62 % av virk­som­he­te­ne at de ble på­ført eks­tra­ar­beid et­ter­på. 31 % me­ner hen­del­sen ikke had­de kon­se­kven­ser, mens 9 % opp­lev­de et inn­tekts­tap. 9 % opp­lev­de ne­de­tid på sen­tra­le it-sy­ste­mer, mens 5 % fikk er­stat­nings­an­svar et­ter hen­del­sen.

" Slur­ver med per­son­opp­lys­nin­ger

– Hånd­te­rer du per­son­opp­lys­nin­ger, sier lo­ven tre ting: Du skal ha over­sikt over alle per­son­opp­lys­nin­ger som be­hand­les i virk­som­he­ten, du skal ha for­mel­le ru­ti­ner for å hånd­te­re dem og du skal ha en in­tern­kon­troll som do­ku­men­te­rer hvor­dan opp­lys­nin­ge­ne hånd­te­res.

– 80 % kjen­ner kra­ve­ne i per­son­opp­lys­nings­lo­ven. Men kun 50 % føl­ger dem. Det er opp­sikts­vek­ken­de!

– Enda mer opp­sikts­vek­ken­de er bran­sje­ne un­der­vis­ning, hel­se og so­si­al, som jo er stor­bru­kere av per­son­opp­lys­nin­ger: Halv­par­ten av virk­som­he­te­ne opp­fyl­ler ikke lo­vens krav, mens hele 20 % ikke har iverk­satt noen av til­ta­ke­ne i lo­ven. Over halv­par­ten mang­ler in­tern­kon­troll. To av tre mang­ler pla­ner for hånd­te­ring av de vik­tig­ste it-sik­ker­hets­brud­de­ne.

Mang­len­de be­visst­gjø­ring

Det er kanskje lett å tro at hoved­tyngden av data­kriminaliteten består av virus­angrep og hacking. Men slik er det ikke.

Iføl­ge Davidsen do­mi­ne­res de rap­por­ter­te hen­del­se­ne av utstyrstyveri og mis­bruk av it-res­sur­ser. Her er mang­len­de be­visst­het hos slutt­bru­ker­ne av­gjø­ren­de for at hen­del­se­ne skjer. I de til­fel­le­ne der gjer­nings­man­nen er iden­ti­fi­sert, er den­ne å fin­ne hos egne an­sat­te el­ler blant inn­leid per­so­nell i 77 % av til­fel­le­ne.

Der­for er det et tan­ke­kors at un­der halv­par­ten av virk­som­he­te­ne gjen­nom­fø­rer opp­læ­ring av an­sat­te i sik­ker bruk av it. Én av tre mang­ler ret­nings­lin­jer for bru­ker­ne. Da­ta­krim­ut­val­get an­be­fa­ler der­for at det bør leg­ges mer vekt på hold­nin­ger og be­visst­gjø­ring av bru­ke­re.

Mør­ke­talls­un­der­sø­kel­sen tegner dermed et litt annet bilde av data­kriminaliteten enn det som frem­kommer fra leverandører av sikker­hets­løsninger. Les blant annet: De største datatruslene i 2008 og Ni av ti organisasjoner mener nettkrim utgjør en betydelig risiko mot driften

Opp­sum­me­ring

Da­vid­sen trek­ker fram føl­gen­de ho­ved­trekk et­ter Mørke­talls­un­der­sø­kel­sen 2008:

– Vi har frem­de­les sto­re mør­ke­tall med hen­syn på an­mel­del­ser

– Bare halv­par­ten opp­fyl­ler kra­ve­ne i per­son­opp­lys­nings­lo­ven

– De som har gode sik­rings­løs­nin­ger opp­da­ger fle­re hen­del­ser

– Mo­bi­le en­he­ter ut­gjør en stor ut­ford­ring. Kun 20 % kryp­te­rer sli­ke

– Gjer­nings­man­nen kom­mer fra egne rek­ker i sta­dig stør­re grad

– Sto­re virk­som­he­ter er mer ut­satt enn små

– Ni­vå­et på or­ga­ni­sa­to­ris­ke til­tak er la­ve­re enn for tek­nis­ke til­tak

– Det er man­gel­ful­le sikringskrav til eks­tern drifts­part­ner

– Grunn­leg­gen­de tek­nis­ke til­tak er stort sett på plass

– Tra­di­sjo­nel­le vi­rus­hen­del­ser av­tar

Kilde: Foredrag under Sikkerhetskonferansen 2008, som ble arrangert i regi av Næringslivets sikkerhetsråd

Du kan lese mer om Mørke­talls­un­der­sø­kel­sen i den kom­men­de ut­ga­ven av Aktuell Sikkerhet, nr. 5-2008.

"
Powered by Labrador CMS