Stadig flere norske virksomheter utsettes for cyberangrep: 7 av 10 skylder på tilfeldigheter og uflaks
For 11. gang har Næringslivets Sikkerhetsråd (NSR) kartlagt sikkerhetstilstanden hos over 1500 virksomheter i privat og offentlig sektor, i Mørketallsundersøkelsen 2018. Resultatene gir et godt innblikk i norske virksomheters holdninger til digital sikkerhet, samt deres kunnskap, utfordringer, erfaringer, strategier og tiltak knyttet til risikovurdering, forebygging og beredskap.
Norsk sikkerhetsnaivitet
Mørketallsundersøkelsen viser at norske virksomheter har liten oversikt over kostnader og tap som følger i kjølvannet av sikkerhetshendelser. Bare blant de som har deltatt i undersøkelsen, og som klarer å fastslå en kostnad, utgjør dette nesten 30 millioner i 2017. Dette gir et estimat på 1,3 milliarder for norske virksomheter alene. I tillegg vil potensielle tap i form av kontrakter som går i vasken, et svekket omdømme og andre immaterielle skader få en negativ effekt på bunnlinja.
– Vi ser en påfallende stor naivitet når det kommer til forståelse av egne verdier, konsekvenser og kostnader for virksomheten. Mange har en "det vil ikke skje oss"-holdning. Så når mer enn 1500 respondenter svarer at de ikke har vært utsatt informasjonstyveri og spionasje, er det sannsynlig at manglende deteksjonsevne er årsaken, eller at det dysses ned, sier Jack Fischer Eriksen, direktør i NSR.
Hasse Kristiansen, leder for KPMGs rådgivningsavdeling innen cybersikkerhet, mener mange virksomheter har en gammeldags tilnærming til måten de jobber med sikkerhet.
– Vi må forholde oss til en ny type risiko, og det krever ny kompetanse. Selv om vi ser en økt grad av digital forståelse og modenhet i virksomhetene, og investeringer i cybersikkerhet øker, er mange fortsatt for dårlig forberedt, sier han.
– Nøkkelen er å se koblingen mellom teknologi, forretning og eksterne trusler, slik at virksomheten kan omsette innsikt til gode strategier og tiltak. IT er bare en del av det totale risikobildet i forretningen, og kompetansen må balanseres og styres mot riktig nivå i organisasjonen, påpeker Kristiansen.
Mer phishing, hacking og bedrageri
I 2018 er de vanligste sikkerhetshendelsene virus og malwareinfeksjoner (21 prosent), phishing eller annen sosial manipulering (18 prosent) og forsøk på datainnbrudd og hacking (13 prosent). Sammenlignet med 2016 er det en betydelig økning i antall virksomheter som utsettes for phishing, hacking, DDos-angrep og bedrageri.
67 prosent mener sikkerhetshendelsene skyldtes tilfeldigheter eller uflaks, mens 55 prosent skylder på menneskelige feil. Manglende sikkerhetsbevissthet hos ansatte (39 prosent) og manglende etterlevelse av prosesser (28 prosent) trekkes også frem som sentrale årsaker.
Andelen virksomheter som oppdager sikkerhetshendelser ved en tilfeldighet er helt oppe i 40 prosent, veldig likt andelen som detekterer hendelser gjennom rutinemessig intern sikkerhetsmonitorering, på 39 prosent. 31 prosent sier at det ble oppdaget som en følge av negative effekter på virksomheten. Og sjokket kan ha vært stort for de 5 prosentene som oppdaget hendelser gjennom varsling fra myndigheter eller politi, for ikke å snakke om de 5 prosentene som måtte lese om det i mediene.
Tiltak fokuserer i liten grad på menneskene
I 6 av 10 tilfeller har ledelsen blitt involvert dersom virksomheten har blitt utsatt for sikkerhetshendelser, mens styret har blitt varslet og involvert i 3 av 10 tilfeller. Kun 2 av 10 mener at virksomheten er påført økonomiske tap, og under 1 av 10 melder om organisasjonsendringer som følge av sikkerhetsbrudd.
Når det kommer til gjennomføring av tiltak som en konsekvens av sikkerhetshendelser, sier nesten halvparten (47 prosent) at de har endret retningslinjer og rutiner. 24 prosent har investert i nytt sikkerhetsutstyr, mens 22 prosent har strammet inn på kontrollen av eksterne leverandører og konsulenter. 20 prosent har investert i utvikling av sikkerhetsprosesser og etablert et sikkerhetsmiljø.
– Når 55 prosent sier at hendelser skyldes menneskelige feil, og 39 prosent mener det er resultat av manglende sikkerhetsbevissthet hos ansatte, burde enda flere virksomheter fokusere på ansattes sikkerhetsforståelse og kompetanse gjennom holdningskampanjer og opplæringsprogrammer. Kun 16 prosent sier at den interne opplæringen har blitt forbedret etter en hendelse, og bare 4 prosent har ansatt flere kompetente folk for å styrke sikkerheten, forteller Fischer Eriksen.
Styringssystemer gir bedre oppdagelsessevne
6 av 10 virksomheter har i dag et styringssystem eller rammeverk for informasjonssikkerhet. Det er på samme nivå som forrige undersøkelse fra 2016. Hos virksomheter med over 100 ansatte gjelder dette 8 av 10. Av de som har rammeverk eller styringssystem, opplever 9 av 10 at dette etterleves i virksomheten.
– Den gode nyheten er at Mørketallsundersøkelsen 2018 bekrefter at de som har implementert rammeverk og styringssystemer, og dermed evner å drive et systematisk og forebyggende sikkerhetsarbeid, i mye større grad klarer å identifisere og oppdage sårbarheter, trusler og hendelser. Dermed kan de raskere iverksette forebyggende og konsekvensreduserende tiltak, sier Fischer Eriksen.
– Kostnaden ved å etablere en proaktiv og forebyggende tilnærming til sikkerhet er mye lavere enn kostnadene og det potensielle skadeomfanget av en alvorlig hendelse, tilføyer Kristiansen.
Nøkkelord
Kontakter
Mona ØverbyKommunikasjonssjef
Tel:40857887mona.overby@kpmg.noJack Fischer EriksenDirektør i Næringslivets Sikkerhetsråd
Tel:480 88 136jfe@nsr-org.noBilder
Dokumenter
Om KPMG
Om KPMG:
Følg pressemeldinger fra KPMG
Registrer deg med din e-postadresse under for å få de nyeste sakene fra KPMG på e-post fortløpende. Du kan melde deg av når som helst.
Siste pressemeldinger fra KPMG
Blir partnere i KPMG Law Advokatfirma19.12.2023 14:06:43 CET | Pressemelding
Stine Lettrem og Alejandro Serrano-Kristiansen blir partnere i KPMG Law Advokatfirma fra 1. januar 2024. De bringer med seg spesialistkompetanse innen arbeidsrett og offentlige anskaffelser.
Ny KPMG-rapport peker på unødig kompliserte regler for akvakulturnæringen21.9.2023 14:34:08 CEST | Pressemelding
I forkant av Havbruksutvalgets varslede rapport om tillatelsessystemet i næringen har KPMG Law gjennomført en undersøkelse av akvakulturtillatelser i syv land. Rapporten viser at næringsreguleringen er unødig komplisert i alle landene og at dette skaper utfordringer for næringen.
KPMG etablerer eget AI-senter30.8.2023 15:30:00 CEST | Pressemelding
KPMGs nye norgessjef tar grep og samler kompetanse fra hele landet. Det nye AI-senteret skal hjelpe næringslivet i overgangen til å bruke kunstig intelligens i hverdagen.
Rune Skjelvan tar over lederskapet i KPMG20.6.2023 07:15:00 CEST | Pressemelding
KPMG har valgt Rune Skjelvan som ny senior partner og administrerende direktør. Skjelvan har jobbet i KPMG i 23 år, og har ledet KPMG Advisory siden 2010. Siden da har dette blitt KPMGs største forretningsområde etter omsetning, og vokst til nesten 700 medarbeidere. Nå gleder han seg til å starte i ny rolle, og forteller at selskapet skal fortsette sin offensive satsing på teknologi.
Administrerende direktør i KPMG, Lars Inge Pettersen, tar ikke gjenvalg1.6.2023 16:21:20 CEST | Pressemelding
Administrerende direktør og Senior Partner i KPMG Norge, Lars Inge Pettersen, har informert styrets leder Monica Hansen om at han ikke ønsker å stille til gjenvalg som leder for selskapet i en ny åremålsperiode. Styret i KPMG har konstituert selskapets nestleder og leder for rådgivning, Rune Skjelvan, i rollen som Senior Partner og CEO. Skjelvan vil samtidig fortsette som leder for Advisory. KPMG vil gjennomføre valg av ny Senior Partner som planlagt på generalforsamlingen i juni.
I vårt presserom finner du alle våre siste pressemeldinger, kontaktpersoner, bilder, dokumenter og annen relevant informasjon om oss.
Besøk vårt presserom