ØKENDE PROBLEM: 58 prosent av respondentene i fersk undersøkelse sier at de er mer bekymret for cybertrusler i dag enn for ett år siden. Foto: Unsplash
“Dine filer har blitt kryptert. Klikk her for å betale”. Når denne beskjeden dukker opp på skjermen har du et problem.
Av – Jonas Ellingsen
Flere nye undersøkelser viser at hacking og cyber-kriminalitet er i sterk vekst – samtidig som IT-sikkerhet er et nedprioritert område i mange bedrifter og kommuner.
PwCs siste cyber-rapport viser at hemmelig bedriftsdata havner stadig oftere på åpne nettsider. 119 norske IT-ledere og sikkerhetsspesialister har i år svart på undersøkelsen. Her fremgår det at nesten halvparten har blitt utsatt for bedrageri det siste året (CEO-svindel, kredittkortsvindel og manipulerte banktransaksjoner) Sju av ti bedrifter har opplevd phishing.
Eksploderer
– Det har vært en eksplosjon av bedriftshemmeligheter som legges ut på det åpne nettet, sier Jan Henrik Straumsheim som leder cyber threat operations i PwC.
58 prosent av respondentene sier de er mer bekymret for cybertrusler i dag enn for ett år siden. Blant de største bekymringene er at kritiske systemer blir utilgjengelige over lengre tid, eller at fortrolig informasjon havner på avveie. Nesten to av ti forteller at de har opplevd utpressing. Noen har fått løsepengevirus, andre har fått trusler om datalekkasjer i løpet av året som har gått.
Ikke prioritert
En fersk rapport fra Trend Micro, et globalt selskap innen cybersikkerhet, avdekker at problemet ikke har høy prioritet i alle bedrifter. Her kommer det frem at hele 9 av 10 IT-beslutningstagere hevder at virksomheten deres er villig til å gå på akkord med egen cybersikkerhet til fordel for økt digitalisering, økt produktivitet eller andre mål. På toppen av det føler 83 prosent av de norske IT-beslutningstagerne seg presset til å bagatellisere alvorlighetsgraden av cyberrisiko ovenfor eget styre.
Konstant press
– Forskningen viser klart og tydelig at dagens IT-ledere sensurerer seg selv i møte med sitt styre i frykt for å virke repeterende eller for negative. Og nesten hver tredje IT-leder hevder at dette er et konstant press. Disse funnene korresponderer godt med tidligere undersøkelser hvor det kom frem at hele 8 av 10 norske IT-beslutningstakere er i ferd med å bli utbrent og at nesten 9 av 10 virksomheter forventer å bli utsatt for cyberangrep i løpet av det kommende året, sier kommunikasjonssjef i Trend Micro, Karianne Myrvold.
– Jeg tror det er avgjørende at IT-ledere og øvrige beslutningstakere blir gode på å snakke om risiko som en grunnleggende driver for vekst. Og at god IT-sikkerhet er fundamentalt for virksomhetens suksess. En felles forståelse er helt avgjørende for å få hele ledelsen til å kjempe for samme sak, tilføyer Myrvold.
Hvem er egentlig ansvarlig?
Rapporten avdekker også at det er store uenigheter mellom IT- og bedriftsledere om hvem som er ansvarlig for å håndtere og redusere risikoen. Faktisk hevdet hele 49 prosent av respondentene at cyberrisiko blir behandlet som et IT-problem fremfor en forretningsrisiko. Blant norske ledere er dette derimot holdningen i nesten 6 av 10 tilfeller.
-. Mens de norske lederne først og fremst definerer manglende innovasjonsevne som den fremste forretningsrisikoen, er det manglende cybersikkerhet som står øverst på listen når vi ser på det globale resultatet. Her bør flere ledere høre på IKT-Norge, som påpeker at den største trusselen mot Norge, er nettopp cybertrusler, sier Karianne Myrvold.
———————————————————————————————————-
Tre råd for å unngå å bli hacket
- Virksomhetene må vite hva som er viktigst å forsvare, hva som er bedriftens kronjuveler. Det er her det viktigste forsvaret settes inn. Det koster for mye å bygge murer overalt.
- Følg hygienerådene som gis av nasjonal sikkerhetsmyndighet, hold utstyret oppdatert og ha kontroll på hvem som logger seg på systemene. Kontroll på hvem som logger seg på
- Det nytter ikke bare å bygge høye murer og tekniske sikkerhetsmekanismer. Invester i de ansatte, så du luker bort de enkleste formene for svindel: Hackerne bruker stress, press og frykt for å få oss til å klikke på et vedlegg eller en lenke.
(Kilde: PwC)
———————————————————————————————————-
Fire trusselaktører som angriper norske bedrifter
- Spionasje
Etterretningsdrevne trusselaktører søker ofte å stjele informasjon som vil gi en motpart økonomisk eller politisk fordel. - Kriminelle som søker profitt
Tyveri og salg av tilganger (f.eks. identiteter, brukernavn og passord) eller gjennom direkte utpressing av ofre gjennom ransomware. - Hacktivisme: Ideologiske og politiske mål
Hacktivister utfører angrep for å øke sin offentlige profil og øke bevisstheten om saker de brenner for. Dette gjøres gjennom tjenestenekt (angrep som gjør det umulig for brukerne å komme inn i tjenesten igjen) og vandalisering av nettsteder. - Sabotasje
Skade, ødelegge eller på annen måte undergrave integriteten og tilgjengeligheten til data og systemer.
(Kilde: PwC)
———————————————————————————————————-
Hva er phishing?
Phishing er en form for sosial manipulering hvor en angriper forsøker å lure noen til å utføre en handling, for eksempel åpne et e-postvedlegg, klikke på en lenke eller betale en falsk regning. Via vedlegg kan det installeres skadevare, for eksempel løsepengevirus («ransomware»), som kan spre seg videre til andre datamaskiner i samme nettverk. Via lenker kan angriperen be om brukernavn og passord til systemløsninger, og videre benytte disse for eksempel til å stjele konfidensielle opplysninger. (Kilde: Datatilsynet)