Klarer ikke stoppe cyberangrep

Ferske undersøkelser viser at antall cyberangrep fortsetter å øke. Bedrifter og offentlige etater er i digitaliseringsmodus, men tar ikke digital sårbarhet tilstrekkelig alvorlig. Antallet angrep som ikke avverges er fortsatt på et høyt nivå.   

Det er styret og ledelsens ansvar å påse at IKT-sikkerhet og beredskap mot cyberangrep er på plass. Et cyberangrep kan i verste fall stenge ned hele virksomheten.

En undersøkelse gjennomført av Accenture i femten land avdekker at bedrifter med over en milliard dollar i omsetning opplevde mer enn en dobling av antallet cyberangrep fra 2017 til 2018. Antallet målrettede angrep pr. bedrift økte fra 106 i gjennomsnitt i 2016 til 232 i 2017.

Den gode nyheten er at de fleste bedriftene greier å forsvare seg mot det økende antallet angrep. Dette er likevel mager trøst. Selv om andelen angrep som lykkes faller, er antallet angrep som lykkes konstant. Det tyder på at det er vanskelig og ressurskrevende å demme opp for avanserte angrep.

Sikkerhetsanalytikere er enige om at veksten i angrep vil fortsette og at cyberangrepene i økende grad vil gå mot mål hvor datainnbrudd kan ha større skadevirkning for virksomheten. Det er flere angrep på samfunnskritisk infrastruktur og en kraftig økning i ”ransomware” eller ranervirus som stenger brukerne ute fra tilgangen til data eller IKT-systemet inntil brukeren betaler løsepenger.

En annen viktig observasjon, i følge i følge Verizons ”2018 Data Breach Investigation Report”, var at i gjennomsnitt 25 prosent av datainnbruddene ble gjennomført av egne medarbeidere eller personer med intern tilgang. Her er det riktignok store variasjoner mellom private virksomheter, helseinstitusjoner, forskningsinstitusjoner og offentlige administrasjon. Der man håndterer sensitiv informasjon er problemet med utro tjenere størst, mens i virksomheter som selger varer og tjenester til publikum kommer angrepene i første rekke fra utsiden.

Webapplikasjoner, salgsterminaler og kredittkort er angrepspunktene for mange cyberkriminelle. Særlig innenfor hotell og restaurant, undervisning, informasjonstjenester, finansielle tjenester og varehandel. Cyberspionasje og datatyveri utført av personer med intern tilgang dominerer innenfor offentlig administrasjon og produksjonsbedrifter.

Hvor godt ulike bransjer forsvarer seg mot cyberangrep varierer mye. I de fleste angrepene er inntrengerne på jakt etter brukerdata, kredittkortnummer og det er her sårbarheten er størst. Offentlige institusjoner har det høyest antallet dokumenterte angrep, men de aller fleste angriperne feiler. Her observerte man i gjennomsnitt ett vellykket innbrudd for hvert 74. angrep (1,35 pst.).

I andre bransjer er situasjonen mye verre.  Hotell- og restaurantnæringen er dårligst beskyttet. I følge undersøkelsen lykkes inntrengerne i gjennomsnitt 11 ganger for hver gang man ble avvist eller gikk i virusfilteret! Riktignok er gevinsten ved innbrudd ofte mye lavere enn ved angrep mot andre private bransjer eller mot det offentlige.

Samtidig vet vi at manges store mareritt er ID-tyveri, og hotell- og restaurantnæringen bør åpenbart anstrenge seg mer for å beskytte kontaktdata og kredittkortinformasjon den lagrer om sine gjester.

I en digital verden øker risikoen for verdiødeleggende cybersikkerhetsbrudd. Styret og ledelsens evne til å forstå og håndtere cybersikkerhet er avgjørende for å ivareta og beskytte virksomhetens verdier og omdømme. Det aller viktigste er å prioritere ressurser og oppmerksomhet mot de områdene der risikoen for angrep er størst og hvor uønskede inntrengere kan gjøre mest skade.

Med digitalisering høyt på agendaen krever dette også et strategisk blikk. Hvilken risiko er vi utsatt for i dag, og hvordan vil dette utvikle seg i takt med digitaliseringen? Sikkerhet er ressurskrevende, og ressursene må benyttes på de områdene som er mest kritisk for virksomheten. Spørsmålet er om ledere har god nok oversikt over hvor det er? Vi tror i beste fall bildet er blandet.

Av: Erik Nord og Jørn Bremtun

Innlegget stod også på trykk i Dagens Næringsliv, fredag 14. september 2018.

Leave a Reply

Your email address will not be published. Required fields are marked *