Forsvarer seg mot feil trusler

Forsvarer seg mot feil trusler

Vi blir stadig flinkere på sikkerhet, men vi beskytter oss mot gårsdagens datakriminalitet.

Norske bedrifter har blitt flinkere på sikkerhet. Mange har en strategi, økte budsjetter og utstyr for å forsvare seg. Dette viser en ny ny sikkerhetsrapport fra PWC. Men PWC har også funnet et ankepunkt i sin årlige rapport: mens skurkene har utviklet seg videre, beskytter organisasjonene seg mot gårsdagens digitale trusler.

- Mange virksomheter har gjennomført betydelige sikkerhetsforbedringer, men de har ikke holdt tritt med morgendagens målbevisste trusselaktører, sier Roger Ølstad fra PWC Norge.

Konklusjonen kommer frem av The Global State of Information Security Survey 2014, rapporten ble lagt frem på norsk jord 1. oktober, under åpningen av nasjonal sikkerhetsmåned.

På første rad satt Cyberforsvarets sjef Roar Sundseth. Sundseth nikket anerkjennende da Ølstad la frem dette budskapet.

Brudd til tross for ...

Undersøkelsen er verdensomspennende og har over 9600 respondenter, alle med en form for sjefstittel. 26 prosent av respondentene er europeiske.

Antallet oppdagete hendelser siden i fjor har økt med 25 prosent. I 35 prosent av tilfellene ble databasen over ansatte kompromittert, i 31 prosent ble kundedata kompromittert, i 29 prosent ble interne data tapt eller skadet. Det er de tre viktigste konsekvensene.

I en USA-spesifikk del av undersøkelsen, US State of Cybercrime Survey (som PWC har samarbeidet med CSO Magasine, CERT-koordineringssenteret ved Carniege Mellon-unviersitet, FBI og Secret Service om), går det frem at antallet sikkerhetshendelser har økt hele 33 prosent - til tross for implementering av sikkerhetstiltak.

Det er dette som danner grunnlaget for konklusjonen fra Ølstad.

Et konkret eksempel på fremtidsrettet teknologi, som bare halvparten av virksomhetene i undersøkelsen har implementert, er oppførselsbasert monitorering.

Bruddene koster, budsjettene øker

I det siste året har sikkerhetsbruddene også kostet mer. Snittapet er opp 18 prosent. Antallet respondenter som rapporterer om sammenlagt tap til verdi på over 10 millioner dollar på grunn av sikkerhetsbrudd, har økt med 51 prosent siden 2011 (men på den annen side «bare» ett prosentpoeng sammenlignet med 2012).

I denne kategorien er det oljebransjen som dominerer, 24 prosent av dem har tapt over 10 millioner på brudd. For farmasi-bransjen er tallet én av fem. Delt tredjeplass er finansbransjen og teknologibransjen på 9 prosent.

Samtidig har sikkerhetsbudsjettene økt hele 41 prosent siden i fjor og er nå på 4,3 millioner dollar i snitt. Før 2013 holdt de seg ganske jevnt noen få hundre tusen under tre millioner dollars.

«Organisasjonene forstår at dagens forhøyede trussellandskap krever en vesentlig boost i sikkerhetsinvesteringer», skriver PWC.

Som gjerningmenn er 32 prosent av respondentene bekymret for hackere, 31 prosent for sine egne ansatte, 27 prosent for sine tidligere ansatte, om man ser på topp tre. Nummer fire ville være «konkurrenter» på 14 prosent. Den som er helt nederst på lista, er andre nasjonalstater, der det kun er fire prosent som anser akkurat det som en potensiell kilde for sikkerhetsbrudd.

Vet ikke hva ting er verdt

Interessant er det å se at det ikke er noe galt med selvtilliten, 74 prosent av respondentene mener sine sikkerhetstiltak er effektive, hvorav toppsjefene er mest optimistisk med prosentandel på 84, etterfulgt av it-sjefene på 82 - finansdirektøren er mest skeptisk.

Det er kun 17 prosent av respondentene som anser seg selv som virkelige ledere på feltet, til tross for nevnte selvtillit.

Halvparten av respondentene som ser på seg selv som «frempå i skoa» når det gjelder informasjonssikkerhet, som i at de anser at deres strategi er på plass og at de er proaktive i å iverksette denne planen. 26 prosent mener de er bedre på å få strategien riktig enn å iverksette planen, mens 13 prosent mener de er flinkere på iverksette tiltak enn å få på plass strategien. 11 prosent anser seg som strategiløse og reaktive.

Det er ikke mange som har nevneverdig kontroll på sine verdier. Kun 17 prosent klassifiserer forretningsverdien av sine data. 20 prosent har prosedyrer hvis eneformål er å beskytte intellektuelle rettigheter. 26 prosent har register over hva de har.

47 prosent bruker nettskyen. Men bare 18 prosent har inkludert sin sikkerhetstankegang på dette feltet. Generelt viser rapporten at heite teknologier som nettsky, mobilitet og ta-med-din-egen-enhet(BYOD) gjerne implementeres før de er sikret.

28 prosent av respondentene ønsker ikke å samarbeide med andre for å forbedre sin sikkerhet. Som årsak oppgir 33 prosent at de ikke vil vide oppmerksomhet til potensielle svakheter, 28 prosent uroer seg for at konkurrentene kan bruke informasjonen i markedsføring mote dem, 24 prosent mener at alle uansett er på jevnt nivå, mens 22 prosent rett og slett ikke stoler på konkurrentene.

PWC mener derimot deling på sikkerhetsområdet er viktig. Det mener også 82 prosent av dem som er ledere innen sikkerhetsfeltet, som alle praktiserer kunnskapsdeling.

Har tips

Det er altså langt mellom liv og lære, men PWC har noen tips. De mener det trengs en ny, kunnskapsmodell modell for informasjonssikkerhet. I en slik modell ville det vært en nødvendighet at bedriftene identifiserer hvilke eiendeler som har mest verdi og prioriterer sikkerhetstiltak deretter.

Sikkerhetsbrudd må ses på som en kritisk forretningsrisiko som ikke nødvendigvis kan unngås, men som kan håndteres innenfor akseptable nivåer. Ledelsen må være involvert, særlig toppsjefen.

- De beste fokuserer stadig mer på informasjonssikkerhet som et forretningsanliggende, og ikke bare en utfordring adressert it-enheten, sier Ølstad.

Fem konkrete anbefalinger fra Ølstad er:

1. Etabler en klar og tydelig prosess for verdivurdering av informasjon (tilknyttet prosesser, tjenester og mennesker i kjernevirksomheten), som grunnlag for gode risikovurderingene og optimaliseringene innen sikkerhet

2. Jobb kontinuerlig med å forstå aktuelt trusselbilde (intelligens)

3. Øk graden av risikobaser tilnærming i sikkerhetsarbeidet, med fokus på sikring av de mest kritiske delene av virksomheten

4. Balansere preventiv sikkerhet mot kapasiteten til å avdekke og håndtere sikkerhetshendelser som oppstår

5. Ha kontinuerlig fokus på bevissthet, holdninger og kunnskap om sosial manipulering

Og her er PWC-rapportens ti tips:

1. Ha en nedskrevet sikkerhets-policy

2. Backup og recovery på forretningskontinuitetsplaner

3. Minimal innsamling og oppbecaring av personlig informasjon, men fysiske adgangsrestriksjoner til arkiv med personlige data

4. Sterke teknologi-sikringer for unngåelse, oppdagelse og kryptering

5. Et nøaktig inventar av hvor peronsaldata om ansatte og kunder samles opp, overføres og lagres, inlusive tredjeparter som håndeter dataene

6. Intern og ekstern riiskovurdering av personvern, sikkerhet, konfidensialitet og integritet av elektoniske og papirbaserte arki

7. Aktiv monitorering av personvern-programmet

8. Sjekk bakgrunnen på ansatte

9. Sikkerhetskunskapstreningsprogram for personell

10. Krev at ansatte og tredjepart føyer seg etter personvernsreglene

Les om:

Sikkerhet