Sikkerhetsbrudd koster en halv milliard

Sikkerhetsbrudd koster en halv milliard

Datakriminalitet koster norske virksomheter over en halv milliard kroner, men det er blitt enklere å finne gjerningsmannen.

For sjette år på rad kommer Mørketallsundersøkelsen 2008, en oversikt over forskjellene mellom de sikkerhetshendelsene som faktisk skjer, og det som blir anmeldt. Undersøkelsen lages for Næringslivets sikkerhetsråd (NSR) for å belyse omfanget av datakriminalitet og kartlegge hvor sårbare norske virksomheter er.

Tallene blir presentert i dag på Sikkerhetskonferansen 2008.

Årets undersøkelse viser at datainnbrudd, misbruk av it, tyveri og andre hendelser knyttet til sikkerhet koster norske virksomheter svimlende 571 millioner kroner.

Størstedelen av investeringene kan tilskrives ekstraarbeid. Hele 62 prosent angir at dette er konsekvensen av hendelsene, mens ni prosent oppgir nedetid på systemene.

- It-sikkerhetshendelser generelt er dyrt for norsk næringsliv. Veldig mange har skjulte utgifter som de kunne ha unngått. Det er mye å gjøre, særlig på det bedriftsøkonomiske plan, sier daglig leder Kim Ellertsen i Næringslivets sikkerhetsråd.

Samtidig er det få som har rutiner for å beregne egne økonomiske effekter av sikkerhetsbrudd.

- Det er fremdeles en utfordring med bevisstgjøring av de som bruker it-systemene, sier Ellertsen.

Størstedelen av kostnadene kan tilskrives ekstraarbeid. Hele 62 prosent angir at dette er konsekvensen av hendelsene, mens ni prosent oppgir nedetid på systemene.

For 31 prosent av bedriftene hadde det ingen konsekvens, mens halvparten av de spurte mener det ikke har vært noe økonomisk tap.

Gigantiske mørketall

Undersøkelsen viser videre at det er et enormt sprik mellom antallet anmeldte forhold, og de estimerte forholdene.

Antall datainnbrudd i bedrifter er antatt å være 4400, mot 3900 i 2006 da undersøkelsen sist ble gjennomført. Til sammenligning har politiet registrert 57 anmeldelser i den kategorien.

Når det gjelder misbruk av it-ressurser, har tallet skutt i været siden sist undersøkelse. I år er det 15500 estimerte tilfeller, mot 8900 sist. Kun 11 er anmeldte.

- Politiets tall gir ikke noe representativt bilde av hva som skjer. Det er langt flere hendelser som inntreffer. Om man ønsker politiets fokus på dette området og forventer at deres kompetanse blir styrket, må man anmelde og gi dem flere saker å jobbe med, sier Ellertsen.

LES OGSÅ: - Et tastetrykk kan bli et problem

Tidligere er det antatt at flere bedriftsledere vegrer seg for å anmelde forhold fordi de frykter det kan skade virksomhetens omdømme. Ifølge undersøkelsen er det derimot ikke årsaken til at forhold ikke anmeldes.

Årsakene er først og fremst at sakene er ubetydelige eller at offeret anser det for umulig å finne gjerningsmannen.

Flere finner tyven

Det viser seg likevel at gjerningsmannen blir identifisert i flere og flere tilfeller. I 2006 var det nærmere 2000 rapporterte hendelser, og gjerningsmannen ble identifisert i kun 400 av dem, altså 20 prosent.

Den brøken har nå endret seg. I årets undersøkelse har det blitt rapportert nærmere 3000 hendelser, mens gjerningsmannen er identifisert i over 1700 av disse tilfellene, altså 60 prosent.

Trusselen kommer dessuten innenfra, skal vi tro tallene, og de signalene som kommer fra it-sikkerhetsmiljøene i disse dager. Undersøkelsen viser at det i 67 prosent av tilfellene er gjerningsmannen antatt å være egen ansatt. Ti prosent mistenker innleid hjelp.

- Så lenge det er definert som et internt problem, så kan man gjøre noe med det, mener Ellertsen.

- Mer opplæring og påfyll av sikkerhetsarbeidet gjør mye for å møte den interne trusselen. Men jeg har også en anelse om at it-sikkerhet hives på dør når noe haster. Man kan heller skynde seg langsomt, særlig når kostnaden kan være så stor som 571 millioner totalt sett, sier han.

Det viser seg igjen at store bedrifter er mer utsatt enn små, og særlig bedrifter som driver med internetthandel.

Dårlig svarprosent

Mørketallsundersøkelsen, som ble gjennomført av Perduco for NSRs Datakrimutvalg, gikk ut til 5000 representative bedrifter i Norge. Kun 864 svarte.

- Jeg ønsker meg en langt høyere svarprosent, men totalt sett har vi langt flere svar enn tidligere, fordi vi har spurt 5000 mot 2000 tidligere, sier Ellertsen.

Oppsiktsvekkende er det også at så mye som 22 prosent av de spurte anser sin virksomhet for å være del av kritisk infrastruktur. Kritisk infrastruktur tilskrives ofte virksomheter som driver samfunnsviktige funksjoner som telefoni, helse, nødetater, og militært forsvar.

- Det er overraskende høyt. Næringslivet avventer nå en definisjon fra politisk hold for hvem som tilhører kritisk infrastruktur. De som definerer seg som kritisk infrastruktur, bør ha mer fokus på sikkerhetsarbeid, sier Ellertsen.

Tidligere har det vært påpekt at Mørketallsundersøkelsen var for mye preget av store virksomheter. Det har endret seg med årets undersøkelse, der det nå er nede i 66 prosent, mot 73 sist.

LES OGSÅ: - Små bedrifter for dårlig sikret

Undersøkelsen har tidligere vært kritisert for å inneholde masse feil.

- Vi har gjort noe med det og laget undersøkelsen webbasert, og dermed hoppet over feilkilden fra papirversjon til databasen. Vet ikke-kategorien ( som de tidligere har hatt problemer med, red.anm.) kommer dit den skal. Vi har også laget en kryptert side for undersøkelsen, sier Ellertsen.

LES OGSÅ: - Fullt av feil i mørketall

Les om: