Vil ha sertifisering på ledernivå

Vil ha sertifisering på ledernivå

Norske bedrifter blir ikke bedre på it-sikkerhet, viser mørketall fra NSR.

Sikkerheten svikter hos mange norske bedrifter, er den klare konklusjonen fra årets mørketallsundersøkelse fra Næringslivets Sikkerhetsråd (NSR) som ble lagt frem i dag. 6000 bedrifter er spurt, men bare 745, altså 12,4 prosent har faktisk svart.

- Hovedkonklusjonen er at det ikke er noen endring siden 2008. Det er veldig skuffende for oss som jobber med sikkerhet, sier Arne-Johan Helle fra Telenor, leder av NSR.

NSR foreslår en omfattende sikkerhetsopplæring på ledernivå, kanskje også en obligatorisk sertifisering.

Foreslår leverandørkrav

56 prosent av virksomhetene outsourcer it-driften helt eller delvis, men stiller få krav til leverandørene, sier et punkt i undersøkelsen. De har stor tiltro til leverandørens håndtering av sikkerheten, men lavt fokus på kontroll, oppfølging eller sanksjoner ved mangler.

NSR ser at det er opp til virksomhetene å stille kravene, ettersom det ikke finnes noen offentlige krav med unntak av visse bransjer som bank og finans.

Sikkerhetsrådet skisserer derfor en løsning på problemet der driftsleverandørene må sertifiseres.

- Kanskje bransjeorganisasjoner eller myndighetene bør stille krav til virksomhetskritiske leverandører? spør Helle, som peker på at 20 prosent av virksomhetene i undersøkelsen definerer seg som samfunnskritiske aktører.

Ikke bedre sikringstiltak

Sammenlignet med 2008 er det heller ingen forbedring i sikringstiltak. Særlig små og mellomstore bedrifter er underrepresentert når det gjelder å ta i bruk en rekke sikkerhetstiltak, ifølge sikkerhetsrådet.

- Det er overraskende at såpass få følger opp logger, eksemplifiserer Helle.

Manglende oppfølging av logger gir manglende oversikt og rapportering av sikkerhetshendelser til ledelsen, peker han på. Undersøkelsen viser også mangelfull igangsettelse av tiltak. Enklere, teknologiske tiltak som brannmur iverksettes riktignok, men det mangler organisatoriske tiltak.

Anmelder ikke

En av tre virksomheter har blitt utsatt for datakriminalitet, men bare én prosent har anmeldt saken til politiet i 2009, ifølge undersøkelsen. Mens det totalt ble anmeldt 218 slike hendelser i 2009, burde tallet egentlig vært hele 23.500, viser sikkerhetsrådets estimater. Dette skaper hodebry for politiet, ifølge sikkerhetsrådet.

- Det kan være gode grunner til at slike forhold ikke blir anmeldt, men alle alvorlige og vesentlige forhold bør anmeldes så politiet kan se det i statistikken sin, sier Helle.

Politiet sliter med å gi anbefalinger til sin ledelse uten korrekt statistikk.

- Jeg håper virksomhetene begynner å anmelde slik at vi får reelle statistikker.

I 42 prosent av tilfellene er gjerningsmannen egen ansatt eller innleid arbeidskraft. Sikkerhetsrådet mener det mangler opplæring av ansatte. Bare en av tre spurte bedrifter har kontinuerlig opplæring av de ansatte, og under halvparten har sikkerhetsopplæring av de ansatte, viser undersøkelsen.

Forskningsbedrifter utsatt

En ny del av undersøkelsen har rettet seg spesielt mot bedrifter som driver med forskning og utvikling. Og det viser seg at FOU-bedrifter er 77 prosent mer utsatt for uønsket dataaktivitet. Virksomhetene har også dobbelt så stor sjanse for å bli frastjålet utstyr. Disse bedriftene er likevel ikke noe bedre til å beskytte seg enn andre.

- Det viser at datakriminaliteten er mye mer målrettet enn vi har fått stadfestet tidligere, sier Helle.

Erland Løkken fra NSR viser til et eksempel med en stor bedrift som nylig hadde tyveri.

- Det var bare noen narkomane, sa de til meg. Hvordan vet dere det? spurte jeg. Det vi etterlyser er bevissthet.

Av positive ting i undersøkelsen har offentlige virksomheter mer fokus på personopplysninger og har etablert formelle rutiner og kontroller.

Rapportens hovedanbefalninger er mer sikkerhetsfokus på mobile enheter, at vesentlige sikkerhetshendelser anmeldes, sertifiseringsordning for it-driftsleverandører på sikkerhet, verdivurdering – mer fokus på prosesser og rutiner i virksomheten for å ivareta og beskytte egne verdier, kunnskapsformidling og økning av kompetanse – deriblant obligatoriske it-sikkerhetskurs for virksomhetsledere.

Les om: