En undersøkelsen som har blitt utført på vegne av det britiske forsikringsselskapet Lloyd's blant 346 store virksomheter i Vest-Europa, svarer beslutningstakere i 92 prosent av selskapene at de har hatt datalekkasjer i løpet av de siste fem årene. Dette omfatter alt fra ansatte som med hensikt har lekket informasjon til ekstern, økonomisk motivert hacking.
Les også: Bedrifter øver på brann, men ikke på IT-angrep
Liten frykt for nye lekkasjer
Likevel er bare 42 prosent av selskapene bekymret for at nye datalekkasjer skal skje i framtiden, og bare 13 prosent tror de vil miste kunder som følge av et angrep.
Samtlige selskaper som er med i undersøkelsen, inkludert 30 norske, omsetter årlig for minst 250 millioner euro (drøyt 2,3 milliarder kroner). En liste over de største virksomhetene i Norge, rangert etter omsetning, finnes på denne siden.
Selv om andelene av de store norske selskapene som har opplevd datalekkasjer de siste fem årene er lavere enn i de øvrige landene som er med undersøkelsen, 83 prosent, oppgir 47 prosent av beslutningstakerne at de er bekymret for nye lekkasjer. Til sammenligning oppgir bare 20 prosent av de svenske og spanske beslutningstakerne at dette er noe de er bekymret for.
15 prosent av de norske beslutningstakerne tror at de kan miste kunder som et resultat av et datalekkasjer.
Hovedhensikten med undersøkelsen har ifølge Lloyd's vært å finne ut av topplederes holdning til og håndtering av kybersikkerhet. For selskapet selv er dette interessant siden det tilbyr selskaper forsikring mot blant annet økonomiske tap på grunn av datalekkasjer.
IT-sikkerhet i virksomheter: Mange tror de er sikret ved å sette en dings inn i nettverket sitt
Mange har flyttet ansvaret
Undersøkelsen viser at slike spørsmål stadig oftere kommer på agendaen i europeiske styrerom, mens det tidligere ofte var noe IT-avdelingen puslet med på egenhånd. Lloyd's viser til en undersøkelse gjort av Marsh i fjor, hvor det gikk fram i 65 prosent av bedriftene, var det IT-avdelingene som har dette det primære ansvaret for IT-sikkerheten. Bare 11 prosent oppgave at det var bedriftens styre som hadde ansvaret.
Den nye undersøkelsen viser at mange store bedrifter nå har flyttet dette ansvaret over på toppsjefen i bedriften (CEO). Dette gjelder 54 prosent av bedriftene i undersøkelsen, og 60 prosent av de norske. 96 prosent av bedriftene sier nå at planlegging av IT-sikkerhet og beskyttelse mot datasikkerhetsbrudd er ansvaret til en person i den øverste ledelsen av selskapet.
Inga Beale, administrerende direktør i Lloyd’s, sier i en pressemelding at resultatene i undersøkelsen bør fungere som en advarsel om at selskaper fremdeles er for avslappet i sin holdning til hvor godt forberedt de er på et mulig kyberangrep og for hvilke konsekvenser et slikt angrep vil kunne ha for selskapet.
– Det er betryggende å vite at ansvaret for kybersikkerhet har funnet veien til seniornivået i selskapene, men det fremstår som klart at for mange selskaper ikke tror dataangrep har potensialet til å sterkt påvirke driften, sier Beale.
Mange årsaker til lekkasjene
De vanligste årsakene til datainnbrudd eller -lekkasje blant de norske bedriftene i undersøkelsen, er økonomisk motivert hacking. Deretter følger datalekkasjer på grunn av utstyr som har blitt mistet, stjålet eller kastet. På tredje plass oppgis menneskelig feil som årsaken til lekkasjene, men lekkasjene skjer på mange ulike måter.
Også sikkerhetsselskapet Check Point omtaler IT-sikkerhetssituasjonen til store bedrifter i selskapet årlige sikkerhetsrapport, som for det meste tar for seg tall for 2015.
Kommnende personvernforordning: Datalekkasje kan gi milliardbøter
Redusert mengde
I rapporten fortelles det at mengden av dataoppføringer som har blitt lekket fra bedrifter har gått blitt redusert fra omtrent 1 milliard i 2014 til omtrent 700 millioner i fjor. Samtidig har informasjonen som har blitt lekket på grunn av angrep endret karakter.
I 2014 var kredittkortinformasjon hovedmålet, men dette er ofte ganske kortlivet informasjon. I fjor gikk derfor angriperne i større grad etter personopplysninger og mulighet for identitetstyverier. Angriperne har også i større grad rettet angrepene mot helsevirksomheter og myndighetene, mens forhandlere og finansinstitusjoner var de primære målene i 2014.
Enormt mye skadevare
I rapporten beskriver Check Point også hva i alle fall selskapets egne, store bedriftskunder utsettes for at sikkerhetsrisikoer i løpet av en helt vanlig dag. Blant annet hevder Check Point at det i en slik bedrift lastes ned skadevare hvert 81. sekund, at sensitive data blir sendt ut av virksomheten hvert 32. minutt og at ansatte sammenlagt besøker ondsinnede nettsteder hvert 22. sekund. Tilsynelatende verst er det at bedriftens ansatte laster ned skadevare som ikke er kjent fra før hver fjerde sekund.
Check Point har ikke oppgitt hvor store bedrifter disse tallene skal være representative for, men man skulle tro det trengs temmelig mange ansatte for at de utilsiktet skal rekke å laste ned nesten tusen eksemplarer av skadevare i timen – selv om mye nok kommer inn via epost.
Samtidig fortelles det i rapporten at det ble funnet 144 millioner nye typer skadevare i fjor. Det tilsvarer 274 hvert minutt.
Nesten 30 prosent av filene var av .exe-typen, mens arkivformater som .zip og .jar utgjorde drøyt 16 prosent. Men stadig mer distribueres ifølge Check Point som Flash-filer, Office-dokumenter og PDF.
Rapporten tar ellers for seg ulike analyser av angrepsmetoder, hvem som angriper, de mest utnyttede sårbarhetene, mobilproblematikk og de faktiske kostnadene knyttet til datalekkasjer.
Undersøkelse: – Utpressingsvare har rammet to av fem virksomheter