40 av 100 intervjuede beslutningstakere ved norske virksomheter med minst 500 ansatte, sier seg helt eller delvis enige i påstanden om at organisasjonen deres ville vurdert å betale løsepenger til en hacker framfor å investere penger i sikkerhet, fordi de mener det er billigere å betale løsepengene.
Dette går fram av en rapport Vanson Bourne har gjort på vegne av NTT Security blant 1800 beslutningstakere i USA, Storbritannia, Tyskland, Østerrike, Sveits, Frankrike, Benelux, Sverige, Norge, Hong Kong, Singapore og Australia i perioden februar og mars i år. Ingen av de 1800 jobber med IT-funksjoner.
– Sjokkerende
Det er kun i Tyskland og Østerrike at andelen er høyere, 41 prosent. Til sammenligning er det bare 21 prosent av de britiske beslutningstakerne som ville ha vurdert å betale løsepenger.
– Dette er ganske sjokkerende, sier Henrik Davidsson, nordisk salgssjef i NTT Security, til digi.no.
Han påpeker at veksten i angrep fra løsepengevirus økte med 350 prosent i fjor, og at det ikke er noen garanti for at angriperne holder løftene om å utlevere nøkkelen som kreves for å låse opp filene som har blitt kryptert i angrepet.
Davidsson mener dessuten at det øker risikoen for flere angrep, dersom man først betaler. I tillegg er man med på å finansiere organisert kriminalitet.
På spørsmål om hva som kan være årsaken til at så mange kan være villige til å betale løsepenger, svarer Davidsson at mange kanskje syns det er litt dyrt å betale for IT-sikkerhet.
– Det er et spørsmål om hvor mye risiko man er villig til å til å akseptere, sier han.
Omdømmetap
42 prosent av de norske beslutningstakerne tror at kundetilliten til deres virksomhet vil påvirkes negativt dersom virksomheten blir utsatt for databrudd. Hver tredje frykter skade på merkevare eller omdømme.
De norske virksomhetslederne forventer i snitt et inntektstap på 11,71 prosent som følge av databrudd. Dette er mer enn det samlede gjennomsnittet for alle landene, som er på 10,29 prosent.
Gjenoppretting
Davidsson syns det samtidig er ironisk at de norske beslutningstakerne samtidig er blant de aller mest optimistiske når det gjelder kostnadene ved gjenoppretting etter et databrudd.
For mens de norske beslutningstakerne i gjennomsnitt anslår kostnadene til å være 920 000 dollar, rundt 7,4 millioner kroner, ligger gjennomsnittet for alle landene på 1,52 millioner dollar, drøyt 12 millioner kroner. Bare beslutningstakerne i Hong Kong oppgir i gjennomsnitt en lavere sum.
Beslutningstakerne i Tyskland og Østerrike er de mest pessimistiske og anslår i gjennomsnitt kostnadene for gjenoppretting til å være 2,64 millioner dollar.
Når digi.no spør Davidsson om hva som kan være årsaken til at Norge her ligger så langt under gjennomsnittet, innrømmer han at han ikke har noe godt svar på dette.
Mangler planer
Hvor godt forberedt de norske virksomhetene er på slike hendelser, kan nok diskuteres. Bare 38 prosent av beslutningstakerne, som altså jobber i virksomheter med minst 500 ansatte, oppgir at virksomheten har en plan for hendelseshåndtering («incident response plan»).
Til sammenligning er andelen på 63 prosent i Storbritannia, som topper listen. Gjennomsnittet er 49 prosent.
Kun i Sverige er andelen lavere enn i Norge, 37 prosent.
– Nordiske selskaper tenker ofte at «dette ikke skjer meg», sier Davidsson om disse tallene.
Som et unntak nevner han danske Mærsk, som ble svært hardt rammet av NotPetya-skadevaren i fjor sommer, men som bare ti dager senere hadde fått alt opp på beina igjen.
– Mærsk var utrolig raske med å få «business back to usual». De har en veldig god prosess for hendelseshåndtering, avslutter Davidsson.