Deloitte publiserte onsdag sin sjette årlige gjennomgang av hvordan det står til med informasjonssikkerhet og personvern i verdens største banker og finansinstitusjoner: Sixth Annual Global Security Survey (pdf).
En hovedkonklusjon er at det har skjedd en klar framgang fra 2007 til 2008.
Deloitte opplyser at respondentene – som er anonyme – representerer 21 prosent av den samlede kapitalen til verdens 100 største banker og 100 største finansinstitusjoner, samt 14 prosent av den samlede markedsverdien til verdens 50 største forsikringsselskaper. 32 land er representert.
Undersøkelsen avdekker at tallet på datainnbrudd i bank, finans og forsikring har falt betydelig det siste året. Årsaken er ikke at datakriminelle har gitt opp, men at bedriftene er blitt mer sikkerhetsbevisste. Deres tilnærming er blitt mindre reaktiv og mer proaktiv, og toppledelsen er mer engasjert i IT-sikkerhet. Nord-Amerika er det geografiske området med størst andel finansinstitusjoner som har opplevd datainnbrudd. Også der er det klar nedgang, fra 78 prosent i 2007 til 51 prosent i 2008.
Finansinstitusjonene oppgir tre årsaker til datainnbrudd: ondsinnet kode (virus, ormer og så videre), e-postangrep og phishing.
Andelen som opplevde gjentatte innbrudd som følge av ondsinnet kode falt fra 43 prosent i 2007 til 15 prosent i 2008. Tilsvarende andeler for e-postangrep er 57 prosent i 2007 til 24 prosent i 2008, for phishing 38 prosent i 2007 til 7 prosent i 2008.
Felles for de tre oppgitte hovedårsakene til datainnbrudd, er at de spiller mer på det menneskelige enn på sårbar teknologi. Spørsmål om vurdering av forholdet mellom den menneskelige faktor og den teknologiske avdekker en interessant utvikling fra 2007 til 2008: Andelen som vektlegger det menneskelig mest har økt fra 79 prosent til 86 prosent. For teknologien er trenden motsatt: fra 73 prosent til 63 prosent.
Nedgangen i datainnbrudd gjenspeiler en omprioritering av sikkerhetsarbeidet i finansinstitusjonene. Respondentene ble bedt om å oppgi prioriterte områder innen informasjonssikkerhet. I 2007 var ikke rubrikken «verne om data og hindre lekkasjer av informasjon» blant de fem øverste på prioriteringslisten. I 2008 er den på andre plass, sammen med «kontroll av ID og tilgang». Det viktigste i 2008 er det som var nest viktigst i 2007: «overholdelse av offentlige påbud».
Andelen respondenter som sier de har et program for å sikre overholdelse av offentlige påbud, er redusert fra 77 prosent i 2007 til 48 prosent i 2008.
Det har sammenheng med at offentlige påbud ikke er statiske. Et nytt moment for globale finansinstitusjoner er for eksempel skjerpede krav til risikostyring, «enterprise risk management» eller «ERM». Som følge av finanskrisen bestemte Standard & Poor’s seg for å legge ERM inn som ny faktor i sine vurderinger av kredittverdighet. Det innebærer at IT-systemene må legge en ny dimensjon for sin rapportering om informasjonssikkerhet.
_logo.svg.png){kind=logo}
Betydningen av den menneskelige faktoren understrekes flere steder i rapporten. Deloitte advarer at krisen og den pågående nedbemanningen i finansinstitusjoner kan gi store utslag: Ansatte som er bekymret, misfornøyde eller overarbeidet utsetter IT-sikkerhet og personvern for større risiko.
Rapporten avdekker videre at finansinstitusjoner er teknologisk bedre rustet til å motstå eksterne angrep enn interne.
Mens 66 prosent sier de har «stor» eller «veldig stor» tillit til sin egen evne til å håndtere eksterne angrep, er den tilsvarende andelen bare 36 prosent overfor interne angrep. De fleste også svarer at de frykter interne angrep langt mer enn eksterne.
En endring i prioriteringen av sikkerhetshensyn gjenspeiler økt frykt for den menneskelige faktoren: «Forbedring av infrastrukturen for IT-sikkerhet» er havnet på topp 5-listen for første gang. Rapporten viser til et tilfelle der en «admin» for fibernettet i en større amerikansk by skal ha kapret hele nettverket, og nektet å gi fra seg kontrollen før han fikk innfridd sine krav.
Respondentene oppgir at den største hindringen mot bedre informasjonssikkerhet er begrensede budsjetter og ressursmangel.
Deloitte mener det gjenspeiler en positiv utvikling. I tidligere år har mangel på støtte i toppledelsen blitt oppgitt som den viktigste hindringen. I 2008 er det bare 15 prosent som oppfatter situasjonen slik. At IT-sikkerhet møter de samme problemene som IT ellers betrakter Deloitte som et skritt i riktig retning.
Problemet med ID-tyverier ble ikke mindre fra 2007 til 2008.
Deloitte mener det er et lyspunkt at kommunikasjonen mellom bedrifter, forbrukere og myndigheter er blitt bedre på dette punktet, og at det er en bedre forståelse for årsaker til ID-tyverier og hvordan de kan reduseres. Respondentene melder at systemer for å overvåke sikkerhetslogger og håndtere unormale hendelser er blant nøkkelteknologiene som skal testes på bred basis det kommende året.
Bedringen av finansinstitusjonenes teknologiske beredskap gjenspeiles i at færre mener at økende teknologiske ferdigheter blant datakriminelle utgjør en vesentlig hindring mot informasjonssikkerhet. Andelen er 38 prosent i 2008 mot 49 prosent i 2007.
Et annet mål som peker i samme retning er at respondentene er selv blitt mer fortrolige med moderne teknologier. I 2008 oppgir 27 prosent av respondentene at de betrakter nye teknologier som en hindring, mot 36 prosent i 2007.
Observasjoner i rapporten tyder på at denne fortroligheten ikke nødvendigvis strekker seg til tillit til brukerne.
De fleste finansinstitusjonene forbyr sine ansatte å bruke moderne sosiale verktøy som Facebook og blogger (53 prosent) samt lynmeldinger (58 prosent). Til og med trådløse lokalnett (WLAN) er bannlyst hos 55 prosent. Mobile lagringsenheter er forbudt i 27 prosent av verdens finansinstitusjoner.
Emea (Europa, Midtøsten og Afrika) er den regionen som er mest sikker på at de har den nødvendige kompetansen og ressursene til å håndtere utfordringer innen informasjonssikkerhet.
På den andre siden er bare 64 prosent av de ansatte kurset innen sikkerhet og personvern det siste året. Alle andre regioner har høyere andel.
Et annet urovekkende trekk ved Emea er at andelen finansinstitusjoner som føler at de har tilstrekkelig ressurser til å overholde alle offentlige påbud innen sikkerhet og personvern bare 56 prosent. Dette er lavere enn alle andre regioner i undersøkelsen – Nord-Amerika, Asia, Japan og Latin-Amerika – og også betydelig lavere enn andelen på 77 prosent i 2007.
Finansinstitusjoner skal helst ha formelle prosedyrer for dokumentasjon og vedtak av strategi for informasjonssikkerhet. Andelen som fyller dette kravet i Emea er 64 prosent. Det er i tråd med det globale gjennomsnittet på 61 prosent. Deloitte er likevel betenkt, i og med at institusjonene i Emea er blitt spesielt kritiske for den globale bransjen. De 27 EU-landene står for over 50 prosent av verdens samlede eksport av finanstjenester. Emea burde følgelig vært ledende på dette punktet.
Utviklere er de siste årene blitt innprentet med at sikkerhet og personvern ikke skal komme som ettertanke, men være et vesentlig hensyn gjennom hele utviklingsprosessen. Andelen finansinstitusjoner i Emea som bekrefter at de praktiserer dette prinsippet, er 26 prosent i 2008, mot 33 prosent i 2007. Bare 32 prosent er villig til å beskrive sine direktiver for sikkerhet i applikasjonsutvikling som «veldefinerte og praktiske». Dette er på nivå med Nord Amerika, men lavere inn det globale snittet på 35 prosent.
Les også:
- [12.07.2009] Finn.no misbrukes til ID-fisking
- [02.06.2009] IT snudde liten boble til blodig krise
- [23.02.2009] - Staten må inn mot ID-tyveriene
- [11.02.2009] Finansakrobater overvåkes digitalt
- [02.02.2009] Spill på fremmedhat etter datasabotasje
- [30.01.2009] IT-sabotasje mot amerikansk storbank
- [02.01.2009] Sertifiserte nettsteder kan forfalskes
- [23.12.2008] Advarer mot storm av fiendlige dataangrep
