Falsk IT-trygghet i norske småbedrifter

Symantecs undersøkelser av IT-sikkerhet i norske småbedrifter viser at de lever i en falsk følelse av trygghet, sier Henrik Vaage.

IT-sikkerhetselskapet Symantec har gjennomført en undersøkelse blant nordiske småbedrifter for å kartlegge holdninger og praksis med hensyn til sikring av digital informasjon og vern mot kjente dataplager som hacking og fiendtlig kode. Undersøkelsen avdekker et avvik mellom praksis og oppgitte holdninger. Inntrykket er følgelig at svært mange småbedrifter, også i Norge, er ytterst sårbare for ulike typer angrep utenfra.

– Det er nærmere 1,7 millioner bedrifter med opptil 100 ansatte i Norge, Sverige, Danmark og Finland, sier daglig leder Henrik Amundsen Vaage i Symantec Norge. – Det nordiske markedet er et typisk småbedriftsmarked, og IT-sikkerheten blant dem gjenspeiler IT-sikkerheten i hele samfunnet.

Undersøkelsen er gjennomført ved telefonintervjuer av over 800 bedrifter, som oftest representert av en utpekt IT-ansvarlig, og ellers av administrerende direktør. I Norge er 200 bedrifter med på undersøkelsen. Vaage mener de samlede resultatene er representative for tilstanden i Norge.

– Internett spiller en langt større rolle for småbedriftene i Norden enn for bare få år siden. Praktisk talt alle har internettilgang. 78 prosent har egen nettside. Over 40 prosent sier at de er avhengige eller svært avhengige av Internett i virksomheten sin.

Sikkerhetsbehovet understrekes ved at nesten 40 prosent oppgir at de har ansatte som arbeider hjemmefra eller er mobile.

– Småbedriftenes generelle oppfatning av trusselbildet stemmer ikke overens med virkeligheten. De oppfatter virus, ormer og trojanere som den største trusselen. Deretter kommer havarier, driftsforstyrrelser og sikkerhetshull. Forhold som eksperter av erfaring vet er de største truslene, nemlig interne rutiner og utro medarbeidere, betraktes som lite alvorlige.

Mens alle er på Internett, er fortsatt hver femte småbedrift uten virusvern, viser undersøkelsen.

– Det er en skremmende høy andel, mener Vaage. – Her har vi noe av kilden til de nærmest kontinuerlige angrepene av Klez og andre virus. Vi kan gå ut fra at nær sagt alle som ikke har virusvern, selv er smittet av virus og ormer, og bidrar til forsøkene på å smitte andre.

Et annet skremmende tall, ifølge Vaage, er andelen som har installert brannmur, bare 44 prosent. Derimot har 18 prosent av småbedriftene en eller annen form for snokvarsling. Dette er noenlunde på høyde med storbedriftene, der andelen er 20 prosent. 17 prosent av småbedriftene bruker VPN (virtuelt privat nettverk) eller andre former for kryptobasert vern. Det er en viss kontrast mellom disse tallene og andelen på 27 prosent som oppgir at de har vært utsatt for informasjonstap eller driftsstopp på grunn av datainnbrudd eller fiendtlig kode.

– Andelen skulle tilsi at flere beskyttet seg. På den andre siden kan vi anta at mange ikke vet at de er blitt angrepet eller tappet for informasjon, fordi de ikke har verktøy til å oppdage det.

Småbedrifter har, naturlig nok, et underskudd på kompetanse innen IT-sikkerhet. Undersøkelsen bekrefter at dette forholdet erkjennes, ved at 72 prosent tyr til ekstern kompetanse for råd når de skal kjøpe IT-sikkerhet. Men bare 38 prosent tyr til ekstern kompetanse for å håndtere den løpende driften av IT-sikkerheten. Det er noenlunde den samme andelen – 37 prosent – som oppgir at de har god eller meget god kontroll over IT-sikkerheten.

Symantec la inn noen spørsmål om bedriftenes regler for de ansattes bruk av IT-ressurser.

– Disse spørsmålene avdekket en selvmotsigelse. Halvparten oppga at de hadde regler. Men 70 prosent sa de hadde ingen regler for å begrense medarbeidernes bruk av Internett på arbeidsplassen. Og 64 prosent hadde ingen kriseplan om noe skulle skje i IT-miljøet.

Vaage sier uformelle stikkprøver blant IT-folk på sikkerhetsseminarer tyder på at bare mellom fem og ti prosent av bedriftene faktisk har skriftlige regler for sine medarbeideres IT-bruk.

– Alt i alt mener jeg undersøkelsen viser at den faktiske beskyttelsen blant småbedriftene er minimal, og at de lever i en falsk følelse av trygghet. De mangler kunnskap om sikkerhetsspørsmål, og de er svært avhengige av eksterne parter. De bør ta større ansvar for sin egen sikkerhet.

Symantec mener småbedriftene bør sjekke sin sikkerhet i forhold til fem punkter: disponible sikkerhetsverktøy, regler for IT-bruk, egen kompetanse, oppdatering av applikasjoner i samsvar med leverandørenes anbefalinger, og større bruk av eksterne tjenester for å ivareta den løpende IT-sikkerheten.

– Antivirus er ikke nok. De som driver egne servere, trenger også verktøy som hjelper dem til å avdekke sårbarheter og sikkerhetshull, og til å følge med i nødvendige oppgraderinger. Det oppdages stadig hull i utbredte produkter, og de fleste angrepene går gjennom kjente hull. Andre hjelpemidler er brannmur og snokvarslere. Det finnes tilbud som integrerer disse hjelpemidlene, og det finnes tilbud som leverer dem som tjenester. Applikasjonstilbydere ["ASP-ere"] er seg i økende grad bevisst behovene blant småbedriftene for å sette ut driftsansvaret for den løpende IT-sikkerheten, et område som amerikanerne gjerne kaller "managed security services", avslutter Vaage.

Til toppen