Kunnskapsmangel svekker IT-sikkerheten

Feilforestillinger preger IT-sikkerheten i norske bedrifter, viser en Symantec-undersøkelse.

IT-sikkerhetsselskapet Symantec har gjennomført i undersøkelse om holdninger til sikkerhet i nordiske bedrifter. Undersøkelsen omfatter til sammen 180 bedrifter, 45 i hvert av landene Norge, Sverige, Danmark og Finland. Av de norske bedriftene i undersøkelsen har halvparten over 500 ansatte, fjerdeparten har mellom 50 og 500 ansatte, og resten er småbedrifter med under 50 ansatte.

Symantec mener norske bedrifter kommer forholdsvis dårlig ut. Kunnskapsmangel hos ledelsen slår ut i merkelige prioriteringer som selskapet spissformulerer slik: « …norske bedriftsledere er reddere for å miste frimerkekassa i resepsjonen enn kunderegister og reskontro på serveren.» To av tre norske bedrifter har lettere for å beslutte om fysisk sikkerhet enn om IT-sikkerhet.

Karakteristisk for norske bedrifter er kunnskapsmangel om omfanget av sikkerhetstrusselen mot IT-systemer. 49 prosent mener det vesentlig dreier seg om virus. I strid med en rekke undersøkelser som viser at IT-systemer er mest sårbare fra innsiden, vurderer bare to prosent av norske bedrifter udugelige ansatte som den største risikoen, og bare fem prosent er vare overfor misfornøyde ansatte. I Finland vurderer 22 prosent av bedriftslederne «slurvete eller udugelige ansatte» som den største trusselen.

To andre momenter i undersøkelsen framhever norske bedrifters feiloppfatning av hva IT-sikkerhet går ut på. Generelt sett anbefales at IT-sikkerhet bygges inn i IT-prosjekter fra starten av. I Finland følger 89 prosent av bedriftene opp denne regelen. I Norge er det bare 47 prosent som gjør det. Det er også anbefalt at en i ledergruppen har ansvaret for IT-sikkerheten. Dette er tilfellet i bare 38 prosent av norske bedrifter.

Et viktig spørsmål i undersøkelsen var om bedriften har vært hacket eller forsøkt hacket det siste året. Fra Sverige, Danmark og Finland svarte henholdsvis 60 prosent, 51 prosent og 62 prosent ja. Fra Norge kom det bare 22 prosent ja. Med tanke på de øvrige oppfatningene som undersøkelsen avdekker hos norske bedrifter, er det grunn til å anta at denne lave andelen ikke hviler på solid kunnskap, men på at man er uvitende til og med om at man ikke har noe grunnlag for å si noe som helst. Når 36 prosent sier bedriften måler IT-sikkerheten, mot gjennomsnittlig 41 prosent i de andre landene, er det grunn til å ta også det svaret med en klype salt.

I pressemeldingen sendt ut sammen med undersøkelsen, trøster Symantec seg med at andelen norske bedrifter som vurderer å tjenesteutsette hele eller deler av IT-sikkerheten, er hele 38 prosent. Dette kan bare delvis tolkes som en erkjennelsen av manglende kunnskap, siden gjennomsnittet for de andre landene er 41 prosent. Det er nok heller økonomiske vurderinger som ligger til grunn. Symantec slår da også fast at lave budsjetter er en vesentlig årsak til at norske bedrifters IT-sikkerhet er på et så lavt nivå.

Til toppen