IT-sikkerhet i norske bedrifter

Undersøkelse: Hver fjerde norske bedrift gjør ingenting for å beskytte seg mot IT-angrep

Bekymringsverdig, mener både forsikringsselskap og Nasjonal sikkerhetsmyndighet.

Mange norske bedrifter gjemmer hodet i sanden og håper at alvorlige IT-sikkerhetsproblemer ikke oppstår, selv om de ofte vet at sikkerheten ikke er helt på stell. Dette viser også denne undersøkelsen.
Mange norske bedrifter gjemmer hodet i sanden og håper at alvorlige IT-sikkerhetsproblemer ikke oppstår, selv om de ofte vet at sikkerheten ikke er helt på stell. Dette viser også denne undersøkelsen. (Illustrasjonsfoto: Colourbox/Elnur Amikishiyev)
EKSTRA

Bekymringsverdig, mener både forsikringsselskap og Nasjonal sikkerhetsmyndighet.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

I en undersøkelse gjort av YouGov i januar i år på vegne av Tryg Forsikring blant 300 personer med beslutningsansvar på arbeidsplassen innenfor områdene IT/edb/hardware/software/nettverk, går det fram at 26 prosent svarer at deres arbeidsplass ikke har iverksatt noen tiltak mot IT-angrep. 

Tar ikke sikkerheten på alvor

– Vi er bekymret over at norske bedrifter ikke tar datasikkerhet på alvor. Konsekvensene kan i verste fall bli konkurs for dem som rammes, sier Espen Opedal, direktør for Tryg i Norge, i en kommentar til digi.no. 

– Vi synes det er urovekkende at 26 prosent av de spurte oppgir at de ikke gjør noe for å beskytte seg mot angrep. Særlig når vi vet at helt enkle tiltak som regelmessige passordbytter, to-faktor autentisering og oppdatert programvare, er tilstrekkelig for å stoppe inntrengningsforsøk, sier Opedal videre.

Espen Opedal, administrerende direktør i Tryg Forsikring.
Espen Opedal, administrerende direktør i Tryg Forsikring, mener det er urovekkende at så mange bedrifter oppgir at de ikke gjør noe for å beskytte seg mot IT-angrep. Foto: Tryg Forsikring

38 prosent oppgir at de har iverksatt tiltak i egen regi, mens 32 prosent oppgir at de har kjøpt programvare eller tjenester fra ekstern leverandør. 

Stor forskjell på bransjene

Bransjene «jordbruk, skogbruk og fiske», «varehandel/reparasjon av motorvogner», samt «personlig tjenesteyting» markerer seg spesielt negativt, da under 50 prosent av disse virksomhetene har gjort tiltak for å hindre angrep på IT-systemene.

I motsatt ende av skalaen er bransjen «vannforsyning, avløp og renovasjon», hvor samtlige oppgir at de har gjort slike tiltak. Også bransjen «faglig, vitenskapelig og teknisk tjenesteyting» scorer høyt. 93 prosent av bedriftene i denne bransjen har gjort slike tiltak.

Tallene viser at størrelsen på bedriften har stor betydning for svarene. Jo større bedrift, desto flere har gjort tiltak. Det er likevel ti prosent av bedriftene med over 200 ansatte, som oppgir at de ikke har gjort noen tiltak.

Skjermbilde av regneark som viser hvor mange i hver bransje som oppgir at de har gjort tiltak mot kyberangrep.
Tabellen viser hvor mange i hver bransje som oppgir at de har gjort tiltak mot cyberangrep. Klikk på bildet for å se det i full størrelse. Illustrasjon: YouGov/Tryg Forsikring

Enkle, men effektive tiltak

Digi.no har også bedt Nasjonal sikkerhetsmyndighet (NSM) kommentere resultatene i undersøkelsen. 

– Vi ser med interesse på tallene i denne undersøkelsen. At 26 prosent av deltakerne ikke har gjort noe for å beskytte seg mot dataangrep er selvfølgelig et tall vi mener er for høyt, selv om det også betyr at tre av fire virksomheter har gjort noe, sier Bente Hoff, fungerende avdelingsdirektør cybersikkerhet i NSM i en uttalelse til digi.no.

Portrettbilde av Bente Hoff, fungerende avdelingsdirektør cybersikkerhet i NSM.
Bente Hoff i NSM er ikke overrasket over tallene i undersøkelsen. Bilde:  NSM

– Vi ser at forholdsvis enkle tiltak kan stoppe en stor andel av dataangrep, noe vi også har anbefalt i flere år. At enkelte bransjer skiller seg ut, er ikke overraskende, og kan tyde på at det tar tid for en digital modningsprosess å nå gjennom hele spekteret av bransjer.

Minst halvparten angrepet

De 300 beslutningstakerne ble også spurt om deres bedrift var blitt utsatt for «cyberangrep» i 2018. 40 prosent svarte «nei» på dette, mens 8 prosent svarte «vet ikke». De øvrige svarte at de var blitt utsatt for én eller flere typer angrep. 

32 prosent oppga at de var blitt utsatt for phishing-epost, altså forsøk på å lure mottakeren til klikke på ondsinnede lenker. 16 prosent oppga at de var blitt utsatt for ransomware, også kalt løsepengevirus. 12 prosent var blitt utsatt for direktørsvindel, mens til sammen 14 prosent var blitt utsatt for andre typer angrep. 

Bransjeforskjeller også her

Bransjene «finansiering og forsikring» og «undervisning», de som ifølge undersøkelsen er minst utsatt for phishing, med andeler på 18 til 20 prosent. I motsatt ende av skalaen finner vi bransjen «omsetning og drift av fast eiendom», hvor 60 prosent av respondentene oppgir at de har blitt utsatt for phishing. Like bak følger bransjen «transport og lagring» med 56 prosent. 

Skjermbilde av regneark som viser hvor mange i hver bransje som oppgir at de opplevde kyberangrep i 2018.
Tabellen viser hvor mange i hver bransje som oppgir at de opplevde kyberangrep i 2018. Klikk på bildet for å se det i full størrelse.  Illustrasjon: YouGov/Tryg Forsikring

To av de tre respondentene innen bransjen «vannforsyning, avløp og renovasjon» oppgir at de var vært utsatt for ransomware. Det har derimot ingen av de 21 respondentene i bransjen «bygge- og anleggsvirksomhet». Det samme gjelder også flere av de andre bransjene. 

Det er bare to representanter for bransjen «bergverksdrift og utvinning» som har svart på undersøkelsen. Begge oppgir at de har blitt utsatt for direktørsvindel («CEO fraud»). Dette er en langt høyere andel enn i de øvrige bransjene. Den bransjen som kommer nærmest, er «finansiering og forsikring» med 30 prosent.

Større bedrifter mer rammet? 

Det er ingen entydig sammenheng mellom størrelsen på bedriftene og andelen som oppgir å ha blitt utsatt for phishing-epost. Den laveste andelen, 23 prosent,  er i virksomhetene med mellom 21 og 50 ansatte, mens den høyeste, 42 prosent, er blant de bedriftene med flere enn 200 ansatte. 

For ransomware og direktørsvindel er det derimot en veldig klar sammenheng mellom størrelsen og andelen som har opplevd dette. Blant virksomhetene med inntil 20 ansatte, er det maksimalt 10 prosent som har opplevd slike angrep. Andelen vokser helt klart med størrelsen på virksomheten og er på rundt 40 prosent hos de største bedriftene. 

Virker lavt

Digi.no har spurt Bente Hoff i NSM om ikke enkelte av disse tallene kan virke noe lave. 

– At en såpass liten andel av virksomheter oppgir at de har vært utsatt for forsøk på cyberangrep,  blant annet gjennom phishing, virker lavt, men gjenkjennbart fra andre spørreundersøkelser. Grunnene til dette skal vi ikke spekulere i, men hvis virksomhetene ikke oppdager forsøk på angrep eller vellykkede angrep, er dette bekymringsverdig. At det er et sprik mellom opplevd risiko og reelle tall, er noe vi erfarer og som også har vist seg i andre undersøkelser, deriblant Næringslivets sikkerhetsråds årlige Mørketallsundersøkelse, sier Hoff i en kommentar.

Angrepsforsikring

For forsikringsselskapet Tryg er det også interessant å se på hvor mange av bedriftene det er som har tegnet forsikring mot IT-angrep. 

Totalt er andelen 16 prosent. Bare 7 prosent av bedriftene med 1 til 5 ansatte har slik forsikring, mens andelen på 35 blant bedriftene med mer enn 200 ansatte. 

47 prosent av 48 respondentene som oppgir at deres bedrift har forsikring mot IT-angrep, oppgir at de har forsikringen hos enten Gjensidige, Sparebank1 og DNB. Seks prosent oppgir at de har slik forsikring hos Tryg. 

På spørsmål om NSM anbefaler virksomheter å ha slik forsikring, svarer Hoff at dette er noe virksomheten må vurdere selv. 

– NSM har ingen anbefaling verken for eller imot dette, avslutter hun.

Les også:  – Hendelsene vi har hatt, har vi stått for selv

Kommentarer (0)

Kommentarer (0)
Til toppen