KARTLEGGING AV IKT-SIKKERHET I NORSKE VIRKSOMHETER

Transkript

1 KARTLEGGING AV IKT-SIKKERHET I NORSKE VIRKSOMHETER i

2 SAMMENDRAG Det er gjort få undersøkelser i Norge som viser hva slags sikringstiltak som er gjennomført i norske virksomheter. Internasjonale undersøkelser innen IKTsikkerhet inkluderer som regel kun virksomheter med over 249 ansatte. BDO sikkerhetstjenester gjennomførte derfor i perioden mai til juni 2014 en spørreundersøkelse for å kartlegge hva slags forebyggende, detekterende og reagerende tiltak som er gjort for å beskytte egne verdier i norske virksomheter. Et tilgjengelig utvalg små, mellomstore og store virksomheter ble invitert til å delta i spørreundersøkelsen. 343 virksomheter, spredt over så godt som alle næringer og størrelsessegment i norsk næringsliv, avga svar innen den forhåndsbestemte fristen. Fra undersøkelsen vil vi trekke frem seks hovedobservasjoner: Avhengigheten til IKT er høy Det er lav bevissthet rundt verdien av informasjon Ni av ti virksomheter har gjort forebyggende tiltak for å motvirke angrep. I forhold til hvilke tiltak som er innført så er variasjonen stor Fire av fem virksomheter tror ikke de har blitt/blir utsatt for angrepsforsøk Halvparten av virksomhetene har ikke slått på aktivitetslogging og har derfor ingen mulighet til å oppdage, verifisere eller kunne fastslå et eventuellt skadeomfang av et angrep Veldig få av virksomhetene har en plan for håndtering av IKTsikkerhetshendelser Observasjonene viser at de fleste virksomhetene har et stykke å gå med sikkerhetsarbeidet, men samtidig at sikkerheten kan heves betraktlig gjennom relativt enkle og rimelige forebyggende, detekterende og reagerende tiltak. ii

3 INNHOLD Innledning 1 Om undersøkelsen 2 Presentasjon av resultater 3 Vedlegg A: Spørsmål og svar iii

4 INNLEDNING Norsk næringsliv er svært variert med tanke på type virksomhet, omsetningstall og antall ansatte. Omfanget strekker seg fra enkeltmannsforetak til store, globale selskaper med over ti tusen ansatte og en rekke underleverandører. Det vil derfor være store variasjoner når det kommer til størrelsen på virksomhetens IKTsikkerhetsbudsjett. I tillegg til omsetningstall og antall ansatte er det mange andre faktorer som påvirker budsjettet. Blant annet vil hvilken bransje virksomheten opererer innenfor, hva slags interne og eksterne verdier virksomheten forvalter og hvilken eksponering de har mot internett være avgjørende hva gjelder størrelsen på IKT-sikkerhetsbudsjettet. Det er nærliggende å anta at gjennomsnittsbudsjettet er relativt lavt i norske kroner, da små og mellomstore bedrifter (SMB) er overrepresentert i norsk næringsliv. Det kan ikke forventes og er ikke økonomisk forsvarlig at mindre virksomheter, eller virksomheter med lavere sikringsbehov investerer store summer i IKT-sikkerhet. Det er likevel viktig at selv enkeltmannsforetak har et forhold til IKT-sikkerhet og har gjennomført et minimum av vurderinger og innført tiltak for å beskytte seg deretter. Det er gjort få undersøkelser i Norge som viser hva slags sikringstiltak som er gjennomført i norske virksomheter. Internasjonale undersøkelser innen IKTsikkerhet inkluderer som regel kun virksomheter med over 249 ansatte. BDO sikkerhetstjenester gjennomførte derfor i perioden mai til juni 2014 en spørreundersøkelse for å kartlegge hva slags forebyggende, detekterende og reagerende tiltak som er gjort for å beskytte egne verdier i norske virksomheter. Ta ansvar - Det kan være enkelt å tenke at min virksomhet ikke blir ikke rammet, eller at vi ikke har noen verdier, men realiteten er at alle IKT-baserte virksomheter er utsatt, alle innehar verdier og at alle har et samfunnsansvar. Noen eksempler på verdier i din IKT-baserte virksomhet og hvordan de kan misbrukes: En datamaskin sin datakraft er verdifull. En kriminell med kontroll over et stort antall datamaskiner kan forårsake store økonomiske tap for enkelt virksomheter gjennom for eksempel distribuert tjenestenektangrep. Datamaskinens oppbevaringsplass er verdifull. Her kan en krinimell for eksempel oppbevare barneporno for å minske sin egen risiko for å bli tatt. Tilganger er verdifulle. Tilganger kan fungere som et springbrett/brohode for en kriminell til å komme seg dit han vil; om dette tar et eller flere «hopp». Informasjon er verdifull. For det meste av informasjon finnes det som regel alltid en kjøper, om ikke den kriminelle har direkte interesser. 1

5 OM UNDERSØKELSEN Et tilgjengelig utvalg små, mellomstore og store virksomheter 1 ble invitert til å delta i spørreundersøkelsen. I utsendte invitasjoner ble virksomhetene informert om at utfylling av undersøkelsen vil ta ca. 10 minutter og at den kunne besvares anonymt. Virksomhetene ble i tillegg oppfordret til å la en ansatt med innsikt og kunnskap på IKT-området svare. Utvalget mottok invitasjonene i begynnelsen av mai og ble påminnet etter 14 dager. 343 virksomheter avga svar innen den forhåndsbestemte fristen som var 6. juni Disse 343 virksomhetene sin prosentvise fordeling etter næring og antall ansatte kan ses av Figur 1 og 2, hvor Statistisk Sentralbyrå (SSB) sine standardverdier er brukt 2. Varehandel Vannforsyning, avløps- og renovasjonsvirksomhet Undervisning Transport og lagring Overnattings- og serveringsvirksomhet Omsetning og drift av fast eiendom Kulturell virksomhet, underholdning og Jordbruk, skogbruk og fiske Informasjon og kommunikasjon Industriproduksjon 0,87% 3,50% 3,21% 2,33% 8,16% 4,37% 2,62% 4,08% 6,71% 13,70% Figurene viser at så godt som alle næringer 3 og størrelsessegmenter i norsk næringsliv er representert i denne undersøkelsen. Spørreundersøkelsen bestod av minimum 10 og maksimum 20 spørsmål. Det totale antallet spørsmål en kandidat måtte besvare var avhengig av hva kandidaten svarte. For eksempel, hvis kandidaten svarte at de ikke har en plan for håndtering av hendelser, så ble ikke kandidaten videre spurt om denne planen blir oppdatert jevnlig. Disse spørsmålene omhandlet følgende områder: Helse og sosialtjenester Forretningsmessig tjenesteyting Finansierings- og forsikringsvirksomhet Faglig, vitenskapelig og teknisk tjenesteyting Elektrisitets-, gass-, dampog varmtvannsforsyning Bygge- og anleggsvirksomhet Bergverksdrift og utvinning Annen tjenesteyting 3,21% 6,41% 2,04% 4,96% 0,58% 0,58% 15,45% 17,20% Demografi Figur 1: Prosentvis fordeling etter næring Avhengighet til IKT og verdien av informasjon Over 249 ansatte 2,62% IKT-sikkerhetshendelser ansatte 3,21% Forebygging av IKTsikkerhetshendelser ansatte ansatte 6,12% 15,45% Deteksjon av IKT-sikkerhetshendelser ansatte 18,66% Håndtering av IKT-sikkerhetshendelser 5-9 ansatte 1-4 ansatte 18,08% 24,49% 1 Små; inntil 20 ansatte, mellomstore; mellom 20 og 100 ansatte, store; over 100 ansatte Norsk standard for næringsgruppering (SN2007) Ingen 11,37% Figur 2: Prosentvis fordeling etter antall ansatte 2

6 PRESENTASJON AV RESULTATER I dette kapittelet vil de mest oppsiktsvekkende og interessante funnene fra denne undersøkelsen bli presentert. Nesten alle spørsmål stilt, og svar gitt, kan ses i Vedlegg A. Avhengigheten til IKT er høy Samfunnet generelt, og norske virksomheter spesielt, har det siste tiåret tatt i bruk stadig mer informasjons- og kommunikasjonsteknologi (IKT). Samtidig har avhengigheten til IKT økt betydelig. Denne avhengigheten kommer tydelig frem i undersøkelsen, hvor en tredjedel av virksomhetene har svart at nedetid i IKT-systemer på over 3 timer kan være kritisk i forhold til deres utøvelse av kjernevirksomheten. To tredjedeler har svart at nedetid på over 24 timer kan være kritisk, og kun 3,8 % at nedetid, uansett varighet, aldri vil være kritisk. Lav bevissthet rundt verdien av informasjon Den kraftige økningen i bruk av IKT har medført omfattende digitaliseringen av informasjon. Det er i dag naturlig å anta at alle norske virksomheter med en eller flere ansatte forvalter personopplysninger, og at disse er lagret i elektronisk form. I vår undersøkelse svarte kun 50 % av virksomhetene med en eller flere ansatte ja til at de forvalter personopplysninger i elektronisk form. Videre svarte kun 46 % av de samme virksomhetene ja til at de forvalter informasjon som kan medføre tap for virksomheten hvis den kommer på avveie. Med tanke på at tap av personopplysninger potensielt kan medføre økonomiske konsekvenser i form av bøter og/eller omdømmetap, burde dette siste tallet ha vært minst like høyt som det forrige. Denne observasjonen, samt tallenes størrelse indikerer en manglende bevissthet blant virksomhetene rundt verdien av informasjonen de besitter. Ni av ti virksomheter har gjort forebyggende tiltak Av respondentene svarte 90 % ja på spørsmålet «Har din virksomhet gjort tiltak for å forebygge IKT-sikkerhetshendelser?». Dette er en veldig høy andel og et tall som tyder på at bevisstheten rundt forebyggende IKT-sikkerhet er høy i norske virksomheter. Undersøkelsen stilte videre spørsmål rundt hvilke forebyggende tiltak som er innført. Ikke overraskende svarte flest antivirus, tett etterfulgt av back-up. Mer overraskende var det at kun 7,6 % av virksomhetene krypterer informasjon på mobile enheter og at kun 45,8 % har en passordpolicy. Figur 3 viser hvilke tiltak vi forespurte om, samt prosentandelen av virksomhetene som har svart at de har innført de forskjellige tiltakene. 9,6 % 77,3 % 40,2 % 76,7 % 7,0 % 14,0 % 29,7 % 66,8 % 19,5 % 9,6 % 7,6 % 45,8 % 17,8 % 62,1 % 19,2 % 17,2 % 67,1 % Ansatt i rollen som sikkerhetsansvarlig 2 - Antivirus/-malware løsninger 3 - Automatisk utlogging etter en viss tid med inaktivitet 4 - Back-up 5 - Data Loss Prevention (DLP) system 6 - Formell og kommunisert policy for informasjonssikkerhet 7 - Jevnlig gjennomgang av brukertilganger 8 - Jevnlig oppdatering av programvare 9 - Jevnlige sikkerhetsrevisjoner/-gjennomganger 10 - Konfigurasjon- og endringshåndteringsprosess 11 - Kryptering av informasjon på mobile enheter 12 - Passordpolicy 13 - Prosedyre for sikker avhending av media 14 - Proxy, brannmur el Segmentering av nettverk 16 - Sikkerhetstrening og -bevisstgjøring av ansatte 17 - Tilgangskontroll Figur 3 Prosentandelen av de 343 virksomhetene som har innført forskjellige tiltak 3

7 Fire av fem virksomheter tror ikke de har blitt/blir angrepet Siste måling fra SANS Internet Storm Center 4 viser at det gjennomsnittlig tar fire minutter fra en ubeskyttet Windows-maskin blir tilkoblet internett, til den blir angrepet og infisert. Dette antyder at angrepsforsøk over Internett er ganske vanlig, noe som understøttes av flere nasjonale og internasjonale rapporter. Man skulle derfor tro at de fleste norske virksomheter har vært utsatt for et eller flere angrepsforsøk i løpet av de siste to årene. Til tross for dette har kun 10 % av virksomhetene i denne undersøkelsen svart at de har vært utsatt for en eller flere IKT-sikkerhetshendelser i løpet av de siste to årene. Dette tyder på at tap av potensielt store mengder informasjon har gått upåaktet hen og at skadevirkningene av dette er ukjent. Definisjon på IKT-sikkerhetshendelse gitt i denne spørreundersøkelsen: Enhver hendelse hvor en aktør har forsøkt og eventuelt lyktes i å kompromittere virksomhetens sikkerhet ved hjelp av informasjons- og kommunikasjonsteknologi (IKT). Virksomhetens sikkerhet vil si beskyttelse av: Konfidensialitet - Slik at informasjonen ikke blir gjort kjent for uautoriserte Integritet - Slik at informasjon ikke utilsiktet blir endret Tilgjengelighet Slik at autoriserte brukere til enhver tid har tilgang til informasjonen Halvparten har ikke mulighet til å oppdage dataangrep Omtrent halvparten av virksomhetene har svart at de ikke har en form for overvåkning av nettverk og systemer, og dermed ingen mulighet til å oppdage dataangrep. Dette forklarer til dels den høye prosenten som har svart at de ikke har vært utsatt for en eller flere IKT-sikkerhetshendelser i løpet av de siste to årene. Kostnaden forbundet med å ha en oppdagende kapasitet kan sies å være en funksjon av hvor tidlig man ønsker å kunne oppdage et angrep; desto tidligere, desto høyere kostand. Å slå på aktivitetslogging regnes for å være det billigste og enkleste tiltaket for å oppnå en detekterende kapasitet. I denne undersøkelsen svarte virksomhetene, utsatt for en flere IKT-hendelser i løpet av de siste to årene, at omtrent en tredjedel av hendelsene ble oppdaget som et resultat av varsel mottatt fra en tredjepart. Uten aktivitetslogger ville en mottaker av et sånt varsel for det første ikke være i stand til å verifisere hendelsen. For det andre kunne de ikke fastslå skadeomfanget av den potensielle hendelsen. Veldig få er forberedt Ved å være forberedt er sannsynlighet større for at man lykkes i å redusere konsekvensen av en eventuelt alvorlig IKTsikkerhetshendelse. Da først og fremst gjennom rask og riktig respons. Første del av enhver forberedelse er planlegging. Kun 14 % av virksomhetene har svart at de har en formell plan for håndtering av IKTsikkerhetshendelser. Et veldig lavt tall. På spørsmål om roller og arbeidsoppgaver er oppgått i forhold til håndtering av hendelser svarte 30 % ja. Dette kan tyde på at flere enn de initielle 14 prosentene har gjort forberedelser, men det er trolig ingen overdrivelse å si at under halvparten av virksomhetene ikke har gjort noen form for 4 4

8 forberedelser. På den positive siden har nesten alle virksomhetene som har oppgitt at de har en plan, svart at planen blir testet og oppdatert. Lite som skal til Ut i fra observasjonene vi har påpekt i denne undersøkelsen kan det trekkes to hovedkonklusjoner: 1. Det store flertallet av virksomhetene har et godt stykke å gå med sikkerhetsarbeidet. 2. IKT-sikkerheten i virksomhetene kan heves betraktelig gjennom relativt enkle og billige forebyggende, detekterende og reagerende tiltak. 5

9 VEDLEGG A: SPØRSMÅL OG SVAR Spørsmål Side 1 av 6 Demografi 1. Hvilket bransjesegment opererer din virksomhet primært innen? 1

10 1

11 2. Omtrent hvor mange ansatte er det totalt i din virksomhet? 2

12 Spørsmål Side 2 av 6 Avhengighet til IKT og verdien av informasjon 3. Etter hvor lang tid omtrent vil nedetid i IKT-systemer være kritisk for din virksomhet i forhold til utøvelse av kjernevirksomheten (se for deg verst tenkelig scenario; spesielle dager og/eller systemer)? 3

13 4. Forvalter din virksomhet informasjon i elektronisk format som tilhører en eller flere av følgende kategorier? Velg alle som gjelder. 4

14 Spørsmål Side 3 av 6 IKT-sikkerhetshendelser Les igjennom definisjonen av IKT-sikkerhetshendelse under og svar på spørsmålet nederst. Enhver hendelse hvor en aktør har forsøkt og eventuelt lyktes i å kompromittere virksomhetens sikkerhet ved hjelp av informasjons- og kommunikasjonsteknologi (IKT). Virksomhetens sikkerhet vil si beskyttelse av: Konfidensialitet - Slik at informasjonen ikke blir gjort kjent for uautoriserte Integritet - Slik at informasjon ikke utilsiktet blir endret Tilgjengelighet Slik at autoriserte brukere til enhver tid har tilgang til informasjonen 5. Har din virksomhet vært utsatt for en eller flere IKT-sikkerhetshendelser i løpet av de siste to årene? 5

15 Oppfølgingsspørsmål Side 3 av 6 IKT-sikkerhetshendelser 6. Hvordan ble denne eller disse IKT-sikkerhetshendelsene oppdaget? Velg alle som gjelder. 6

16 7. Kompromitterte denne eller disse IKT-sikkerhetshendelsene virksomhetens sikkerhet og hvis ja, hvilket område ble kompromittert? Velg alle som gjelder. 7

17 Spørsmål Side 4 av 6 Forebygging av IKT-sikkerhetshendelser 8. Har din virksomhet gjort tiltak for å forebygge IKT-sikkerhetshendelser (herunder for eksempel installert antivirus, gjennomført opplæring/bevisstgjøring eller utarbeidet retningslinjer)? 8

18 Oppfølgingsspørsmål Side 4 av 6 Forebygging av IKT-sikkerhetshendelser 9. Er forebyggende tiltak i din virksomhet innført på bakgrunn av en eller flere risiko- og sårbarhetsvurderinger? 9

19 10. Hvilke av følgende forebyggende tiltak er innført i din virksomhet? Velg alle som gjelder. 10

20 Spørsmål - Side 5 av 6 Deteksjon av IKT-sikkerhetshendelser 11. Har din virksomhet en form for overvåking av nettverk og systemer for å kunne oppdage IKTsikkerhetshendelser (herunder for eksempel at aktivitet blir logget, at mistenkelig aktivitet blir varslet og at varsler blir fulgt opp)? 11

21 Oppfølgingsspørsmål - Side 5 av 6 Deteksjon av IKT-sikkerhetshendelser 12. Hvor befinner denne overvåkingskapasiteten seg og hvem bemanner den? 12

22 13. Hvor mange årsverk inngår i denne kapasiteten? 13

23 14. I hvor stor grad har du tillit til at denne overvåkingskapasiteten vil kunne oppdage en IKTsikkerhetshendelse? 14

24 Spørsmål - Side 6 av 6 Håndtering av IKT-sikkerhetshendelser 15. Har din virksomhet en formell plan for håndtering av IKT-sikkerhetshendelser? 15

25 16. Har din virksomhet et fast team som håndterer IKT-sikkerhetshendelser, herunder at alle roller og arbeidsoppgaver ved håndtering av hendelser er oppgått og definert? 16

26 17. Har din virksomhet inngått en avtale med en eller flere av følgende, som en del av forberedelsene rundt det å kunne håndtere en IKT-sikkerhetshendelse? Velg alle som gjelder. 17

27 Oppfølgingsspørsmål - Side 6 av 6 Håndtering av IKT-sikkerhetshendelser 18. Blir planen for håndtering av IKT-sikkerhetshendelser testet og oppdatert jevnlig? 18

28 19. I hvor stor grad har du tillit til at hendelseshåndteringsteamet vil kunne håndtere en IKTsikkerhetshendelse på en tilfredsstillende måte? 19

29 20