Cyber Crime Survey 2017

Transkript

1 Norge og cybersikkerhet: Ledelsen har våknet, men evner de å holde tritt på utviklingen? Cyber Crime Survey 2017 Rundt to hundre bedriftsledere, IT-ledere og spesialister fra norske selskap har sett på ulike problemstillinger knyttet til cyberkriminalitet. De har tatt stilling til utviklingen i trusselbildet og angitt hvordan og i hvilken grad de arbeider med utfordringene. 58% av de norske respondentene har vært utsatt for cyberangrep i løpet av det siste året. 55% av de norske respondentene har blitt utsatt for utpressing (f.eks. ransomware) i løpet av de siste 12 månedene. 66% av de norske respondentene mener at de i fremtiden må endre sine rutiner og prosedyrer for å tilpasse seg EUs nye personvernforordning.

2 Idar Kreutzer Adm. direktør, Finans Norge Finans Norge har sammen med PwC gjennomført en undersøkelse av cybercrime i Norge. Dette er et område som står høyt på agendaen til finansnæringen, og det jobbes målrettet med å redusere risiko og håndtere hendelser. Den norske finansnæringen har i en årrekke samarbeidet på sikkerhetsområdet, og det er etablert møteplasser, tekniske løsninger og felleseide selskap for å adressere risikoer, herunder FinansCERT, BankID og Bits. Finansnæringen deltar også på fellesarenaer som Næringslivets Sikkerhetsråd og Nasjonalt ID-senter, og støtter opp om initiativer for samarbeid og kompetanseheving på området, slik som Sikkerhetsmåneden Oktober. Som denne undersøkelsen viser, er det på ingen måte tid for å redusere innsatsen. Funnene stemmer godt overens med vår egen vurdering. For en finansnæring i stor endring - med økt bruk av mobilbetalinger, pålegg fra myndigheter om å åpne bankenes infrastruktur for tredjeparter gjennom PSD II og ny personvernforordning, så spiller cybersikkerhet en avgjørende rolle for virksomheters fortsatte suksess. Vi merker oss også at norske virksomheter i økende grad er bekymret for utviklingen på sikkerhetsområdet og at hele 57% er mer bekymret i 2016 enn de var i Denne økningen skyldes både utviklingen i trusselbildet, men også at økt kompetanse hever forståelsen for hvor viktig teknologi er for virksomheten og hvilke sårbarheter det kan innebære. Vi håper denne rapporten kan være en kilde til innsikt og gi økt forståelse for norske virksomheter innenfor og utenfor finansnæringen. Idar Kreutzer Adm. direktør Finans Norge 2 PwC s Cyber Crime Survey 2017

3 den største risikoen er at noen andre vil gjøre noe mot dem. Få nordmenn tror at det en selv gjør for informasjonssikkerhetens skyld har noen effekt på omgivelsene. Bjarte Malmedal NorSIS At datakriminalitet også rammer nordmenn og norske bedrifter er ikke lenger overraskende. Mørketallsundersøkelsen viser at over en fjerdedel av norske virksomheter har opplevd uønskede sikkerhetshendelser det siste året. Bekymringen for at slik kriminalitet skal ramme en selv er reell. NorSIS har i en omfattende studie kartlagt den norske informasjonssikkerhetskulturen. Våre meninger og handlinger er i stor grad påvirket av hva vi er bekymret for. For å utvikle motstandsdyktighet mot digitale trusler, må vi derfor vite mer om hva nordmenn frykter mest. Over halvparten av oss er bekymret for å bli utsatt for ID-tyveri eller at bank- og kredittkort skal bli misbrukt på nett. Litt over en tredjedel er bekymret for at de selv skal bli manipulert eller påvirket til å utlevere sensitiv informasjon. Nordmenn har stor tiltro til egne ferdigheter innen informasjonssikkerhet, men tror ikke at de rundt seg har like gode intensjoner som en selv. Kun en fjerdedel tror at de selv vil gjøre noe som utsetter dem for digital risiko, mens hele 68% tror at Frykt for datakriminalitet kan på noen områder gjøre at vi blir mer bevisste på digitale trusler, men når frykten er ubegrunnet kan det føre til store samfunnsmessige konsekvenser. Dersom frykten for å ta i bruk digitale løsninger og tjenester blir stor, vil det bli en motkraft til den digitale omstillingen Norge er inne i. Hele 44% av befolkningen forteller at de har valgt å avstå fra å bruke tjenester på nett på grunn av frykt for datakriminalitet. Det er helt avgjørende at aktørene i sikkerhetsbransjen utvikler ny kunnskap. Med sitt grundige og omfangsrike fokus, er PwCs Cyber Crime Survey med på å løfte blikket og øke bevisstheten på datakriminalitet som rammer norske virksomheter. Kunnskapen i rapporten muliggjør en bedre situasjonsforståelse, som igjen gjør at bedriftene kan utvikle tiltak som er hensiktsmessige for dem. NorSIS mener at åpenhet og samarbeid er et av de viktigste tiltakene for å redusere frykt og for å skape et næringsliv og en offentlig sektor som er motstandsdyktige mot digitale trusler. Gjennom å dele informasjon, legger virksomheten til rette for bistand til håndtering av hendelser. Åpenhet og deling av informasjon om hendelser og metoder for god sikkerhetspraksis, gir læring og rom for forebygging i egen virksomhet og hos andre. Bjarte Malmedal NorSIS PwC s Cyber Crime Survey

4 Innhold Cyber Crime Survey 2017 Introduksjon... 5 Trusselen fra cyberkriminalitet bekymrer mange, og flere rammes... 6 Organisert kriminalitet utgjør den største bekymringen... 7 Flere cyberangrep økte utgifter... 8 Ledelsen involveres i større grad og investeringer i IT-sikkerhet økes Sikkerhetsinvesteringer målrettet mot medarbeidere topper listen EUs nye personvernforordning Danmark et lignende bilde Om undersøkelsen Inspirasjon Få hjelp Er din bedrift forberedt? Ledelsen bør ta opp spørsmål om cybersikkerhet og stille følgende spørsmål: Er vårt sikkerhetsprogram skreddersydd for vår forretningsstrategi? Har vi de ferdigheter som trengs for å identifisere de strategiske trusler og potensielle angrep mot vår virksomhet? Kan vi forklare vår sikkerhetsstrategi til våre interessenter? Vet vi hvilke informasjon som er mest kritisk for virksomheten? Har virksomheten etablert gode kriseog beredskapsplaner for å håndtere cyberangrep? 4 PwC s Cyber Crime Survey 2017

5 Cyber Crime Survey 2017 Introduksjon Nye digitale forretningsmodeller utvikles, ny teknologi blir stadig mer aktuell og flere mennesker begynner å bruke big data for å forstå sine kunder bedre. I 2016 rangerte World Economic Forum Norge som verdens 4. mest digitaliserte land, og vi er på 18. plass i bruk av IT i offentlig forvaltning, opp seks plasser siden Økende digitalisering gjør cybersikkerhet mer aktuelt enn noensinne. PwC har i flere år gjennomført globale undersøkelser knyttet til cyberkriminalitet. Dette er første gang vi gjennomfører en undersøkelse i Norge spesielt, og andre året i Danmark. Vår undersøkelse viser positive tendenser. Eksempelvis i form av at ledelsen blir hyppigere oppdatert på cybertrusler, men undersøkelsen viser også en økende bekymring for cybertrusler sammenliknet med for 12 måneder siden. I tillegg er det en økning i virksomheter som rapporterer å ha blitt utsatt for cyberangrep i løpet av de siste 12 månedene. Til tross for at studien ikke indikerer større økonomiske tap, viser den derimot at mange rammes økonomisk. Å bli utsatt for angrep kan fort bli svært kostbart, og generelt er det et tydelig forbedringspotensial når det kommer til å forebygge, oppdage og håndtere cyber-hendelser. Årets undersøkelse viser en stor økning i andelen av selskaper som har blitt utsatt for utpressing, slik som ransomware, der filene blir kryptert og de kriminelle krever penger for å løslate dem. Det er en utfordring så vel som et behov for å øke bevisstheten blant ansatte for å forhindre slike angrep. At selskapene er blitt mer bevisst på utfordringen synliggjøres i PwCs Cyber Crime Survey Vi ser at mer enn halvparten - og så mye som 17 prosentpoeng mer enn i fjor - peker på bevisstgjøring som en av sine prioriteringer for investeringer knyttet til cybersikkerhet. I tillegg til at den digitale og teknologiske utviklingen har gjort cyber-trusler mer aktuelle enn noensinne, har den også bidratt til EUs nye personvernforordning som trer i kraft fra mai Kun halvparten av respondentene tror at sensitiv data deres virksomhet behandler vil være tilstrekkelig beskyttet om 18 måneder iht. gjeldende lovgivning. Det kan bety at flere risikerer store bøter dersom sikkerhetskravene ikke følges opp. En stor takk til alle de av våre kunder og samarbeidspartnere som svarte på PwCs Cyber Crime Survey 2017 riktig god lesing! PwC s Cyber Crime Survey

6 Trusselen fra cyberkriminalitet bekymrer mange, og flere rammes 57% av respondentene sier at de er mer opptatt av cybertrusselen nå enn de var for 12 måneder siden. Undersøkelsen viser at bekymringen er berettiget. Hele 58% av respondentene har vært utsatt for angrep eller hendelser relatert til cyberkriminalitet det siste regnskapsåret. 57% er mer bekymret for cybertrusselen nå enn for 12 måneder siden. 58% har vært utsatt for cyberkriminalitet siste regnskapsår. 6 PwC s Cyber Crime Survey 2017

7 Organisert kriminalitet utgjør den største bekymringen Respondentene mener følgende seks forhold vil utgjøre den største cybertrusselen mot dem i fremtiden: 2016 Organisert kriminalitet 50 % Ansattes handlinger 48 % (Ny svarmulighet) Hacktivister 36 % Ny teknologi 33 % Toppledelsens manglende forståelse 27 % Lover og regulatoriske krav 21 % PwC s Cyber Crime Survey

8 Flere cyberangrep økte kostnader Hele 58% av respondentene har vært ofre for hendelser eller angrep relatert til cyberkriminalitet de siste 12 månedene. Dette har resultert i økonomisk negative konsekvenser for selskapene. overstiger 1 million NOK. En tredjedel av respondentene har fått økte utgifter til granskning av sikkerhetshendelser samt utbedring og videreutvikling av forsvarstiltak og mekanismer. 41% svarer at de har vært utsatt for økonomiske konsekvenser for selskapet som følge av cyberangrep det siste året. En fjerdedel indikerer selv at kostnadene De økte kostnadene kan forklares med det faktum at vi ser en kraftig økning i antall cyberangrep, som for eksempel ransomware-angrep. 8 PwC s Cyber Crime Survey % har opplevd økonomiske konsekvenser for selskapet som følge av cyberangrep

9 55 % av respondentene har blitt utsatt for ransomware i 2016 Høyt antall ransomware-angrep Ved ransomware-angrep tas selskapsdata som gissel av angriperen ved at bedriftens data krypteres. Bedriften presses så for penger i bytte mot dekrypteringsnøkkel. I årets undersøkelse svarer så mange som 55% av respondentene at de har vært utsatt for ransomware-angrep i var også året for en voksende bølge av phishing- og utpressingsangrep via SMS og epost. Angriperne har eksempelvis forsøkt å få bank- og kredittkortopplysninger, BankID-kode, passord eller andre hemmeligheter ved å utgi seg for å være kjente selskap. Er dere rammet av ransomware? Vi anbefaler våre kunder å likestille angrepet med en sikkerhetshendelse og ikke en driftshendelse. Dette betyr at man umiddelbart bør kontakte sin sikkerhetsavdeling hvis det er mistanke om et angrep, slik at det kan utføres en forhåndsdefinert og bevisst prosedyre for håndtering av slike cyberhendelser. PwC s Cyber Crime Survey

10 Ledelsen involveres i større grad og investering i cybersikkerhet øker Cybertrusler belyser problemstillinger som bør ha ledelsens oppmerksomhet. PwCs Cyber Crime Survey 2017 viser at andelen sikkerhetsansvarlige som informerer toppledelsen om mulige cybertrusler kvartalsvis eller oftere er høy. En andel på hele 43%. Det er også positivt at hele 70% av respondentene sier at styret bruker tid på å drøfte cyberog informasjonssikkerhet. Samtidig er det er urovekkende at hele 18% aldri informerer om truslene. Med den store bekymringen rundt cyberkriminalitet og et økende antall hendelser, blir det mer og mer nødvendig for selskapene å bruke ytterligere ressurser for å forebygge og bekjempe trusselen som denne kriminaliteten representerer. Undersøkelsen viser at selskapene gjør nettopp det; den viser at av virksomhetene i gjennomsnitt planlegger å øke sine budsjetter for kontroll og forebygging av cyberkriminalitet med 26% i løpet av de neste 18 månedene. Gjennomsnittlig økning i budsjettet i løpet av de neste 18 måneder Virksomheter med færre enn medarbeidere 26 % 10 PwC s Cyber Crime Survey 2017

11 Sikkerhetsinvesteringer målrettet mot medarbeidere topper listen Kunnskap i form av bevisstgjøring er det området som prioriteres høyest av sikkerhetsinvesteringer. Forebygging av tap av data kommer på en klar andreplass. Dette kan være på grunn av de nye personvernreglene som følger med den nye EU-personvernforordningen og det økende antall hendelser. Forebygging kan i så måte være et viktig skritt i arbeidet med å hindre tap av data. Sårbarhetsscanning har også et stort fokus. Dette har nok også sammenheng med det økende antall cyberangrep. Ved å finne svake punkt kan virksomhetene effektivt forebygge fremtidig angrep og således redusere risikoen for vellykkede angrep. Høyest prioriterte investeringer de neste 12 måneder Bevisstgjøring 53,3 % Forebygge tap av data 42,2 % Sårbarhetsscanninger 35,6 % Oppgradering/utskiftelse av gamle 35,6 % operativsystem (eks. Windows 2003/XP) Kontroll med sterke 28,9 % brukerkonti (root, admin, sa etc) Gjenkjenning av ondsinnet programvare (Malware detection) 28,9 % Identitets- og tilgangstyring (IAM) 28,9 % Sikkerhet på mobile enheter 26,7 % Skytjenester/Cloud 26,7 % Sentral og intelligent loggføring 24,4 % PwC s Cyber Crime Survey

12 PwCs globale personvernpraksis Med PwCs globale personvernpraksis kan vi hjelpe din bedrift med å oversette de juridiske kravene i EUs nye personvernforordning om til operasjonelle og pragmatiske prosedyrer og prosesser, som igjen understøttes av tekniske løsninger. Dette vil sikre effektiv overholdelse av krav, og vi vil også bistå i kontroll og oppfølging. 12 PwC s Cyber Crime Survey 2017

13 EUs nye personvernforordning EUs nye personvernforordning er vedtatt og trer i kraft i mai Den inneholder en rekke nye og strengere krav til selskaper som arbeider med data som direkte eller indirekte er knyttet til en fysisk person. 66% av respondentene mener at de i fremtiden må endre rutiner og prosedyrer for å tilpasse seg den kommende personverforordningen, mens bare 55% mener at de om 18 måneder har sikret deres persondata i høy grad. Dermed står en stor andel virksomheter med en risiko for å måtte betale bøter opp til 4% av inntektene eller 20 millioner euro. Dette dersom kravene i EUs personvernsforordning, herunder krav til sikkerheten, ikke overholdes. Dette forsterkes videre ved at 58% av respondentene har vært utsatt for hendelser eller andre angrep relatert til cyberkriminalitet i løpet av de siste 12 månedene. Angrep som i fremtiden gjerne inkluderer tyveri av personopplysninger, som er ment å presse penger fra bedrifter i bytte mot at data ikke lekkes på nettet, vil for eksempel kunne medføre en bot fra EU. 66 % vil endre forretningsprosesser og prosedyrer for å tilpasse seg EUs personvernforordning. Beskyttelse av sensitive personopplysninger I hvilken grad er bedriftens sensitive personopplysninger tilstrekkelig beskyttet om 18 måneder etter gjeldende lovgivning? I høy grad 54,8 % Vet ikke 9,5 % På ingen måte 0 % I mindre grad 2,4 % I noen grad 33,3 % PwC s Cyber Crime Survey

14 password virus spyware protection Danmark et lignende bilde Rundt 300 danske forretningsfolk har i år deltatt i PwCs Cyber Crime Survey, og det tegner seg et lignende bilde når vi sammenligner de norske svarene med de danske. Også i Danmark er det organiserte kriminelle som utgjør den største trusselen i fremtiden (55%). De danske og norske svarene avviker mest fra hverandre når det gjelder hvilke typer cyberangrep som bedriftene har vært utsatt for. Nesten to tredjedeler (64%) av de norske respondentene har blitt rammet av ormer og virus sammenlignet med halvparten (48%) av de danske respondentene. 58 % 57 % 50 % 55 % 64 % 66 % 69 % 65 % 55 % 67 % 48 % 77 %... har vært utsatt for et cyberangrep de siste 12 månedene... er mer bekymret for cybertrusselen nå enn for 12 måneder siden... mener at organisert kriminalitet vil bli den største cyber-trusselen i fremtiden... har blitt utsatt for utpressing (f.eks ransomware) i løpet av de siste 12 månedene... har blitt utsatt for virus, ormer eller annen ondsinnet kode de siste 12 månedene... tror at de i fremtiden må endre rutiner og prosedyrer for å tilpasse seg den fremtidige personvernforordningen til EU 14 PwC s Cyber Crime Survey 2017

15 cybercrime internet hacking malware firewall privacy Om undersøkelsen 191 norske og 297 danske bedriftsledere, IT-ledere og sikkerhetsspesialister deltok i PwCs Cyber Crime Survey 2017, som er gjennomført med støtte fra NorSiS, Finans Norge og Bergen Næringsråd. Studien er basert på innsendte svar i løpet av perioden 1. juni til 2. september Respondentene ble stilt en rekke spørsmål som er knyttet til cyberområdet - for eksempel om de har vært utsatt for cyberangrep, hvor mye de investerer i IT-sikkerhet og om de er bekymret for trusselen som cyberkriminalitet representerer. I tillegg ble de spurt om hvordan de forholder seg til den nye personvernforordningen til EU. Bedriftene kommer fra et bredt spekter av sektorer/bransjer, blant annet varehandel, finans, profesjonelle tjenester /rådgivning, teknologi, industrielle bedrifter, offentlige institusjoner, transport, farmasi, olje og energi. Studiens spørsmål og svarmuligheter er utarbeidet av PwC og distribuert i samarbeid med de ovennevnte organisasjoner. Bransjefordeling Finansiell sektor 19,7 % Offentlige virksomheter 14,9 % Øvrig privat næringsliv 65,4 % PwC s Cyber Crime Survey

16 Inspirasjon 1 Game of Threats TM spill din ledelse sterk Med PwCs unike Game of Threats TM får du muligheten til å simulere ulike typer hackerangrep mot din virksomhet, trene ulike cyberforsvar og få en bedre forståelse for de nødvendige tiltak du bør iverksette for å motvirke cyberangrep. Se video Se video fra workshoppen og les mer på 16 PwC s Cyber Crime Survey 2017

17 Få hjelp Ønsker dere dialog med oss om resultatene fra årets Cyber Crime Survey, kontakt en av PwCs eksperter for en uforpliktende samtale om dine spesifikke utfordringer og behov. Du kan også lese mer om våre tjenester på Lars Erik Fjørtoft Partner Tlf: Nils Harald Børve Senior Manager Tlf: Region Vest Bergen Førde Stryn Måløy Florø Sogndal Ålesund Molde Ulsteinvik Region Nord Trondheim Tromsø Bodø Mo i Rana Region Rogaland Stavanger Haugesund Egersund Region Agder Kristiansand Arendal Region Øst Oslo Sandefjord Hamar Lillehammer Gardermoen Drammen Kongsberg Sarpsborg Askim PwC s Cyber Crime Survey

18 2017 PwC. Med enerett. I denne sammenheng refererer "PwC" seg til PricewaterhouseCoopers AS, Advokatfirmaet PricewaterhouseCoopers AS, PricewaterhouseCoopers Accounting AS og PricewaterhouseCoopers Skatterådgivere AS som alle er separate juridiske enheter og uavhengige medlemsfirmaer i PricewaterhouseCoopers International Limited.