RISIKOUNDERSØKELSEN. Illustrasjon: Shutterstock

Transkript

1 RISIKOUNDERSØKELSEN 2017

2 BDO 3 BESKYTT DEG MOT DATAKRIMINALITET FØR DET ER FOR SENT Det er ingenting norske virksomheter frykter mer enn datakriminalitet. Samtidig synes det som at norske virksomhetsledere ikke tar inn over seg risikoen for at det skal ramme deres virksomhet. Det er et sjansespill med høy innsats. Med personvernforordningen GDPR i anmarsj, høynes innsatsen ytterligere. For fjerde året på rad har BDO gjennomført Risikoundersøkelsen ledere i private og offentlige virksomheter har svart på spørsmål om sitt syn på risikostyring. Det fremstår som selvsagt for de fleste at ledelsen må ha et helhetlig perspektiv på virksomheten. Allikevel glemmer mange nettopp dette når de jobber med risikostyring. Undersøkelsen viser nemlig at mange ikke vurderer hele virksomhetens risikobilde. Av respondentene oppga kun ca. 10 % at de arbeidet helhetlig og integrert med risikostyring. Alt henger sammen Risikostyring handler om å øke sannsynligheten for at virksomhet en når de strategiske ambisjonene. For å ha en helhetlig til nærming til risikostyring, må du som virksomhetsleder sørge for å ha tilfredsstillende oversikt over alle risikoforhold som kan påvirke måloppnåelsen. Sikrer gjennomføringsevne God risikostyring setter styre og ledelse i stand til å håndtere de indre og ytre faktorene som påvirker virksomheten på en god måte. Med andre ord er god risikostyring sentralt for å sikre at virksomheten lykkes med å gjennomføre sin strategi i størst mulig grad. Samtidig bør risikostyringen gi en viss grad av sikkerhet for om valgt strategi er riktig og om det er forhold som tilsier at denne bør justeres. Undersøkelsen gjennomført i 2017 rettet særlig oppmerksomheten mot det stadig økende digitale risikobildet. Nærmere 40 % av de spurte mener datakriminalitet som rammer virksomheten deres vil være kritisk. Nesten 60 % av de spurte mener de er godt nok rustet mot slik kriminalitet. Vår erfaring er dessverre at virksomhetene ikke er så godt rustet som de selv tror at de er. Håndtering av risiko For å identifisere hvilken beskyttelse virksomheten trenger, er det avgjørende å forstå trusselbildet. Det første spørsmålet er hva som er den faktiske verdien av informasjonen virksomheten besitter. Oppmerksomheten rundt de nye personvernreglene (GDPR) har ført til økt bevissthet rundt sikring av personopplysninger. I arbeidet med å forstå verdien av informasjonen virksomheten besitter, er det imidlertid flere områder som bør belyses. Kundelister, kontrakter, børssensitiv informasjon, informasjon om kritisk infrastruktur, produktdesign, virksomhetsstrategi mv. er informasjon som kan ha høy verdi. For å vurdere hvor høy verdien av informasjonen faktisk er, er det avgjørende å ha et bevisst forhold både til hvor verdifull informasjonen er for din virksomhet og hvor verdifull den kan være for andre. Vurder hvilke trusler virksomheten står overfor Når verdien av informasjonen er etablert, er det neste steget å vurdere hvilke trusler virksomheten står overfor og identifisere virksomhetens sårbarheter. Basert på denne innsikten kan styret og ledelsen ta stilling til om virksomheten har etablert de rette tiltakene for å beskytte seg mot alle typer risiko også datakriminalitet. En investering i sikkerhet er en god investering Med utgangspunkt i Risikoundersøkelsen har våre spesialister oppsummert undersøkelsens hovedfunn relatert til inform a sjons sikkerhet. Våre spesialister representerer hele bredden av fagfeltet, med bakgrunn fra blant annet Etterretningstjenesten, HelseCERT, Cyberforsvaret, Politiets sikkerhetstjeneste, Økokrim og Nasjonal sikkerhetsmyndighet. I denne rapporten deler de av sin erfaring for å gi deg som virksomhetsleder større forståelse for informasjonsrisiko og hvordan du som leder bør håndtere denne risikoen. Forsterket sikkerhet koster både tid og penger. Vår påstand er imidlertid at det er verdt investeringen. Det kan bli svært kostbart å la være. God lesing!

3 4 BDO BDO 5 Her er de fem største DIGITALE TRUSLENE mot næringslivet i 2018 og slik sikrer du deg mot dem Angrepene og truslene mot norsk næringsliv blir på ingen måte mindre neste år, men vil garantert anta nye former. Slik forbereder du virksomheten din på truslene ekspertene tror vil prege neste år.

4 6 BDO RISIKOUNDERSØKELSEN 2017 RISIKOUNDERSØKELSEN 2017 BDO 7 «Trusselbildet er i kontinuerlig endring. NorSIS sin oversikt er verdifull siden den viser bredden av truslene som kan ramme både privatpersoner og virksomheter. Jeg håper den er med på å skape bevissthet og motivasjon, og brukes aktivt i planleggingen av digitalt sikkerhetsarbeid i året som ligger foran oss.» Leder i BDO CERT, Chris Culina I en ny BDO-finansiert rapport, «Trusler og trender », fra det uavhengige ekspertorganet Norsk senter for informasjonssikring (NorSIS) identifiseres fem trusler som norske virksomheter bør være særlig forberedt på i Det er viktig at alle norske virksomheter, store som små, tar inn over seg at det digitale trussel- og sårbarhetsbildet er i stadig forandring. Selv om du er sikret i dag, betyr det på ingen måte at du er sikret hele neste år. Trusselbildet er i kontinuerlig endring. Det samme gjelder de digitale sårbarhetene. Du kan være fullt oppdatert den ene dagen, og neste dag våkne til beskjed om sikkerhetsoppdateringer som haster. God forståelse for trusselbildets variasjon og sikkerhetstilstandens flyktige natur er derfor svært viktig for å planlegge og forberede ditt digitale sikkerhetsarbeid i året som ligger foran oss, sier leder i BDO CERT, Chris Culina. Teknikkene forandrer seg svært raskt For selv om det overordnede trusselbildet ikke endrer seg raskt og flere av hovedtruslene går igjen, forandrer teknikkene som brukes for å iverksette angrepene seg til dels svært raskt. Her er de fem største digitale truslene mot norske virksomheter i 2018 og de viktigste rådene for å beskytte seg mot dem. Tiltak Du må kjenne verdiene dine og vite hvor du eksponerer dem for å kunne ta bevisste valg om skjerming og sikring. God grunnsikring, rask installasjon av sikkerhetsoppdateringer og bevissthet om truslene er viktig for å redusere risikoen for verditap. 2. Vanvare Den enkelte ansatte utsetter bedriften for risiko på grunn av uvitenhet, uforsiktighet, ukultur eller uforstand, ofte i ren vanvare. Vanvaren er gjerne ubetenksomhet som følge av for lav bevissthet, noe som ofte forverres ved fravær av sikkerhetstiltak. Tiltak Det viktigste for å unngå å gjøre feil som kan skade en selv eller virksomheten, er basiskunnskap og bevissthet om sikkerhet. Det handler om å tenke seg om en ekstra gang før man f.eks. klikker på en lenke eller åpner et vedlegg. Derfor er opplæring av de ansatte så viktig. 3. Løsepengevirus Virksomheten må betale løsepenger for å få åpnet datamaskiner og informasjon som er låst eller kryptert. Teknikken er spredning av virus (skadevare), oftest via e-post, infiserte nettsider og falske annonser. 4. Direktørsvindel Virksomheten svindles for penger ved at kriminelle utgir seg for å være toppsjef og instruerer en rask utbetaling. Teknikken er falsk e-post, sms og fakturaer samt kartlegging og sosial manipulasjon av betrodd medarbeider. Tiltak Det viktigste er gode interne rutiner og kontroll av ekthet gjennom personlig avklaring per telefon med den som står som avsender. 5. Industrispionasje Virksomheten utsettes for tyveri av sensitiv forretningsinformasjon, enten fra en stat, kriminelle eller konkurrenter. Teknikken er gjerne spionvare og sosial manipulasjon, innsidere og bruk av småbedrifter som brohode. Tiltak Det viktigste er samme forholdsregler som for informasjonstyveri, med gode rutiner og sikker atferd, samt å beskytte de mest sensitive dataene ekstra, for eksempel ved å kreve flerfaktorautentisering for å nå disse. Chris Culina 1. Informasjonstyveri Virksomheten utsettes for tyveri av bedriftsinformasjon som deretter brukes av kriminelle. Teknikken er gjerne datainnbrudd og nettfisking, falske apper og nettsider, søppelsnoking og tyveri fra tredjepart. Tiltak Skadevaren er gjerne forkledd som dokumenter, og antivirusprogrammer alene er ofte ikke nok. Både sikkerhetsinnstillinger i tråd med råd fra NSM og brukeropplæring er viktige tiltak. Sikkerhetskopier må også tas jevnlig.

5 8 BDO BDO 9 Bare seks av ti virksomheter mener de er tilfredsstillende sikret RÅDENE SOM RUSTER VIRKSOMHETEN MOT CYBERANGREP og slik sikrer du deg mot dem Selv om hele fire av ti norske toppledere mener et dataangrep mot dem ville vært kritisk, oppgir bare 59 prosent av alle spurte at de er tilfredsstillende sikret mot nettopp dette.

6 10 BDO RISIKOUNDERSØKELSEN 2017 RISIKOUNDERSØKELSEN 2017 BDO 11 «Det er snakk om alt fra spionasje fra fremmede makter til regelrett informasjonstyveri, vinningskriminalitet og idealistisk motivert vandalisme.» Leder i BDO CERT, Chris Culina Ifølge BDOs store risikoundersøkelse blant mer enn 1500 ledere i både offentlig og privat sektor, har en rekke virksomheter et akutt behov for å få på plass grunnleggende sikring mot den stadig økende trusselen for dataangrep. Både Nasjonal sikkerhetsmyndighet (NSM), Etterretningstjenesten, Norsk senter for informasjonssikring (NorSIS) og en rekke andre melder at trusselen om dataangrep er økende. Det er snakk om alt fra spionasje fra fremmede makter til regelrett informasjonstyveri, løsepengevirus eller idealistisk motivert hacking. Da er det skremmende at så mange ikke har på plass tilfredsstillende beskyttelse mot dette, sier leder i BDO CERT, Chris Culina. Det er ikke så mye som skal til for å sikre seg mot vanlige dataangrep. I BDOs undersøkelse oppgir så mange som syv prosent av de spurte lederne at de har blitt utsatt for «digitale hendelser» som har resultert i direkte økonomiske tap, omdømmetap, tap av kontrakter eller beslagleggelse av interne ressurser. Her er de viktigste generelle sikkerhetsrådene for å unngå digitale angrep: Lær opp dine ansatte En økende mengde angrep er basert på sosial manipulasjon. Ved opplæring av de ansatte kan de selv få en bedre forståelse for hvordan en trussel ser ut. Både phishing, løsepengevirus, småsvindel og direktørsvindel starter gjerne med en e-post. Denne kan være sendt til den ansattes private e-postadresse eller til en bedriftsadresse. I et kontinuerlig skiftende trusselbilde er det viktig at også opplæringen skjer kontinuerlig. BDO tilbyr også opplæring av ansatte med phishing-øvelser kombinert med e-læringskurs. Få oversikt over dine digitale verdier Utgangspunktet er enkelt: Absolutt alle virksomheter er utsatt for datakriminalitet. Derfor må du skaffe deg en oversikt over hvilke digitale verdier din virksomhet har og hvor mye disse kan være verdt for potensielle trusselaktører. Dette kan være alt fra personopplysninger, kontrakter og markedskunnskap til patenter og FoU-rapporter. BDO har utarbeidet en enkel test som kan gi deg en pekepinn på dette. Ha en strategi for digital informasjonssikring En virksomhet må ha et styringssystem for sikring av informasjonsverdiene sine. Har du ikke en slik overordnet plan, har potensielle verdier og sikring av disse en tendens til å falle mellom to stoler og bli oversett. Slik kan også tiltakene balanseres etter viktigheten av verdiene. IKT-sikkerhet er heller ikke noe som skal styres løsrevet fra den øvrige risikostyringen i virksomheten, herunder også arbeidet med fysisk sikkerhet og personellsikkerhet. Dette er områder som har tette koblinger til hverandre og bør ses i sammenheng. Følg myndighetenes råd for IKT-sikring NSM har følgende fire grunnråd: Oppgrader program- og maskinvare Vær rask med å installere sikkerhetsoppdateringer Ikke tildel sluttbrukere administratorrettigheter Blokker kjøring av ikke-autoriserte programmer NSM trekker også frem penetrasjonstesting som et viktig tiltak for å forebygge datainnbrudd. BDO tilbyr denne type testing av både eksterne og interne nettverk. En lang rekke hendelser gjennom 2017 samt vår egen erfaring tilsier at virksomhetene ikke er så godt rustet som de selv tror at de er. All erfaring tilsier at brannmur og antivirusprogrammer ikke i tilstrekkelig grad beskytter virksomheten. Mange norske offentlige og private virksomheter har erkjent dette, og har igangsatt overvåkning av nettverkstrafikk og annen aktivitet for å kunne avsløre dataangrep tidlig. Dessverre er det altfor få norske virksomheter som har erkjent dette. Sørg for å ha tilgang til kvalifisert hjelp før du blir angrepet Det er viktig å ha en kriseløsning klar før et eventuelt dataangrep. Da kan skadene og kostnadene ved disse bli langt lavere. BDO CERT var første leverandør som ble godkjent i Nasjonal sikkerhetsmyndighet (NSM) sin kvalitetsordning for leverandører som tilbyr tjenester for håndtering av datakriminalitet. Dette tror norske ledere blir de største digitale utfordringene i fremtiden: 1. Datavirus (55 %) 2. Ikke tilstrekkelig kompetanse på digital sikkerhet (45 %) 3. Nye trusselaktører med nye metoder og virkemidler (35 %) 4. Systemfeil/teknisk svikt (32 %) 5. Økte krav til tilgjengelighet, som ansattes bruk av egne enheter, fjerntilgang osv. (29 %) Kilde: BDOs Risikoundersøkelse 2017

7 12 BDO BDO 13 Beskytt virksomheten mot sosial manipulasjon Varsler fortsatt mye DIREKTØRSVINDEL neste år Mer enn hver tiende norske virksomhet har opplevd at ansatte er blitt utsatt for såkalt direktørsvindel så langt i år. Trenden med sosial manipulasjon som direktørsvindel, falske fakturaer, ID-tyveri og falske telefonnumre er økende.

8 14 BDO RISIKOUNDERSØKELSEN 2017 RISIKOUNDERSØKELSEN 2017 BDO 15 «Direktørsvindel er et eksempel på sosial manipulasjon. Dette er et område det er spesielt viktig å følge nøye med på i 2018.» Manager i BDO CERT, Håkon Lønmo Ifølge Næringslivets sikkerhetsråds ferske rapport, KRISINO 2017, har hele 13 prosent av de mer enn 2500 spurte lederne innenfor offentlig og privat sektor blitt utsatt for direktørsvindel (CEO-fraud). Det starter gjerne med en forfalsket e-post fra en daglig leder eller CFO på et tidspunkt da svindlerne vet at disse er på reisefot. E-posten går til en økonomimedarbeider, som får beskjed om å gjennomføre en hastebetaling til en utenlandsk konto. Mer fokus mot brukerne enn maskinene Dette er et område hvor det er spesielt viktig for virksomhetene å følge nøye med. I BDOs undersøkelse blant 1500 norske ledere er det datavirus de frykter mest. Samtidig er det mye som tyder på at angrepene fremover også vil komme fra helt andre kanter. Mange angrep retter oppmerksomheten mot brukerne. Direktørsvindel er et eksempel på denne type sosial manipulasjon, sier manager i BDO CERT, Håkon Lønmo. Ifølge den siste risikoanalysen fra Finanstilsynet, ble hele 214 virksomheter svindlet for nesten 300 millioner kroner gjennom direktørsvindel i fjor. Det gjennomsnittlige beløpet per svindel lå på 1,37 millioner kroner. Dette er trolig bare toppen av et stort og skjult isfjell. Phishing fortsatt et stort problem En annen form for denne type svindel er når bedriftens nettbank blir tappet for penger. Dette kan skje f.eks. gjennom såkalt phishing, der svindlerne setter opp websider som til forveksling ligner på bedriftens norske nettbank og lurer ansatte til å logge seg inn ved hjelp av sosial manipulasjon. Informasjonen den ansatte legger inn blir så misbrukt av bakmennene til å logge inn og hente ut penger. Slik beskytter du din virksomhet mot sosial manipulasjon: Organisasjon: Avklare roller, ansvar og fullmakter. Denne type svindel berører gjerne både økonomi, IT og sikkerhet. Det er ledelsens ansvar at disse tre områdene jobber sammen om å forebygge hendelser. Mennesker: Sørg for at hendelser og svindelforsøk blir kjent blant økonomimedarbeiderne slik at de kan kjenne igjen «røde flagg» og vet hvordan de skal varsle om mistenkelige fakturaer, telefoner og e-poster. Rutiner: Etabler ekstra kontrollrutiner for utenlandsbetalinger og betalinger over visse beløpsgrenser. Teknologi: De færreste har innført tekniske tiltak mot forfalsking av e-post. Den siste tiden har imidlertid flere i Norge fått øynene opp for DMARC (Domain-based Message Authentication, Reporting & Conformance). Teknologien gjør det mulig både å oppdage og forhindre forfalsking av e-post. Dette bekymrer norske ledere seg mest for: 1. Dataangrep 2. Konjunkturnedgang 3. Finanskrise 4. Negativ medieoppmerksomhet 5. Betydelig bortfall av ansatte 6. Negativ utvikling i valuta 7. Negativ utvikling i råvarepriser 8. Misligheter og korrupsjon 9. Naturkatastrofer 10. Terrorangrep Kilde: BDOs Risikoundersøkelse 2017 Håkon Lønmo

9 16 BDO BDO 17 Norske virksomheter mer bekymret for dataangrep enn annen risiko Her er SJEKKLISTEN ledere bør kunne svare på Ingenting fryktes mer i norsk næringsliv enn dataangrep. Likevel har kun fire av ti virksomheter inkludert informasjons- og IT-sikkerhet i sin risikostyring.

10 18 BDO RISIKOUNDERSØKELSEN 2017 RISIKOUNDERSØKELSEN 2017 BDO 19 «Mange tviler på at det vil ramme egen bedrift. Det er skremmende med tanke på økende digitalisering og dagens varierte trusselbilde.» Leder i BDO CERT, Chris Culina Det er i BDOs risikoundersøkelse for 2017 dette fremkommer. I undersøkelsen er mer enn 1500 norske ledere i både offentlige og private virksomheter intervjuet. Her plasseres dataangrep høyere på listen over hvor kritisk de vurderer forskjellige typer risiko enn både konjunkturnedgang, finanskrise og negativ medieoppmerksomhet. Hovedfunnene i undersøkelsen viser at norske virksomheter er svært redde for dataangrep. Likevel er det få som gjør aktive tiltak for å hindre at slike angrep inntreffer, å oppdage sikkerhetstruende hendelser samt å sikre effektiv respons. Det kan se ut som om de ikke helt tror at det vil ramme deres egen bedrift. Det er skremmende med tanke på stadig økende digitalisering og dagens varierte trusselbilde, sier leder for BDO CERT, Chris Culina. Spørsmålene du bør kunne svare ja på For å kunne beskytte virksomheten, er det viktig at vi forstår hva som gjør den sårbar. Her er ti spørsmål du som leder bør kunne svare ja på hvis du har kontroll på din virksomhets digitale sikkerhet: 1. Har dere definert og prioritert virksomhetens mest verdifulle informasjonsverdier og informasjonssystemer? 2. Har dere definert ansvar og roller innen IT-sikkerhet? 3. Har dere utført sårbarhets- og penetrasjonstesting av virksomhetens nettverk og tjenester det siste året? 4. Gjennomfører dere (minimum) årlig opplæring av toppledelse, styre og ansatte i IT-sikkerhet? 5. Har dere en plan for hendelseshåndtering ved cyberangrep? Inneholder planen tydelige rutiner for varsling av toppledelse, styre og eventuelt offentlige myndigheter ved et sikkerhetsbrudd? Har dere en klar policy for håndtering av løsepengevirus og betaling knyttet til dette? 6. Krever dere flerfaktorautentisering når ansatte får tilgang til selskapets nettverk? 7. Blir virksomhetens nettverk døgnkontinuerlig overvåket av nettverkssensorer e.l.? 8. Har virksomheten i sin IT-policy at den gjennomfører sikkerhetsoppdateringer for operativsystem og softwareapplikasjoner kort tid etter at en sikkerhetsoppdatering er lansert? 9. Utgjør dagens budsjett for hardware, software og tjenester knyttet til IT-sikkerhet minst 10 % av virksomhetens totale IT-budsjett? 10. Har dere jevnlige evalueringer av virksomhetens risikostyringsprogram for IT-sikkerhet og vurdering av kontrollmekanismene som anvendes? Seks av ti har ikke informasjons- og IKTsikkerhet som en del av virksomhetens risikostyring. En av fire norske virksomheter mener de ikke er tilfredsstillende rustet mot dataangrep. 39 prosent mener et dataangrep er ganske eller svært kritisk for deres virksomhet. 36,5 prosent av virksomhetene som håndterer spesielt sensitiv informasjon har ikke egne rutiner for informasjon med høyere sikkerhetsbehov. 7 prosent av virksomhetene har blitt utsatt for en digital sikkerhetshendelse som har medført tap det siste året. Bare en av fem rapporterer digitale sikkerhetshendelser til myndighetene. Hovedgrunnen til dette oppgis å være at de ikke har rutiner for ekstern rapportering. En av fem virksomheter jobber ikke med risikostyring. En av tre virksomheter oppgir at de ikke er tilfredsstillende rustet mot hackerangrep.

11 Oslo Munkedamsveien 45 Vika Atrium 0250 Oslo E-post Telefon Postadresse Postboks 1704 Vika 0121 Oslo Norge Innholdet i denne publikasjonen er kun for generell informasjon, og kan ikke erstatte profesjonell veiledning om de enkelte emner som omtales. Vennligst ta kontakt med et av våre kontorer dersom du ønsker svar på dine spesifikke spørsmål vedrørende omtalte emner. BDO, bedriftens partnere, ansatte eller samarbeidspartner er ikke å regne som ansvarlige for eventuelle tap som resultat av handlinger eller beslutninger basert på innholdet. BDO AS, et norsk aksjeselskap, er deltaker i BDO International Limited, et engelsk selskap med begrenset ansvar, og er en del av det internasjonale BDO-nettverket som består av uavhengige selskaper i de enkelte land. BDO er varemerkenavnet for BDO-nettverket og for hvert enkelt medlemsfirma.