MØRKETALLSUNDERSØKELSEN 2010

Transkript

1 MØRKETALLSUNDERSØKELSEN 2010

2 Mørketallsundersøkelsen undersøkelsen Perduco AS i mai Tidsrommet for kartleggingen er Utvalg: Det er trukket ut 6000 virksomheter til undersøkelsen. Av disse er 4500 private virksomheter og 1500 offentlige virksomheter. I undersøkelsen er små bedrifter definert som bedrifter med mellom 5 og 10 ansatte, mellomstore bedrifter er de med mellom 10 og 100 ansatte, mens store bedrifter er de med mer enn 100 ansatte. Svarprosent: 745 virksomheter har svart på undersøkelsen. Svarrespons på 12,4 prosent

3 Datakrimutvalget Analysen er utført av Datakrimutvalget som i år består av: Arne Johan Helle, Telenor (leder) Arne Skeide, Det Norske Veritas Arne Tjemsland, Secode Astrid Vik, SINTEF Christophe Birkeland, Nasjonal sikkerhetsmyndighet (NSM) Janne Hagen, Forsvarets Forskningsinstitutt (FFI) Johnny Mathisen, Telenor Thomas Stærk, Kripos Tore Larsen Orderløkken, Norsk senter for informasjonssikring (NorSIS) Erland Løkken, NSR. Takk til de som stod opp før solen - som brukte ferier og fritid på å jobbe med mørke tall. Takk til våre sponsorer som viser samfunnsansvar i praksis.

4 Større avhengighet og mobilitet Økende trussel Erfaringen fra TSOC viser at til enhver tid har halvparten av Norges største bedrifter minst én maskin som er kompromittert av eksterne angripere. Maskinen er ofte koblet opp i et såkalt botnet for fjernkontroll. Ofte vet eieren av denne datamaskinen ikke om dette selv. Det som foreløpig redder de fleste bedrifter er at de kompromitterte maskinene så langt ikke i stor grad brukes til tyveri av bedriftshemmeligheter eller tømming av bedriftens verdier. tror virksomhetene. Private data og jobbdata De siste årene ser vi en økning i mobilitet blant brukerne. Mange skal ha tilgang til virksomhetenes informasjon på reise og fra hjemmekontor. Fra et sikkerhetsperspektiv fører dette ofte til en sammenblanding av jobbdata og private data. Sosiale nettverk og tillit Sosiale nettverk blir stadig mer utbredt og dette vet angriperne å benytte seg av. Benytter kjente adresser i nettverket.

5 Hovedfunn 2010 og fokusområder Virksomhetene er mer avhengige av IT og har større mobilitet. 1. 1/3 av virksomhetene er utsatt for datakriminalitet, ca. 1 % blir anmeldt til politiet. 2. Halvparten av gjerningsmennene er egne ansatte eller innleide konsulenter. 3. Virksomhetene outsourcer IT-driften, men stiller få sikkerhetskrav til leverandørene. 4. Ingen forbedring når det gjelder sikringstiltak siden Sikringstiltak Hva gjør virksomhetene i dag? 6. Risikovurderinger - Nettsamfunn nye trusler 7. Forskning og utvikling immaterielle rettigheter (IPR) 8. Oppsummering - Anbefalinger

6 Avhengighet og driftsproblemer Kritisk tid: Det er 62% som får problemer etter 1 dag Bare 4 % som ikke får problemer når de opplever driftsstans uansett varighet. 14% av de som har uønskede hendelser har rapportert at dette medførte nedetid på sentrale It-systemer. Bruker mobile enheter over alt - alltid Det er en økning på 18 % i bruk av trådløs kommunikasjon. Tilgang til virksomhetens informasjon hjemme og på reise

7 Avhengige av IT og større mobilitet Hvordan bruker virksomheten Internett? Endringer prosentvis Selger varer og tjenester 27 % 25 % - 7 % Kjøper varer og tjenester 66 % 71 % 8 % e-post på mobil 54 % 64 % 18 % Instant messaging (MSN) 31 % 33 % 6 % IP telefoni 29 % 33 % 14 % WAN kommunikasjon 48 % 46 % - 4 % WI-FI trådløs kommunikasjon 61 % 72 % 18 % Tilgang til arbeid hjemme/reise 78 % 80 % 3 % Tilgang for kunder samarbeidsparter 39 % 35 % - 10 % Legger ut info. på nett (Facebook, Twitter) 3 % 22 % 633 % Det er 64 % blant virksomhetene i undersøkelsen som har tilgang til e-post på mobilen. Dette er en prosentvis økning på 18 % siden Blant de store virksomhetene er bruken av e-post på mobil hele 78 %. Forskjellene på e-post på mobil mellom privat sektor og offentlig virksomhet er markant med henholdsvis 72 % i privat og 44 % i offentlig virksomheter. 39 % har retningslinjer for bruk av mobiltelefon i jobbsammenheng. Virksomheter benytter nettsamfunn mer i jobbsammenheng enn tidligere 22 % legger ut informasjon aktivt 30 % har retningslinjer for sosiale medier

8 1) - 1/3 hendelser - 1 % politi Type hendelse Datainnbrudd (hacking) 4 % 3 % 5 % Tyveri av informasjon 1 % 2 % 2 % Uautorisert endring/sletting av data 5 % 4 % 5 % Misbruk av IT-ressurser (PC/nett/server) 9 % 9 % 11 % Spredning av ulovlig/opphavsrettslig beskyttet materiale (piratkopiering) 2 % 3 % 5 % Målrettede aksjoner som har til hensikt å redusere tilgjengeligheten (DoS-angrep) 5 % 4 % 4 % Trusler om å angripe IT-systemer (utpressing) 1 % 0 % 1 % Bedrageri ved misbruk av kredittkort over Internett 1 % 2 % 1 % Tyveri av IT-utstyr (PC, server, etc) 26 % 24 % 18 % Tap av opplysninger underlagt Personopplysningsloven 1 % Type hendelse i antall Estimat Anmeldt Datainnbrudd (hacking) Uautorisert endring/sletting av data Misbruk av IT-ressurser Målrettede aksjoner som har til hensikt å redusere tilgjengelighet Totalt Virksomhetene må anmelde og synliggjøre behovet for økte ressurser hos Politiet

9 2) Egne eller innleide gjerningsmenn Virksomhetene anslår at gjerningsmannen i 42 % av tilfellene er en egen ansatt eller innleid personell. Kunnskap sikkerhetsholdninger Manglende sikkerhetsretningslinjer - kontroll og oppfølging Manglende opplæring av nyansatte Bakgrunnsjekk av ansatte i nøkkelroller Bare 1/3 har kontinuerlig opplæring av de ansatte og under halvparten har sikkerhetsopplæring av nyansatte. Holdningsskapende arbeid mangler Trenger mer bevisstgjøring -

10 3) - Outsourcing 56 % av virksomhetene outsourcer helt eller delvis IT-driften, men stiller få krav til leverandørene. Stor tiltro til outsourcingsaktørenes håndtering av sikkerheten, men lav fokus på kontroll, oppfølging eller sanksjoner ved mangler. Det finnes ingen offentlig pålagte standardiserte sikkerhetskrav til virksomhetene som tar på seg IT-driftsoppgavene for andre virksomheter. Det finnes sikkerhetskrav til noen virksomheter innenfor enkelte bransjer, men ingen krav direkte til driftsleverandørene om å være sertifisert Det er opp til virksomhetene å stille kravene. Krav settes til noen utvalgte bransjer (Bank/ Finans) som stiller krav videre til IT driftsleverandørene, men mange norske virksomheter stiller ikke krav.

11 4) - Ingen forbedring på sikringstiltak Ingen forbedring når det gjelder sikringstiltak siden 2008 Små og mellomstore virksomheter er underrepresentert når det gjelder å ta i bruk en rekke sikkerhetstiltak sammenlignet med store virksomheter (mer enn 100 ansatte). Dette er i samsvar med undersøkelsen fra Manglende overvåking og gjennomgang av logger medfører manglende oversikt og rapportering av sikkerhetshendelser til ledelsen. Når vi ikke vet gjør vi heller ikke noe. Dette reduserer muligheten til å iverksette preventive sikkerhetstiltak.

12 5) - Sikringstiltak Sikringstiltak igangsettes uten at nødvendige risikoanalyser er gjennomført. Virksomhetene prioriterer enklere teknologiske tiltak Rutiner og retningslinjer Personlig brannmur 64 % Filter mot uønsket web-trafikk 70 % Organisatoriske tiltak mangler Mange virksomheter har ikke egne dedikerte sikkerhetsressurser Opplæring - bare 1 av 3 gir regelmessig opplæring til sine ansatte Virksomhetens verdier bare 1 av 5 klassifiserer informasjonen

13 Opplæring: Båtførerbevis Regjeringen har besluttet å innføre obligatorisk båtførerbevis for fritidsbåter fra 1. mai Hva med opplæring blant andre ledere? Hva med sertifikat?

14 6) - Risiko nettsamfunn nye trusler Risikoanalyser 70 % sier de gjennomfører risikovurdering løpende eller regelmessig på eksisterende systemer. Bare 23 % gjennomfører vurderingene sjelden 86 % av virksomhetene sier de gjennomfører risikovurdering løpende/regelmessig hver gang nye IT-systemer tas i bruk. Dette er tilnærmet likt som i Personopplysningsloven 80 % bekrefter at personopplysningsloven er kjent Over halvparten har utarbeidet oversikt over personopplysninger som behandles i virksomheten 2 av 3 har etablert formelle rutiner. Offentlig virksomhet er best på personopplysninger Informasjonssamfunn - Nettsamfunn Informasjon spres i nye medier og kanaler. Bruken av nettsamfunn har syv- doblet seg siden 2008, mens under 1/3 har retningslinjer for bruk av nettsamfunn.

15 7) - FoU og IPR Målrettet angrep Virksomhetene som driver FoU er ca 77 % mer utsatt for uønsket dataaktivitet (sikkerhetshendelser) og har dobbelt så stor risiko for å for å få frastjålet datautstyr enn de som ikke driver FoU. Virksomheter som innehar immaterielle rettigheter er ca 60 % mer utsatt for uønsket dataaktivitet enn dem som ikke har immaterielle rettigheter. De er også mer utsatt for tyveri av datautstyr enn andre virksomheter. Undersøkelsen viser at FoU- og IPR- virksomheter ikke er bedre til å sikre seg enn andre virksomheter i Norge. Undersøkelsen viser at 31 % av FoU- virksomhetene har blitt frastjålet datautstyr, mot 15 % for dem som ikke driver FoU, og 29 % av IPR- virksomhetene har blitt frastjålet datautstyr mot 17 % for dem uten IPR. Tyveri av informasjon 2 % av virksomhetene oppgir at de har opplevd tyveri av informasjon. Disse kommer utelukkende fra privat sektor.

16 8) Oppsummering og anbefalinger Mer sikkerhetsfokus på mobile enheter blant virksomhetene Mangler retningslinjer opplæring oppfølging og sanksjoner Anmelde alle vesentlige sikkerhetshendelser Politiet får bare vite om 1% av hendelsene og har i dag ikke registrert behovet Sertifiseringsordning for IT-driftsleverandører på sikkerhet Vi må sette krav til outsourcingspartnere Offentlige krav til leverandørene 20 % av virksomhetene i undersøkelsen definerer seg som samfunnskritiske aktører trenger økt sikkerhet Beskytt det som er viktig Mer fokus på prosesser og rutiner for å beskytte egne verdier - verdivurdering. Mangler oppfølging av logger og rapportering til ledelsen i dag. Rutiner for bakgrunnssjekk av nøkkelpersoner Kompetanse om sikkerhet må økes Obligatoriske Informasjonssikkerhetskurs for virksomhetsledere NorSIS kostnadsfritt Kunnskapsformidlingen må fortsette med fokus på SMB Krav til kontinuerlig opplæring i ansettelsestiden

17 Takk for oppmerksomheten Spørsmål i pausen arne-johan.helle@telenor.com

18 MØRKETALLSUNDERSØKELSEN 2010