Mørketallsundersøkelsen 2008 Øyvind Davidsen Leder av Datakrimutvalget Sikkerhetskonferansen 2008 24-25 September 1
Mørketallsundersøkelsen Dette er den 6. mørketallsrapporten som utarbeides av Datakrimutvalget i NSR. Spørreundersøkelsen er gjennomført av Perduco AS. og analysene er gjennomført av Datakrimutvalget som i 2008 består av: Øyvind Davidsen, IT Sikringsleder StatoilHydro (leder) Astri Vik, IT sikkerhetssjef SINTEF Berit Børset Solstad, Politiinspektør KRIPOS Tore Larsen Orderløkken, Leder av NorSIS Christophe Birkeland, assisterende direktør (Fg.) Nasjonal sikkerjhetsmyndighet Arne Tjemsland, Seniorkonsulent Secode Norge AS Kim Ellertsen, Direktør NSR 2
Formål Formålet med undersøkelsen er å: Belyse omfanget av datakriminalitet og andre uønskede IT-hendelser i norske virksomheter Kartlegge hvor sårbare norske virksomheter er for uønskede hendelser Kartlegge sikringsnivået i virksomhetene, dvs. hvilke sikringstiltak og rutiner som er innført Nytt tema i år: Personopplysninger 3
Omfang Kategorisering av virksomheter Bruk av IT Avhengighet Sikringstiltak Personopplysninger Hendelser Oppfølging Konsekvenser - kostnader 4
Datagrunnlaget Et representativt utvalg på 5000 norske virksomheter innen offentlig og privat sektor. I alt 864 svar ble mottatt som gir en svarprosent på 17 Undersøkelsen ble gjennomført i april 2008 og tidsrommet for kartleggingen var 2007. Alle bransjer er representert Virksomhetsstørrelse 22% anser seg som del av nasjonal kritisk infrastruktur 29% offentlig sektor 34 % 14 % 34 % 5-9 10-99 100-200 >200 Andelen mindre virksomheter 66% mot 73% i 2006 18 % 5
Bruk av IT E-post Hjemmeside Elektronisk betalingsformidling Tilgang hjemmefra Kjøp via internett WLAN Mottak av e-post på mobilen WAN 2003 2006 2008 Tilgang utenfra IM IP-telefoni Salg av varer Bruk av Facebook 0 20 40 60 80 100 6
Avhengighet Kritisk nedetid >200 ansatte 100-200 ansatte 10-99 ansatte 5-9 ansatte 0 % 20 % 40 % 60 % 80 % 100 % 1 time 1 dag 2-3 dager Allerede etter 1. dag nedetid vil konsekvensene bli alvorlige for 60% av virksomhetene! 7
Andel av virksomheter som blir utsatt for hendelser Hver 3. virksomhet er utsatt for hendelser Tyver i av IT-utstyr Misbr uk av IT r essur ser DoS angr ep Uautor iser t endr ing sletting av data Datainnbr udd Spr edning av ulovlig/ opphavsr ettslig beskyttet mater iale 2003 2006 2008 Tyver i av inf or masjon Bedr ager i ved misbr uk av kr edittkor t ov er inter nett Tr usler om å angr ipe IT systemer 0 5 10 15 20 25 30 P r osent 8
Mørketall Estimerte hendelser 15500 8900 3900 4400 Datainnbrudd Misbruk 2006 2008 Vi har fremdeles store mørketall for datakriminalitet! 4400 estimerte tilfeller av datainnbrudd - kun 57 anmeldelser i denne kategorien. 8900 estimerte tilfeller av misbruk av IT-ressurser - kun 11 er anmeldt. 9
Grunner for ikke å anmelde 18 % 37 % 9 % Annet Ikke spesielt ret t et mot virksomhet en Ikke st raf f bart Ikke mulig å f inne gjerningsmannen Saken er ubet ydelig 18 % 18 % 10
Hvem er gjerningsmannen? I alt ble det rapportert inn 2958 hendelser av disse ble 1751 gjerningsmenn identifisert, mao. Ca 60% av hendelsene ble identifisert. 2008 1751 2958 Rapporterte hendelser Gjerningsmann identifisert 2006 401 2079 Antatt gjerningsmann. Trusselen fra egne ansatte øker! 10 % 23 % 67 % Egen ansatt Innleid Ekstern 11
Konsekvenser Konsekvenser av hendelser Ekstraarbeid 62 % Ingen konsekvens 31 % Tap av inntekter Nedetid på sentrale IT-systemer Erstatningsansvar Tap av omdømme 9 % 9 % 5 % 5 % Halvparten av virksomhetene oppgir ingen økonomiske tap 12
Estimerte kostnader Totalt: 571 Mill. NOK Antall bedrifter i populasjon Antall utvalg Antall respondenter med hendelser utvalg Gjennomsnitt kostnad for utvalgsbedrifter med hendelser 5 til 9 ansatte 35294 120 12 18333 10 til 99 ansatte 42449 301 56 42155 Over 100 ansatte 2614 443 216 136088 Kun 7,6 % hadde rutiner for å beregne de økonomiske kostnadene av datakriminalitet 13
Hvem er mest utsatt? Store virksomheter er mer utsatt enn små Bedrifter som benytter internett til handel er med utsatt enn andre virksomheter De som selv anser seg som en del av kritisk infrastruktur er ikke mer utsatt enn andre virksomheter bortsett fra tyveri av utstyr Ingen signifikante forskjeller mellom bransjene forøvrig 14
Tekniske tiltak Antivirus Spamfilter Brannmur Sikkerhetskopi Personlig passord UPS Avlåst datarom Ulike nettverkssoner VPN Filter for internett trafikk 2008 2006 Duplisering av kritiske komponenter Personlig brannmur IDS Engangspassord Fysiske autentisering Kryptert bærbart utstyr Digital signatur Biometrisk autentisering 0 10 20 30 40 50 60 70 80 90 100 15
Organisatoriske tiltak Beredskapsøvelser 12 % Håndterer hendelser utenfor arbeidstid 48 % Planer for håndtering av hendelser 40 % Taushetserklæring 59 % Opplæring 43 % Retningslinjer for IT-drift 82 % Retningslinjer for brukere 67 % Prosent 3 av 4 virksomheter gjennomfører løpende eller regelmessig risikovurderinger av eksisterende IT-løsninger. 16
Personopplysninger Krav i personopplysningsloven: Oversikt over alle personopplysninger som behandles i virksomheten Formelle rutiner forhåndtering av personopplysninger Intern kontroll av håndtering av personopplysninger Undersøkelsen viser at 80 % kjenner kravene i personopplysningsloven, men kun 50% følger kravene. 17
Undervisning, helse og sosial Halvparten av disse oppfyller ikke lovens krav. Hele 20 % har ikke iverksatt noen av tiltakene i loven. Over halvparten mangler rutiner for intern kontroll av håndtering av personopplysninger 2 av 3 mangler planer for håndtering av de viktigste IT sikkerhetsbruddene. 18
Krav til driftspartner Måling av sikkerhetsnivå Økonomisk ansvar ved sikringsbrudd Sanksjoner Innsyn i sikringsrutiner Krav til taushetsplikt Flere enn 200 ansatte 100 til 200 ansatte 10 til 99 ansatte 5 til 9 ansatte Krav til tekniske sikringstiltak tilganskontroll tilgjengelighet/oppetid 0 % 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % 90 % 100 % 19
Sikringskrav i kontrakter ulike bransjer Primærnæri nger og industri Bygg og anlegg Varehandel, restaurant og hotell Transport og tjenesteytende næringer Offentlig administrasjon Undervisning, helse og personlig tjenesteyting Tilgangskontroll 69 % 62 % 51 % 80 % 70 % 55 % Taushetserklæring 71 % 72 % 53 % 83 % 80 % 63 % Tekniske tiltak 62 % 64 % 48 % 78 % 79 % 67 % Oppetid 71 % 56 % 49 % 82 % 78 % 59 % Innsyn i sikkerhetsrutiner og dokumentasjon 52 % 56 % 33 % 61 % 67 % 33 % Rett til å måle sikkerhetsnivå 34 % 36 % 31 % 43 % 43 % 14 % Rett til økonomisk erstatning i gitte tilf elle 29 % 31 % 23 % 48 % 42 % 29 % Ingen vesentlig forskjell på offentlig og privat sektor 20
Netthandel Håndtering av hendelse ift. kritikalitet Bortimot hver 3. virksomhet benytter internett til salg av varer og tjenester 2008 59 % 67 % 2006 52 % 76 % Kritikalitet på inntil 1 dag Kan håndtere sikringsbrudd utenfor arbeidstid Hendelser Misbruk av kredit t kort 1 % 4 % DoS 1 % 9 % Misbruk av IT ressurser 7 % 14 % Tyveri av IT ut st yr 21 % 33 % Net t handel Andre 21
Netthandel Konsekvenser Er statningsansvar 3 % 8 % Tap av inntekt 5 % 14 % Nedetid på sentr ale systemer 6 % 13 % Netthandel Andr e Netthandelsvirksomhetene legger generelt sett mer vekt på sikringstiltak enn de øvrige. Tiltak etter hendelser Flere personer og tid til sikringsarbeid Total gjennomgang Investering i sikringstiltak Forbedring av rutiner 3 % 10 % 14 % 15 % 26 % 41 % 52 % 55 % Netthandel Andre 22
Noen konklusjoner Vi har fremdeles store mørketall mht. anmeldelser De som har gode sikringsløsninger oppdager flere hendelser Mobile enheter store utfordringer Gjerningsmannen kommer fra egne rekker Store virksomheter er mer utsatt enn små Avhengigheten til IT øker Kravene i personopplysingsloven er kun iverksatt av ca halvparten av virksomhetene. Mangelfulle sikringskrav til ekstern driftspartner Nivået på organisatoriske tiltak er lavere inn for tekniske tiltak Basic tekniske tiltak er stort sett på plass Tradisjonelle virus hendelser avtar 23
Bevissthet De rapporterte hendelsene domineres av, tyveri av utstyr og misbruk av IT ressurser, hvor manglende bevissthet hos sluttbrukere avgjørende for at hendelsene skjer. I de tilfellene hvor gjerningsmann er identifisert er 77% av disse egne ansatte eller innleid personell. Et tankekors at: under halvparten av virksomhetene gjennomfører opplæring av ansatte i sikker bruk av IT. 1av 3 mangler retningslinjer for brukerne Det er utvalgets oppfatning at det bør legges mer vekt på holdninger og bevisstgjøring av brukere for å øke sikringsnivået. 24
IT Sikkerhet er ikke et produkt man kan kjøpe - men noe men må skape selv 25