Virksomhetssikkerhet: Alltid en reise, aldri en destinasjon 2017 Risk:Value Report

Like dokumenter
COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

Dataangrep Hva er de faktiske kostnadene for din organisasjon? Risk:Value Report 2016

2018: Risk:Value Report

Verdipapirfondenes forening. Ny personvernforordningen GDPR

2017 Global Threat Intelligence Report Hovedfunn

Datasikkerhet og skyløsninger øverst på prioriteringslisten hos IT-folk i Europa. Pressemelding

Kan cyber-risiko forsikres?

Ny personvernforordning Er vi alle forberedt?

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Digital Transformasjon

Digital Grid: Powering the future of utilities

Hva må jeg tenke på for å være sikker på at data er trygt lagret i skyen? Marius Sandbu

Fremtidsstudien: Hva mener millennials i Norge at næringslivet bør bidra med i samfunnet? Sammendrag av norske resultater, februar 2016

Cyberforsikring for alle penga?

Cyberspace og implikasjoner for sikkerhet

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Danner ny sikkerhetsspesialist NTT Security

Ledelse for fremtiden. VIRKE, 7. November 2013

GDPR og ny lov om personvern

ZA5208. Flash Eurobarometer 267 (Innobarometer 2009) Country Specific Questionnaire Norway

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Europeisk integrasjon anno 2013: Utfordringer og muligheter. Karen Helene Ulltveit-Moe Universitetet i Oslo Partnerforums høstkonferanse 2013

Ny personvernlovgivning er på vei

Erfaringer fra en Prosjektleder som fikk «overflow»

Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester

Gjør deg klar. En veiledning til personvernforordningen (GDPR) elavon.no

Fintech regulering. Liv Freihow IKT-Norge. Historien om det kompliserte ekteskapet mellom gründere og Finanstilsynet

Ny personvernlovgivning er på vei

GDPR - hva betyr det for din bedrift?

Cyberforsikring Når lønner det seg?

Når det brukes "vi", "våre" eller "oss" nedenfor, menes det Norsk Byggtjeneste AS.

Det digitale trusselbildet Sårbarheter og tiltak

Personvernforordning i EU Nok en ny lov eller nye muligheter?

IT-lederkonferansen (Hvorfor) er norske virksomheter digitale sinker? Invitasjon til diskusjon basert på en pågående undersøkelse

Itled 4021 IT Governance Introduksjon

Det kommunale og fylkeskommunale risikobildet - Sammendrag

Dropbox' reise til GDPRsamsvar

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Cyber Risk Mapping Kartlegging av cyberrisiko

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

DET HANDLER OM KOMMUNIKASJON MELLOM MENNESKER

Fremtiden er (enda mer) mobil

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

PERSONVERNERKLÆRING OG RETNINGSLINJER FOR BRUK AV INFORMASJONSKAPSLER

Personvernforordning i EU

Rapporterer norske selskaper integrert?

Kompetansesjekken 2019

Social Media Insight

Ny personvernlovgivning er på vei

GDPR krav til innhenting av samtykke

Nye personvernregler

NiSec Network Integrator & Security AS ALT UNDER KONTROLL

We are Knowit. We create the new solutions.

Ketil Kjeldsberg Direktør General & Professional Staffing

Følger sikkerhet med i digitaliseringen?

Etterlevelse av personvernforordningen (GDPR) sett opp mot ISO hva er nytt/viktig? Anders Bergman Greenfinger AB

EUs personvernforordning (GDPR) Personvernerklæring forbruker. Gyldig fra: 25. mai 2018

Nå eller aldri. Hva globale bedriftsledere sier om utviklingen fram mot Global Business Day, Trondheim

Er norske virksomheter digitale sinker? Hva betyr det? Og hvorfor er de det?

Veien til ISO sertifisering

Sikkerhetskultur. Fra måling til forbedring. Jens Chr. Rolfsen

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Retningslinjer for databeskyttelse og personvern for spørreundersøkelsesrespondent (21/05/2018)

Hvordan velge en leverandør for cloud backup

Personvernerklæring for Fibo

Noen aktuelle tema for personvernombud i finans

Nasjonal merkevarebygging

Når Big Data blir Big Business. Foredrag ved Standard Morgen 11.Desember 2017 Arne Dulsrud Forskningssjef SIFO

Regjeringens Fornyingsstrategi

Aibel Vår tilnærming til GDPR. Elin H Madell HR System Owner

Til styret i Sunnaas sykehus HF. 21. september Sak 5318 Innføring av General Data Protection Regulation (GDPR) Forslag til vedtak

... Annita Fjuk DESIGN THINKING

Kvalitetssikring av internasjonale IT-prosjekter innen bank og finans. Industrial Management

Bakgrunn. For ytterligere informasjon, se kontaktinformasjon på slutten av presentasjonen

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

HMS og IKT-sikkerhet i integrerte operasjoner

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

Trafikklys i PO3. Konsekvenser av et rødt lys. Anders Milde Gjendemsjø, Leder for sjømat i Deloitte 14. mars 2019

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

STYRKEN I ENKELHET. Business Suite

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Rexel makulering. Hvorfor er gode rutiner for behandling av papirdokumenter en del av GDPR forordningen (General Data Protection Regulation)

ZA5458. Flash Eurobarometer 305 (Innobarometer 2010) Country Specific Questionnaire Norway

Seminar om betalingssystemer og IKT i finanssektoren,

Hass and Associates Cyber Security Hvorfor Google ikke vokser

INFORMASJONSSIKKERHET

Transkript:

Virksomhetssikkerhet: Alltid en reise, aldri en destinasjon 2017 Risk:Value Report 1

Kort sammendrag Virksomheter møter en betydelig mengde sikkerhetsrisikoer i 2017. Ikke bare utsettes selskapene for en rekke datainnbrudd, men risikoen for selskapenes samsvar med reguleringer øker. Organisasjoner må adressere cybersikkerhet og personvern, utover det faktum at de risikerer utsette sitt rykte og sin finansielle status hvis de overser denne faren. De vil også stille seg åpne for myndighetene som kan straffe dem for å ikke ha tilstrekkelig beskyttelse. Med dette som bakgrunn har NTT Security intervjuet 1 350 beslutningstakere i selskaper på tvers av kloden for å finne ut hvordan de ser på sikkerhetsrisikoen og hva de faktisk gjør for å redusere den. Vi stilte spørsmål som omfattet alt fra hvordan de forholdt seg til spørsmål om samsvarsreguleringer og til hvor sikkert de oppbevarte sine data. Årets NTT Security rapport innehold en rekke spørsmål innenfor flere nøkkelområder som hvor dataene fysisk ble oppbevart, hvordan samsvarskrav slår ut og hvor godt virksomheter kommuniserer politikken rundt informasjonssikkerhet til de ansatte. Dette bredder en allerede omfattende forståelse rundt hvor godt forberedt man er med hensyn til cybersikkerhet. Resultatene fra disse studiene er varierte. På den ene siden gjør virksomhetene fremskritt i kampen for å sikre sine data. De viser fremgang innen nøkkelområder som sikker lagring av data og innen investeringer i cybersikkerhet tiltak og forsikring mot elektroniske trusler. På den andre siden er det flere gapende hull innen andre områder knyttet til beredskap innen cybersikkerhet. Selskaper er uvitende om hvordan og om sikkerhetsreguleringer omfatter dem og ligger fremdeles etter i utvikling og kommunikasjon av politikk innen informasjonssikkerhet. Ettersom innsatsen stiger for virksomheter i Europa og tilsluttede områder med tanke på den kommende General Data Protection Regulation (GDPR) må de bite i det sure eplet og investere i cybersikkerhet. Dette er ikke bare en finansiell øvelse, det krever også en inspirert og engasjert arbeidsstokk for å avstedkomme et kulturelt skifte i en organisasjon. Cybersikkerhet er en reise, ikke et mål i seg selv. 2

Introduksjon Årets NTT Security Risk:Value Report kommer på et kritisk tidspunkt for virksomheter. GDPR trer i kraft 25. mai 2018. Dette gir virksomhetene mindre enn ett år på å følge og innrette seg de krevende reguleringene innen personvern og sikkerhet 1. Med dette som bakteppe har NTT Security målt bekymringene innen cybersikkerhet og hvordan dette praktiseres i selskaper på global basis. Dette gjøres for bedre å forstå hvordan de ser på samsvaret i forhold til reguleringene og hvordan deres nåværende praksis støtter dette. GDPRs krav er altfor mange til å nevne alle, men de inkluderer 2 : Individets rettigheter til å få tilgang til data som omhandler dem og å overføre disse til tredjepart eller å slette dem Individets rett til å klage om hvordan deres data behandles og å begrense bruken av dem Et krav til å rapportere datainnbrudd til myndighetene i medlemsland og en beskrivelse av de tiltakene som er satt i gang. Dette skal også i enkelte tilfeller rapporteres til de enkeltpersoner som er berørt Oppnevne en sikkerhetsansvarlig som er ansvarlig for å overse personvern innen organisasjonen Vedta privacy by design for å vise at virksomheten har innført teknikk for datasikkerhet i sine systemer for informasjonsbehandling Regulativene fortsetter også eksisterende restriksjoner på hvilke data som overføres internasjonalt, til hvor og hvordan. Forskjellen nå er at overtredelser av enkeltregler kan resultere i bøter opp til rundt 200 millioner kroner eller fire prosent av global årlig omsetning avhengig av hva som er størst. Dette utgjør en veldig reel risiko for virksomheter som omsetter EU-borgeres personlige data. Med dette i tankene, er det viktigere enn noen gang at virksomheter innfører riktige prosedyrer og teknologier for informasjonssikkerhet for å beskytte seg selv og sine kunder fra å være utsatt. Hvordan ser de på den nåværende risikoen rundt informasjonssikkerhet? Hva har de gjort for å redusere disse risikoene? 1. http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf 2. https://www.twobirds.com/~/media/pdfs/gdpr-pdfs/bird--bird--guide-to-the-general-data-protection-regulation.pdf?la=en 3

Flyr i blinde når det gjelder krav til samsvar Figur 1 Hvilke samsvarsreguleringer må din organisasjon forholde seg til? Stilt til alle 1350 respondentene. HITECH/HIPAA (Health Insurance Portability and Accountability Act) ble kun vist til de (i helsesektoren). Forskning gjort av NTT Security antyder at mange selskaper fremdeles er uvitende i hvilken grad kommende sikkerhetsrelaterte reguleringer kommer til å gjelde dem. En vanlig misforståelse er at GDPR bare gjelder virksomheter innen EU. Dette er feil. Den gjelder for hvilken som helst bedrift som behandler data om EU-borgere og vil uten tvil ha en omfattende innvirkning på virksomheter over hele verden. Selv i Europa er det knapt halvparten av selskapene som ser ut til å være klar over at de omfattes av reguleringene. Resultatene viser at Sveits var de mest opplyste (58%) mens Tyskland og Østerrike kom på en delt andreplass (53%). 40% EU GDPR (General Data Protection Regulations) 33% ISO27001/2 (Information Security Management standard) 25% DPA (UK Data Protection Act) 23% PCI-DSS (Payment Card Industry Data Security Standard) 21% SOX (Sarbanes Oxley) 20% FCA/FSMA (Financial Conduct Authority) 14% GLBA (Gramm-Leach-Bliley Act) 2% HITECH/HIPAA (Health Insurance Portability and Accountability Act) 19% I don t know Figur 2 Analyse av respodentene som ikke vet hvor organisasjonen faktisk er lagret. Alle respondenter, 1350, fordelt på sektor. Det er bekymringsverdig når resultatene viser at de med dårligst kunnskap om dette i Europa er Storbritannia, hvor kun 39 prosent av selskapene trodde GDPR var noe man måtte forholde seg til og samsvare med. Virksomheter fra Storbritannia vil måtte forholde seg til disse regulativene før Brexit tar dem ut av EU og selv da må de samsvare med GDPR hvis de skal gjøre forretninger med virksomheter innen EU. En av fem beslutningstakere i Storbritannia innrømmet at de ikke visste hvilke samsvarsreguleringer som omfattet deres bedrift. Land utenfor Europa var ennå mindre informert om GDPR. På et bunnivå finner vi USA der kun en fjerdedel tror at dette omfattet dem. På samme måte kommer Hong Kong med 29 prosent, Australia med 26 prosent og Singapore med 33 prosent. Kunnskap om GDPR samsvar er med andre ord lav. Samtlige må forberede seg på å bråvåkne i mai 2018 når bøtene for ikke å være i samsvar med reguleringene kan kommer opp i milliarder av dollar for de største foretakene. Små forbedringer innen sikker datalagring Databehandling og lagring er et særdeles viktig område i GDPR. En viktig anbefaling fra UK Information Commissioners Office (ICO) er at organisasjoner bør få oversikt over sin data slik at de vet hva de har å forholde seg til 3. Selskaper må legge inn mer innsats. I 2017 hevdet 47 prosent av selskaper at alle deres kritiske data var sikkert oppbevart, noe som er en relativt liten økning i forhold til 40 prosent i 2015. Mer enn halvparten av alle virksomheter kan fremdeles ikke hevde dette om det kan føre til utfordringer i forhold til å komme i samsvar med GDPR. 33% Total 53% Government 47% Consumer services 43% Retail, distribution and transport 43% Utilities (including oil and gas) 37% Healthcare (public and private) 33% Business or professional services 31% Telecoms 29% Biotechnology, chemicals, petrochemicals and pharmaceuticals 29% Financial services, banking and insurance 23% Manufacturing 19% Computer services and technology 13% Construction and mining Hvorfor er disse tallene så lave? Du kan ikke beskytte det du ikke vet hvor er. Bare to tredjedeler eller 67 prosent av de som besvarte, visste hvor dataene deres ble oppbevart, noe som betyr at en tredjedel av de som besvarte ikke har mulighet til å beskytte det de ikke vet hvor er. I Storbritannia er situasjonen enda verre. Der vet ikke 43 prosent hvor dataene deres faktisk befinner seg. Å vite hvor dataene faktisk befinner seg er en god begynnelse, men det står fremdeles mye arbeid igjen. Av de som faktisk vet hvor dataene er, er det mindre enn halvparten (45%) som faktisk tror at reguleringene faktisk vil ha noen innvirkning på deres datalagring. 3. https://ico.org.uk/media/for-organisations/documents/1624219/preparing-for-the-gdpr-12-steps.pdf 4

Investere i sikkerhet Figur 3 Hva anser du som den største risikoen for din bedrift? Spurt alle 1350 respondenter. 2014: 23% 2015: 18% 2014: 9% 2015: 18% 28% Competitors taking market share 17% Lack of employee skills in key areas 13% An increase in global competition 13% Decreasing profits 12% Poor information security 9% Budget cuts 6% Industry disruption caused by new technologies, e.g. internet of things Mangelen på synlighet fører ikke til så mye bekymring som man skulle tro. Selskaper tar ikke nok hensyn til informasjonssikkerhet når de vurderer risikoen. I 2015 hevdet en av fem beslutningstakere (18%) at dårlig informasjonssikkerhet var det som utgjorde den største risikoen for virksomheten deres. I 2017 er dette tallet falt til en åttendedel (12%) og endte på femteplass bak tap av markedsandeler og økt konkurranse på verdensmarkedet, minkende overskudd og ufaglærte ansatte. En grunn til at selskaper er mindre bekymret for informasjonssikkerhet er at de føler seg beskyttet av økte investeringer. I 2015 ble det avsatt 12,66 prosent av IT-budsjettet og 10,59 prosent av driftsbudsjettet til informasjonssikkerhet. Dette økte betydelig til 14,58 prosent og 15,53 prosent respektivt i 2017. Virksomheter bruker mer på cybersikkerhet, men har de blitt sikrere? Vurdering av risiko Figur 4 Hvis informasjon ble stjålet under et datainnbrudd, hvordan ville din bedrift bli påvirket. Spurt alle 1350 respondenter. De som besvarte NTT Securitys undersøkelse ser ikke ut til å ha følt seg sikrere. 57 prosent av dem tror at datainnbrudd er umulig å unngå over tid. Hvis og når det skjer kommer det til å omfatte to ting; Selskapene forventer at nyheter om innbrudd vil påvirke deres evne til å gjøre forretninger på lang sikt og ha en mer direkte innvirkning finansielt på kort sikt. 43 prosent av de som besvarte trodde at de ville bli påført et finansielt tap ved ett innbrudd, mens 34 prosent spådde nedgang i aksjeeiernes verdi, men den mest forventede effekten var kulturell. 55 prosent sa at et datainnbrudd ville redusere kundenes tiltro til virksomheten fulgt av følger for merkevaren og omdømmet (51%). Dette forholder seg til deres oppfatning av risikoen for tap av markedsandeler til andre. 55% Loss of customer confidence 51% Damage to brand/reputation 43% Direct financial loss 34% Loss of shareholder value/share price 32% Financial penalty from an industry body or government 30% Loss of investment/potential investment 29% Disciplinary action against employees 28% Reduced business growth 13% Staff loses (to join other companies/competitors) 9% I/other senior decision makers in the business may resign 4% We wouldn t suffer any impact Selskaper gjør lurt i å bekymre seg for innvirkning på overskudd på kort sikt og på mer lang sikt innvirkninger av mer kulturell art. Estimerte kostnader forbundet med gjenoppretting, har gjennomsnittlig økt med fra 907 000 i 2015 til $1,35 millioner i 2017. Mens den estimerte konsekvensen viser at omsetning har gått ned fra 12,51 prosent i 2015 til 9,95 prosent i 2017, er dette fremdeles betydelig. Ingen selskaper har råd til å miste en tiendedel av omsetningen. 5

Informasjonssikkerhetspolitikk: Mer arbeid er nødvendig Figur 5 Har din organisasjon en formell politikk rundt informasjonssikkerhet? Spurt alle 1350 respondenter. 56% Yes, we have a full policy in place 27% Yes, we are in the process of implementing one 9% Not yet, but we are in the process of designing one 2% Not yet, but we are thinking about designing one 1% No, and we have no plans to implement one 5% Don t know Selskaper kan styrke en kultur rundt sikkerhet i virksomheten ved å ha et bevisst forhold til informasjon rundt sikkerhetspolitikken som skal vise staben hvordan de skal forholde seg til data. Hvis sikkerhet skal bli en del av kulturen i en bedrift, må den starte på toppen med støtte fra styrerommet. Selskaper ser ut til å forstå dette rent teoretisk og 73 prosent foreslår at hvordan sikre seg mot et angrep burde være et fast innslag på dagsordenen i styret. I praksis er historien en ganske annen. Kun 56 prosent av de som svarte at angrepsforebyggende tiltak er et regelmessig tema for diskusjon blant topplederne. Dette forteller oss at alt tatt i betraktning er det behov for et større sikkerhetsfokus hos ledere. 2014: 19% 2015: 27% 2014: 57% 2015: 52% Denne mangelen på fokus fra ledelsen får innvirkning på resten av organisasjonen. Mange selskaper mangler en klar retning når det kommer til informasjonssikkerhet. Bare 56 prosent av de som svarte kan peke på en formell politikk for informasjonssikkerhet i virksomheten. Dette er svakt opp fra 52 prosent i 2015, men det er fremdeles langt fra der det burde være. Å formalisere informasjonssikkerhet ser alltid ut til å være et pågående arbeid. 27 prosent av selskapene er halvveis i implementeringen av en offisiell sikkerhetspolitikk. Dette har ikke endret seg siden 2015. Tilbakemeldingen er klar: Vi jobber med saken. Spørsmålet er hvor høy prioritet det har? Andelen av de spurte som har en offisiell politikk for informasjonssikkerhet var ujevnt fordelt når man ser fra land til land. Mens noen virksomheter ikke var spesielt engasjerte (spesielt i Sverige med litt over 30 prosent), var andre helt i toppsjiktet. Storbritannia tok en klar førsteplass hvor 72 prosent av selskapene som hevder å ha en offisiell politikk. Hvis man ser pr. sektor, er helsetjenester i en klar ledelse med 69 prosent som hevder å ha en klar politikk. Finans kom på en knapp andreplass med 66 prosent. Vi finner en bekymringsfull statistikk innen forbrukertjenester med kun 35 prosent som hadde en offisiell politikk. En sektor som behandler sensitive persondata på denne måten er lett offer for angrep. 6

Kommunikasjon og bevissthet Figur 6 Har politikken rundt informasjonssikkerhet blitt aktivt kommunisert til alle i organisasjonen? Respondenter som svarte ja fordelt på land (594). Sikkerhetspolitikk er ikke spesielt nyttig hvis den befinner seg i en skuff. Dette skal være et levende dokument som gjennomgås og oppdateres jevnlig. Det er derfor viktig at dette forstås av de som på en jevnlig basis skal håndtere potensielle sikkerhetssituasjoner daglig. Storbritannias regjering fremhever at opplæring av ansatte som en av de ti viktigste tingene man gjøre innen cybersikkerhet 4. Hvor godt kommuniserer det globale næringslivet dette konseptet? Blant dem som har en offisiell politikk svarte 79 prosent at de aktivt kommuniserte dette til alle ansatte i organisasjonen. Tyskland og Østerrike gjorde det spesielt godt med 85 prosent av de som besvarte. USA med 84 prosent og Storbritannia med 83 prosent hevet seg over gjennomsnittet. 79% Total 83% UK 84% US 85% Germany and Austria 76% France 63% Sweden 63% Norway 69% Switzerland 85% Hong Kong 83% Australia 73% Singapore Disse tallene tar ikke høyde for kvaliteten på det som kommuniseres. Å sende noen en PDF er ikke et program som forsterker bevisstheten rundt denne problematikken. Virksomheter gir gjerne informasjon om sikkerhetspolitikken, men NTT Securitys undersøkelse viser at bare rundt 39 prosent av de som mottar den har forstått politikken skikkelig. Tallene rundt kommunikasjon og bevissthet reflekterer kun respons fra 56 prosent av virksomhetene som har en sikkerhetspolitikk på plass. Dette betyr i praksis at bare 44 prosent av selskapene har kommunisert at de har en sikkerhetspolitikk til sine ansatte og kun 22 prosent tror at de ansatte fullt ut forstår dem. Virksomhetene har en del arbeid som gjenstår her. 4. https://www.gov.uk/government/publications/cyber-risk-management-a-board-level-responsibility/10-steps-summary 7

Hendelseshåndtering Figur 7 Har du en plan for hendelseshåndtering tilfelle et sikkerhetsbrudd eller hvis det ikke er reguleringssamsvar når det gjelder informasjon eller data. Respondenter 1350. 2014: 19% 2015: 28% 48% Yes, we have an incident response plan 31% Yes, we are in the process of implementing an incident response plan 10% Not yet, but we are in the process of designing an incident response plan 2% No, and we have no plans to implement one 8% Don t know En av de største spørsmålene som reiser seg for et selskap som er blitt utsatt for et angrep er tiden det tar å gjenopprette følgende av skaden. Dette har en direkte effekt på hvor motstandsdyktig virksomheten er, noe som er meget viktig. Virksomheter som ikke klarer å håndtere den stormen et sikkerhetsbrudd fører med seg, mangler den motstandsdyktigheten som trengs og risikerer å gå under. Det har vært flere eksempler på at hakking har tatt liver av virksomheter 5. De som besvarer regner med at det vil ta rundt 74 dager å komme seg igjen etter et datainnbrudd, i gjennomsnitt. Den hastigheten man klarer å gjenopprette skaden kan direkte tilbakeføres til hvor godt virksomheten er forberedt. En plan for hendelseshåndtering er en meget viktig del en bedrifts forberedelsesprogram. Beklageligvis er kun 48 prosent av selskapene som er undersøkt i besittelse av en slik. 31 prosent svarte derimot at de var i ferd med å implementere en slik plan. Spørsmålet er hvor effektiv en slik plan er? Det er avhengig av at noen leser dem i det hele tatt. Av selskapene som hadde eller var i ferd med å implementere en slik plan, hadde bare 47 prosent av mottakerne fullt forstått hva den innebar. 47 prosent av de andre hadde delvis forstått. Det som er lovende med dette er at ledelsen spiller en aktiv del i å effektuere en slik plan. De fordeler ansvar rimelig jevnt mellom CEO (23 prosent), CIO (21 prosent), CISO (22 prosent) og COO (21 prosent), som betyr at det å være forberedt er noe som har ledelsens oppmerksomhet. 5. https://www.infosecurity-magazine.com/magazine-features/killing-me-softly-with-his-hack/ 8

Interessen for forsikring mot elektroniske trusler øker Figur 8 Har du en dedikert politikk rundt sikkerhetsforsikring? Spurt alle 1350 respondenter. 2015: 35% 40% Yes, we have a dedicated cyber security insurance policy 22% No, but we are in the process of getting one 13% No, but we are thinking about getting one 5% No, and we have no plans to get one 20% Don t know Forsikring mot elektroniske trusler er en måte å redusere risikoen man løper ved et dataangrep. I 2015 hadde 35 prosent av selskapene en slik forsikring mens 43 prosent enten var i ferd med å skaffe seg en eller i det minste å vurdere det. To år senere har denne interessen ikke ført til noe. 40 prosent har nå denne typen forsikring mens 35 prosent er nå i ferd med eller vurderer å skaffe seg en. Den sektoren som har omfavnet denne typen forsikring er den som håndterer sensitiv intellektuell eiendom eller kundedata. 52 prosent av finansielle institusjoner har forsikring og 51 prosent innen biotek/kjemisk eller farmasøytisk sektor har skaffet seg en. De som henger etter inkluderer kommunal forsyning av gass, energi, vann og avløp med 20 prosent, offentlig sektor med 25 prosent og forbrukertjenester med 26 prosent. Dårlig praksis setter forsikring i fare Forsikring mot elektroniske trusler er en populær trend blant virksomheter, men slike kontrakter kan være vanskelige å forhandle ettersom det er mange variabler å ta hensyn til. Forsikringsbransjen forventer et visst nivå av modenhet innen cybersikkerhet fra klientens side. Hvis selskaper ikke kan demonstrere at de innehar den nødvendige kompetansen innen cybersikkerhet og risikohåndtering, er det mulig man bli nektet en polise eller at den eksisterende bli avsluttet. De som har besvart NTT Securitys undersøkelse anerkjenner at flere risikofaktorer kan sette slike poliser i fare. Dårlig systemoppdatering. 45 prosent av selskapene følte at det å ikke oppdatere eksisterende It-systemer kunne eller ville ugyldiggjøre en sikkerhetspolise. Dette er en av flere grunnleggende praksiser rundt cybersikkerhet som er identifisert av Australian Signals Directorate som et element som vil stoppe de fleste angrep 6. Dette var en av hovedgrunnen til at WannaCry spredde seg globalt i mai 2017. Dette angrepet utnyttet programvare som Microsoft hadde sendt ut en oppgradering for allerede en måned tidligere 7. Gamle it-systemer. 38 prosent av selskapene mente at dette var en vesentlig faktor for å gjøre forsikringen ugyldig. WannaCry utnytter primært Windows 7 systemer som ikke var oppdatert og som var utdatert eller forbi utskiftelsesdato. Operativsystemer som var oppdatert til riktig versjon ble ikke påvirket. Mangel på en plan for hendelseshåndtering. 37 prosent tror mangelen på en plan for hendelseshåndtering ville påvirket forsikringen deres. Mangel på samsvar med reguleringer. 32 prosent av selskapene ment at det å ikke følge reguleringer kunne eller ville gjøre forsikringen ugyldig. GDPR vil kunne forverre dette problemet. Mangel på oppmerksomhet fra ansatte. 26 prosent av selskapene mente at de ansatte kunne skuffe dem på nøkkelområder innen cybersikkerhet noe som igjen ville få en innvirkning på en forsikringspolise mot elektroniske trusler. Dette fremhever nødvendigheten for en robust og godt kommunisert sikkerhetspolitikk og opplæring. 6. https://www.asd.gov.au/publications/protect/top_4_mitigations.htm 7. https://technet.microsoft.com/en-us/library/security/ms17-010.aspx 9

Å arbeide med tredjepart Figur 9 Hvorfor bruker eller planlegger din organisasjon å bruke tredjeparts administrert sikkerhetstjenester? Kun spurt respondenter hvis organisasjon bruker eller vurderer å bruke en trdjepartsleverandør. (977) Seks prosent av selskapene arbeider for tiden med tredjepartsleverandører av sikkerhetsløsninger og selv om utfordringene øker vurderer flere å gjøre det samme. 38 prosent av de som har besvart sa at de vurderte å innhente ekstern hjelp og 28 prosent sa at de kunne vurdere det i fremtiden. Finansielle tjenester ligger fremt her, med en av 10 selskaper som bruker eksterne tjenester til sammenlikning med de fleste andre sektorer som har prosenter på ett siffer. De sektorene som er mest interessert i å hente inn tredjeparts administrerte sikkerhetstjenester er selskaper innen bedriftstjenester og profesjonelle tjenester med 51 prosent. Data- og teknologiselskaper følger etter med 49 prosent. 43% Providing data storage 41% Support with data management 29% To gain access to better technology 28% We have a lack of internal resources 28% We have a lack of internal skills 26% We are implementing Business Process Outsourcing (BPO) (e.g. HR & payroll, sales order processing, finance etc.) 24% It is cheaper to outsource 17% To assist with cloud migration 15% To assist with system modernization 2% I don t know To hovedelementer driver bruken av administrerte sikkerhetstjenester, og begge er relatert til kravene som kommer med GDPR. 43 prosent av de som bruker, eller planlegger å bruke, en ekstern leverandør, planla å få hjelp med datalagring mens 41 prosent ville har hjelp til administrasjon av en større bredde av tjenester. Mange selskaper trenger hjelp fordi de ikke anser at de besitter kompetansen de trenger. 29 prosent ville ha tilgang til bedre teknologi, mens 28 prosent fremhevet en generell mangel på egne ressurser. 28 prosent fremhevet for dårlig kunnskaper internt som et problem, noe som reflekterer et sentralt konsept innen sikkerhet: sikkerhet handler om mennesker og prosesser, ikke bare teknologi. 24 prosent av besvarelsene tror det er billigere å sette ut enn å administrere sin egen sikkerhet. På den annen side mente halvparten av selskapene som ikke benytter eller planlegge å benytte tredjepartstjenester at de har den nødvendige kunnskapen selv. Andre faktorer inkluderer bekymring rundt deling av data (40 prosent), sikkerhet (28 prosent) og kostnad (21 prosent). 10

Konklusjon Virksomheter gjør enkelte fremskritt innen cybersikkerhet. De investerer mer i å sikre egen infrastruktur, og flere lagrer dataene sin sikrere enn tidligere. De tror de kan komme raskere tilbake fra et dataangrep, og at det lar seg gjøre med mindre innvirkning på omsetningen. Uansett er det mange skjær i sjøen. Virksomheter setter fremdeles ikke cybersikkerhet på agendaen i ledelsen i så stor grad som de kunne og de lykkes ikke i å få de ansatte på sin side ved å lage og kommunisere sikkerhetspolitikken på en skikkelig måte. De forstår heller ikke at det å ikke oppgradere systemer gjør det vanskelig for dem å få finansiell beskyttelse ved et dataangrep. Den kanskje største risikoen av alle er reguleringen. Frem til nå har selskaper som har hull i sikkerhetsstrategien tatt risikoen og inngått kompromisser for så å håndtere problemet hvis det skulle oppstå. Fra 25. mai 2018 ligger bevisbyrden på dem. Skulle regulatorer komme på besøk er selskapene forpliktet til å vise at de har satt i gang gode nok tiltak i forhold til GDPRs regler for databeskyttelse. Hvis de ikke har det er straffen både rask og hard. Det er nå på høy tid å adressere dette problemet og sørge for at man drifter i samsvar med reglene. 11

Hvis du vil vite mer om NTT Security og våre unike tjenester for informasjonssikkerhet og risikostyring, kan du kontakte kontorepresentanten din eller gå til for å finne kontaktinformasjon for ditt område. Om undersøkelsen 2017 Risk:Value Report ble utført av Vanson Bourne i perioden mars til mai 2017 på vegne av NTT Security. 1.350 ikke-it-beslutningstakere (35 prosent i toppledelse) fra USA, Storbritannia, Tyskland, Østerrike, Sveits, Frankrike, Sverige, Norge, Hong Kong, Australia og Singapore deltok i undersøkelsen. Virksomhetene hadde mer enn 500 ansatte og representerte på kryss av en rekke kjernesektorer. Omtrent en tredel av svarerne kom fra finanssektoren. Om NTT Security NTT Security er et spesialisert sikkerhetsselskap innen NTT Group. NTT Security leverer sikre og robuste løsninger for å møte kundenes behov i den digitale transformasjonen. NTT Security har ti sikkerhetsoperasjonssentraler, sju forsknings- og utviklingssentre, over 1500 sikkerhetseksperter og håndterer årlig flere hundretusen sikkerhetshendelser på seks kontinenter. NTT Security i Norden kombinerer global leveransekapasitet med lokal ekspertise, og sikrer at kundens ressurser blir brukt effektivt, ved å levere den rette miksen av konsulenttjenester, administrerte tjenester og teknologi. NTT Security er en del av NTT Group (Nippon Telegraph and Telephone Corporation), et av verdens største IT-selskaper. Besøk nttsecurity.com for å lære mer. 12 2017 NTT Security

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding