For første gang har Nasjonal sikkerhetsmyndighet (NSM) tallfestet omfanget av datakriminalitet mot norsk næringsliv.
I fjor ble det begått nesten 45.000 datakriminelle handlinger i Norge. Dermed tapte bedriftene 20 milliarder kroner. Mange vet ikke engang at de er blitt rammet.
– Det er godt mulig at beløpet er langt høyere. 20 milliarder kroner er et forsiktig anslag, sier NSM-direktør Kjetil Nilsen. Han mener at bedrifter med god datasikkerhet vil få et konkurransefortrinn i tiden framover.
– Dagens kriminelle er ikke skapsprengere og ranere. Hittil i år har det nesten ikke skjedd store alvorlige ran i Norge. Men hvor er da de kriminelle? Jo, de er der pengene befinner seg. På nettet.
– Hovedproblemet er at de kriminelle hele tiden ligger foran bedriftenes sikkerhetsavdelinger, sa Nilsen da Næringslivets Sikkerhetsråd i dag presenterte årets Mørketallsundersøkelse.
Undersøkelsen bør være dyster lesning hos bedriftsledere og i norske styrerom.
- LES OGSÅ:
Elementære sikkerhetsbrudd
Elementære sikkerhetsbrudd som feilsendte e-poster og gjenglemte usikrede minnepinner med personopplysninger er fortsatt et stort sikkerhetsproblem i norsk næringsliv.
En tredel av bedriftene svarer at de har sendt sensitive e-poster til feil mottakere. 26 prosent har mistet minnepinner med viktig informasjon.
Men dette er det tross alt lett å gjøre noe med, både i næringslivet og hos privatpersoner.
Verre er det at svært mange bedrifter mangler kompetanse om informasjonssikkerhet og datakriminalitet.
– De digitale angrepene er blitt mer målrettet og mer avanserte den siste tiden, men bedriftene vet for lite om dette. Trusselbildet øker, sier direktør Kristine Beitland i Næringslivets Sikkerhetsråd.
At mange ansatte bruker usikret privat datautstyr på jobben er et annet problem. – Det er for liten oppmerksomhet om sikkerheten knyttet til bruk av private nettbrett og smartmobiler, mener hun.
- LES OGSÅ:
Nesten ingen anmeldelser
Mørketallsundersøkelsen anslår at det skjedde 44.800 tilfeller av datakriminalitet i Norge i fjor. Men bare 361 av dem ble anmeldt til politiet!
Det vanligste er bedrageri ved misbruk av kredittkort på nettet (29.800 tilfeller), spredning av ulovlig eller opphavsrettslig beskyttet materiale (5900) og datainnbrudd/hacking (3200 tilfeller).
13 prosent av bedriftene i Norge opplevde tyveri av PCer og annet IT-utstyr i fjor, men bare 1 prosent oppgir at informasjon ble stjålet. «Dette viser manglende forståelse for verdi og konsekvensene ved tyveri av informasjon», heter det i rapporten.
De aller fleste tilfellene av datakriminalitet blir altså ikke anmeldt. Ifølge Mørketallsundersøkelsen er dette de viktigste årsakene:
- Bedriften regner med at det ikke er mulig å finne gjerningsmannen.
- Angrepet var ikke rettet direkte mot bedriften.
- Bedriften mener tapet var ubetydelig.
LES OGSÅ:
– Ikke guttestreker
– Vi snakker ikke lenger om guttestreker. Nå handler dette først og fremst om organisert kriminalitet, sier administrerende direktør Hege Skryseth i Microsoft Norge i en kommentar til Mørktallsundersøkelsen.
Hun viser til forskning som tyder på at det nå internasjonalt ligger mer penger i kriminalitet på nettet enn i den samlede omsetningen av narkotika i verden.
Industrispionasje og datainnbrudd ved hjelp av ondsinnet programvare, såkalt APT (Advanced Persistent Threats), er en økende trend i Norge.
Her er det snakk om kriminelle som arbeider målrettet med betydelige ressurser.
Ifølge Mørketallsundersøkelsen kan bedrifter som har vært utsatt for APT-angrep være uvitende om det som skjer i årevis.
«Det er sannsynlig at mange av de som har vært kompromittert aldri blir klar over hva som har skjedd», skriver sikkerhetsselskapet Norman ASA i en vurdering som er gjengitt i den nye undersøkelsen.
- LES OGSÅ:
Trygge banker
– Når det gjelder sikkerhet, ligger den norske banknæringen langt framme internasjonalt. Det skal vi være glade for, sier direktøren i Nasjonal sikkerhetsmyndighet.
Ett eksempel er Fidusprisen 2012, som
. Prisen deles ut for å skjerpe bevisstheten om datasikkerhet hos privatpersoner, næringsliv og offentlige etater.Men generelt mener Kjetil Nilsen at norske selskaper er alt for slappe med helt elementær sikkerhet, som for eksempel å oppdatere programvare og sørge for trygge passord.
Tester som Sikkerhetsmyndigheten nylig har gjennomført viser at det er overraskende enkelt å trenge inn i mange bedrifters datasystemer. Tyvene trenger ofte ikke annet enn lett tilgjengelige gratisprogrammer.
– Dette handler om digitalt rot i bedriftene. De ser det kanskje ikke selv, men rotet er der, sier Nilsen.
– Selv om sikkerheten er blitt bedre mange steder, går dette langsommere enn trusseløkningen. Det er selve hovedutfordringen nå. Norsk næringsliv henger ikke med, kanskje på grunn av naivitet og egenrådighet, mener han.
- LES OGSÅ:
Omdømme og troverdighet
Nilsen forteller at det nylig er tatt ut flere gruppesøksmål i USA mot bedrifter som ikke skal ha ivaretatt kundenes personopplysninger godt nok.
– Dette tror jeg det blir mer av. Informasjonssikkerhet vil få stadig større betydning for bedrifters omdømme, spår Kjetil Nilsen.
Ifølge den nye rapporten kan vi vente en fortsatt økning i alvorlige hendelser i tiden framover. Ondsinnet programvare blir mer profesjonell, og misbruk og infisering av smartkort og smartkortlesere kan bli en ny trend.
Dessuten er muligheten stor for mer spredning av skadevare over mobile enheter.
Mørketallsundersøkelsen er gjennomført av TNS Gallup for Datakrimutvalget i Næringslivets Sikkerhetsråd, og har kartlagt situasjonen i 2011.
- LES OGSÅ: