Få norske bedrifter er forsikret mot dataangrep: – Det er bekymringsfullt

– Vi vurderte aldri at vi var spesielt utsatt for slike ting, sier Dag Forfang, daglig leder i den selvstendige avisen Helgelands Blad.

23. september i fjor ble store deler av datasystemet deres låst. Dataangrepet gjorde en god del data utilgjengelig, deriblant arkivmateriale og abonnementssystemet. Innstillingene til trykkeriet forsvant og gjorde det umulig å produsere avis.

– Vi anmeldte saken, men den ble henlagt. Politiet klarte aldri å finne ut hvem som sto bak, sier Forfang.

2021 var et toppår for dataangrep mot selskaper og organisasjoner verden over.

Sikkerhetsselskapet Check Point registrerte en økning på 50 prosent i angrepsforsøk mot selskaper verden over sammenlignet med 2020.

I Norge registrerte selskapet 505 angrepsforsøk i uka mot hvert enkelt av de norske selskapene de jobber med i 2021. Det er en dobling sammenlignet med 2020.

En undersøkelse gjort av NHO viser at hver femte medlemsbedrift har blitt utsatt for dataangrep. Ser man bare på bedrifter med over 50 ansatte, stiger andelen til én av tre bedrifter.

Også Nasjonal sikkerhetsmyndighet (NSM) opplevde en økning i alvorlige angrep i 2021.

– Vi hadde en tredobling i alvorlige dataangrep fra 2019 til 2020. Den utviklingen fortsatte med en økning også i 2021. Utviklingen går på både på økning i antall hendelser, men vi ser også at konsekvensene blir mer synlige. Spesielt i saker knyttet til dette med løsepengevirus, sier Bente Hoff i NSM.

Hun mener det er flere årsaker til økningen.

– Trusselaktørene har blitt profesjonelle og det er stor aktivitet. Samtidig har vi i samfunnet fått flere digitale tjenester som vi er avhengige av, som de forsøker å utnytte.

I de fleste tilfellene ble angrepene stoppet. Men det finnes mange eksempler der det gikk galt.

NRK har identifisert minst 31 hendelser der kriminelle har forsøkt å stenge ned en norsk virksomhets IT-systemer i løpet av de tre siste årene. De har kostet norske bedrifter rundt 1 milliard kroner.

23 av hendelsene skjedde i 2021.

Uaktuelt å betale løsepenger

Blant de krypterte filene hos Helgelands Blad ble det funnet ei melding fra dem som sto bak angrepet. Dersom avisen betalte en viss sum i kryptovaluta, ville de få tilgang til all dataen som var låst.

– Jeg husker ikke hvor mye penger det var snakk om. Men det var ikke aktuelt for oss å betale det, sier daglig leder Dag Forfang.

Men dataangrepet har likevel kostet avisen dyrt.

– Det kostet oss vel 3-400.000 kroner å rydde opp etter dataangrepet vi ble utsatt for, sier Forfang.

– Det har mye å si for en liten avis som oss. Økonomisk sett er det egentlig ganske forferdelig. Vi hadde ikke cyberforsikring heller.

Og Helgelands Blad er ikke alene.

Få bedrifter er forsikret mot dataangrep

De fleste forsikringsselskapene i Norge tilbyr forsikring mot dataangrep til norske bedrifter, såkalt cyberforsikring.

Sigmund Clementz, kommunikasjonssjef i If, forteller at det viktigste en slik forsikring gjør er å gi bedriftene profesjonell hjelp dersom de blir utsatt for et dataangrep.

– I tillegg er det viktig at bedriftene får kompensert det de taper på et eventuelt stopp i driften som følger av angrepet, sier han.

Likevel er det langt fra alle norske bedrifter som har slik forsikring.

Tryg forsikring forteller om en dobling av antall cyberforsikrings-saker fra 2020 til 2021. Deres tall viser at 80 prosent ikke har forsikring som dekker skadene etter et dataangrep.

Blant bedriftskundene til Gjensidige har rundt 1 av 100 kjøpt cyberforsikring, forteller Erlend Hjelle.

– Det er bekymringsfullt. En slik forsikring kan i verste fall utgjøre forskjellen mellom konkurs eller fortsatt drift. Dette har vi sett i praksis blant de skadesakene vi har hatt, skriver Hjelle.

Sigmund Clementz i If har ingen konkrete tall på hvor stor andel av deres kunder som har cyberforsikring.

– Men jeg kjenner meg igjen i beskrivelsen til Gjensidige, sier han.

Clementz forteller at svenske bedrifter er forsikret mot dataangrep i større grad enn norske.

– Min oppfatning er at den generelle holdningen i Norge nok er mer at «dette kan ikke skje oss. Vi har oppdatert antivirus og brannmur». Det holder dessverre ikke alltid. Langt flere bedrifter burde hatt slik forsikring. Og jeg sier ikke dette bare fordi vi selger det, men når noe skjer er du ikke alltid rustet til å håndtere det.

Helgelands Blad angrer

Fremtind leverer forsikring til kundene i Sparebank1 og DNB. De ser at mange bedrifter ikke er like opptatt av cyberforsikring.

– Vår erfaring er at bedrifter som tradisjonelt sett ikke anser seg selv som IT-bedrifter synes at behovet for et cyberprodukt kan være vanskelig å forstå. Og kanskje ikke tenker at det kan være relevant for dem, skriver Grete Trulsrud til NRK.

– Det er lett å glemme hvor mye som faktisk er lagret digitalt, og hvor digitalt sårbar bedriften er med. Samtidig er man heller kanskje ikke klar over at cyberkriminalitet rammer tilfeldig, og at det også rammer små og mellomstore bedrifter.

Bente Hoff i NSM sier at det er blitt mer bevissthet i norske bedrifter når det gjelder datasikkerhet.

– Men det er nødvendig at dette tas enda mer på alvor i norske virksomheter. Det krever strukturert arbeid over tid for å kunne være best mulig rustet mot dataangrep. Det må høyt oppe på agendaen i styrerom og virksomhetsledelse, og være en del av alle beslutninger som tas, sier Hoff.

– Burde flere bedrifter se på cyberforsikring som en mulighet for å beskytte seg?

– Først og fremst må virksomhetene sørge for å være motstandsdyktige mot denne type angrep. Cyberforsikring må ikke bli en sovepute. En forsikring vil ikke fullt ut kunne erstatte det tapte når du først er blitt angrepet.

Snart et halvt år etter angrepet mot Helgelands Blad forteller daglig leder Dag Forfang at de har fått det meste på plass igjen.

– Men det er klart angrepet hadde en hel del å si på det økonomiske resultatet i fjor. I tillegg har vi jo lært oss en viktig lekse, sier han.

– Angrer du på at dere ikke hadde cyberforsikring?

– Klart vi angrer litt, men det er ikke noe å gjøre med det nå.