PÅ AVVEIE: Fysisk tyveri av datautstyr er hovedårsaken til at informasjon kommer på avveie, men det bekymrer ikke bedriftslederne. Her er overvåkingabilder fra et innbrudd i fjor.

Krever tvungen opplæring i datasikkerhet

  • IT

Hovedfunn i Mørketallsundersøkelsen

  • Virksomhetene er mer avhengige av it og har større mobilitet.
  • 1/3 av virksomhetene er utsatt for datakriminalitet, ca. 1 prosent blir anmeldt til politiet.
  • Opp mot halvparten av gjerningsmennene er egne ansatte eller innleide konsulenter.
  • 56 prosent av virksomhetene outsourcer helt eller delvis it-driften, men stiller få krav til leverandørene.
  • Stor tiltro til outsourcingsaktørenes håndtering av sikkerheten, men lav fokus på kontroll, oppfølging eller sanksjoner ved mangler.
  • Ingen forbedring når det gjelder sikringstiltak siden 2008.
  • Sikringstiltak igangsettes uten at nødvendige risikoanalyser er gjennomført.
  • Informasjon spres i nye medier og kanaler. Bruken av nettsamfunn har syv-doblet seg siden 2008, mens under 1/3 har retningslinjer for bruk av nettsamfunn.

Anbefalte tiltak:

  • Mer sikkerhetsfokus på mobile enheter.
  • Anmelde alle vesentlige sikkerhetshendelser.
  • Sertifiseringsordning på sikkerhet for leverandører av it-drift.
  • Obligatoriske it-sikkerhetskurs for lederne i virksomhetene.


Virksomheter som driver forskning og utvikling er mer utsatt for datatyveri. Det viser den kommende Mørketallsundersøkelsen blant private bedrifter og offentlige etater fra Næringslivets Sikkerhetsråd (NSR). Den legges frem på den årlige Sikkerhetskonferansen tirsdag og onsdag denne uken.

Her kommer det frem at 30 prosent av virksomheter som driver FoU har fått frastjålet datautstyr i løpet av 2009. Til sammenligning har slike tyverier skjedd hos 15 prosent av virksomheter som ikke driver slik aktivitet. Samtidig oppgir bare to prosent av virksomhetene at de har blitt frastjålet informasjon.





Alarm

Dette får alarmklokkene til å ringe hos NSR-direktør Erland Løkken.

– Lederne mener at informasjonen som er lagret på stjålet datautstyr ikke er gått tapt etter som de har sørget for sikkerhetskopier av dataene. Med andre ord har informasjon på avveie ikke noen verdi. Her snakker vi om mental kortslutning, mener Løkken.

Han er overrasket over ledernes holdning til verdien av informasjon. En bedrift som har utviklet en egen løsning i sin bransje, oppnår en konkurransefordel. Dermed har denne informasjonen en økonomisk verdi. Hvis denne informasjonen havner hos konkurrenter, mister man dette fortrinnet, og bedriften kan gå glipp av fremtidige inntekter.





Intet vekk, intet tapt

– Lederen er opptatt av fysisk datasikkerhet i form av back up, men legger mindre vekt på å sikre verdiene som ligger i den lagrede informasjonen. Så lenge dataene ikke er fysisk borte, er ikke lederne bekymret for økonomisk tap. Selv om de kan ha blitt kopiert av uvedkommende. Her snakker vi om sikkerhetskultur i egen organisasjon, og undersøkelsen viser at det ofte er medarbeidere som står bak datahendelser, sier Løkken.

Han tror lederne rett og slett har nådd et metningspunkt i forhold til datasikkerhet.

– De orker ikke å holde seg oppdatert lenger og setter bort hele greia til en ekstern leverandør. Og her svikter det på bestillerrollen. Bedrifter som ikke holder seg oppdatert har ofte heller ikke kompetanse til å be om det sikkerhetsnivået som bedriften trenger, sier Løkken.





Tvang

Tvungen opplæring er det eneste som hjelper, tror NSR.

– Kompetanseøkning må til, og da er obligatorisk opplæring det eneste som hjelper. Vi vurderer å lage et gratis kurs, mens det er opp til regjeringen å sørge for å pålegge ledere i offentlig og privat sektor å kurse seg, sier NSR-direktøren.





Erland Løkken, direktør, Næringslivets sikkerhetsråd.
BEKYMRET: NSR-sjef Erland Løkken er bekymret for norske lederes holdning til informasjon på avveie. Morten Brakestad

Datakrim anmeldes ikke

NSR vil ha spesialpoliti.

Mørketallsundersøkelsen beregner at norske virksomheter ble utsatt for ca. 9800 datainnbrudd i 2009. Til sammenligning har politiet bare registrert 88 anmeldelser for datainnbrudd for perioden. Målrettede angrep estimeres til ca. 2600 for 2009. Ingen tilfeller er politianmeldt. Misbruk av it-ressurser, som bot-angrep, beregnes til ca. 9100 i 2009. 24 saker ble anmeldt.

Men lederne dropper anmeldelse fordi de regner med at politiet ikke har ressurser til å etterforske dem.

– Derfor trenger vi et eget Datakrim på linje med Økokrim. Vi har et eget politi for natur og penger, men ingen enhet som kan rykke ut hvis internett stopper opp, sier NSR-direktør Erland Løkken.

– Vi trenger kompetanseheving i politiet så man blir i stand til å møte kriminalitet som begås både ved hjelp av internett og på internett, sier han til Teknisk Ukeblad.