Nok en gang blir et dramatisk fravær av IT-sikkerhet i norske bedrifter dokumentert.
Til tross for disse høye tallene, ble kun 187 saker om datakriminalitet politianmeldt i fjor. 50 av disse var rene datainnbrudd.
Tallene kommer frem i Mørketallsundersøkelsen 2003. Den er laget av Politiets datakrimsenter i Økokrim, Næringslivets sikkerhetsråd og Senter for informasjonssikring (SIS) under Sintef.
Tilsvarende undersøkelser er gjort i 1993, 1997 og 2001. Den siste bekrefter tidligere funn: Norske bedrifter og offentlige etater forsømmer datasikkerhet.
Åtte av ti bedrifter har lagret sensitiv informasjon på sine datasystemer. Likevel er det kun 14 prosent som krypterer den, selv om ca. halvparten tillater ansatte å knytte seg opp til bedriftens datanettverk utenfra. Bank og finansnæringen er blant verstingene, under halvparten av disse benytter kryptering, mens 80 prosent tillater ansatte å knytte seg opp utenfra.
- Hvis de tallene er korrekte, må vi gjøre noe, sier Hans-Jacob Anonsen, medlem i Næringslivets sikkerhetsråd på vegne av Finansnæringens hovedorganisasjon. Anonsen har ennå ikke sett rapporten og vil ikke gi ytterligere kommentarer.
Skyhøye tap
En fjerdedel av de spurte er i stand til å tallfeste direkte tap som følge av datakriminalitet. Dette beløper seg i snitt til 200.000 kroner pr. bedrift. I tillegg kommer indirekte tap som beløper seg til 450.000 kroner.
Forsker Øyvind Eilertsen ved SIS bekrefter at det knytter seg noe usikkerhet til disse tallene, og at svært høye tall hos noen få driver snittet opp.
IT-sikringsleder Øyvind Davidsen i Statoil sier denne undersøkelsen kan bli en vekker for norske bedrifter. - Det er fremdeles for lite bevissthet rundt datasikkerhet. De fleste reagerer først etter at noe har skjedd, sier Davidsen, som bekrefter at Statoil anmelder enhver straffbar handling.
To av tre bedrifter sier de vil få vesentlige problemer allerede etter første dag hvis IT-systemet er ute av drift. Ni av ti vil få vanskeligheter om informasjonen er endret eller fjernet. Likevel er det forbausende lav bevissthet rundt sikkerhet.
Undersøkelsen viser at under halvparten av de bedriftene som logger datatrafikk går systematisk gjennom loggene. De fleste mangler rutiner for rapportering om noe skulle bli avdekket.
