Mørketallsundersøkelsen 2020 viser positiv utvikling i norske virksomheters systematiske arbeid med informasjonssikkerhet. Undersøkelsen synliggjør at sikkerhetsarbeidet er på agendaen og blir prioritert.
Hvert andre år gir Næringslivets Sikkerhetsråd (NSR) ut Mørketallsundersøkelsen. Undersøkelsen viser hvordan IT-tilstanden i private og offentlige virksomheter er i hele landet, og hvilke holdninger virksomhetene har til IT-sikkerhet. Resultatene baserer seg på 1601 intervjuer, to tredjedeler av intervjuene ble foretatt med private selskaper. Rundt 80 prosent av disse selskapene var små og mellomstore bedrifter med mindre enn 100 ansatte.
– Trenden er positiv og derfor syns vi resultatene er oppløftende, sier Odin Johannessen som er direktør i Næringslivets Sikkerhetsråd.
Jobber systematisk
Rapporten fra undersøkelsen viser at andelen av dem som arbeider systematisk med sikkerhetsarbeid har steget fra 61 til 69 prosent.
– Dette er viktig. For hvis man arbeider systematisk er sikkerhetsarbeidet satt i system. Det betyr at virksomhetene har vurdert forhold som hvilke verdier de besitter, hvilke trusler de kan bli utsatt for, hvilke sårbarheter de har og hvordan de skal arbeide for å minimere risiko for sikkerhetsbrudd. Arbeidet behøver ikke være veldig omfattende, men det er viktig at det er en struktur på det, forklarer Johannessen.
Sikkerhetsbrudd oppdages tilfeldig
En annen ting rapporten viser, og som ikke er like bra, er at sikkerhetsbrudd som oftest oppdages på grunn av tilfeldigheter. Blant de som har opplevd uønskede hendelser mener 64 prosent at årsaken til sikkerhetsbruddet var tilfeldigheter eller uflaks, mens halvparten også tilskriver sikkerhetsbruddet menneskelige feil.
– Men selv om mye
oppdages ved rene tilfeldigheter, så har vi kort responstid og handler
ofte resolutt når sikkerhetsbrudd først oppdages. Veien til handling er
kort, og det er bra!
Hvorfor blir vi utsatt
Men er det uflaks, tilfeldigheter og menneskelig svikt som er årsaken til sikkerhetsbruddene?
– Min hypotese er at dersom vi klarer å redusere antall menneskelige feil, så tror jeg også andelen av tilfeldigheter og uflaks som årsak til sikkerhetsbrudd vil reduseres. Dette betyr på ingen måte at alle bør være dataingeniører, men at det er noen hovedknagger som vi må forsøke å bygge kunnskap omkring for å styrke den generelle sikkerheten, fortsetter Johannessen.
Trusselaktører vil alltid forsøke å finne det svakeste leddet i en kjede og angripe der motstanden er minst.
– Derfor trenger de aller fleste av oss både kunnskap og økt bevissthet om sikkerhetsmessige forhold som hvordan passord skal oppbevares, at vi oppdaterer telefon, nettbrett og PC kontinuerlig, og hva vi åpner og klikker på i eposter. Dette er allemannsansvaret. Og får du et tilbud som virker for godt til å være sant, så er det som regel det. Da bør vi lære oss å vise skepsis og gjerne spørre en kollega før vi foretar oss noe som viser seg å kunne bli farlig, tilføyer han.
Søk råd
I rapporten som omhandler Mørketallsundersøkelsen finnes det konkrete og enkle råd om hvordan man kan bli bedre på IT-sikkerhet. Ellers er det mange tilsvarende råd å finne hos aktører som for eksempel NorSIS, Nasjonal Sikkerhetsmyndighet, Microsoft og Telenor.
– Les disse rådene, spre kunnskapen og husk at viktige budskap ikke kan gjentas for ofte. IT-sikkerhet handler i stor grad om å lære seg enkle kjøreregler om hva som kan være klokt i visse situasjoner, avslutter Johannessen.
Skaff rapporten fra Mørketallsundersøkelsen: Rapporten om Mørketallsundersøkelsen ble publisert under sikkerhetskonferansen den 18. september. Rapporten er gratis og kan lastes ned på www.nsr-org.no.