Cybercrime Survey 2018

Et overblikk over cybertrusselen i norsk næringsliv.

7 av 10 har vært utsatt for et målrettet sikkerhetsangrep.

 

76 norske og 170 danske bedriftsledere, IT-ledere og sikkerhetsspesialister har gjennom PwCs Cybercrime Survey 2018 delt sine syn på ulike forhold knyttet til cyberkriminalitet. De har blant annet tatt stilling til trusselbildet, og angitt i hvilken grad de har klart å etterleve kravene til GDPR - EUs nye personvernforordning som trådte i kraft 20. juli 2018.

 

Organisert kriminalitet på topp

 

Trusselen fra statlig etterretningsvirksomhet skremmer stadig flere i norsk næringsliv

For tredje år på rad havner organisert kriminalitet på toppen av listen over trusler respondentene til PwCs Cybercrime Survey anser som de mest truende for deres virksomheter i fremtiden.

Hele 70% oppgir at de ser på organisert kriminalitet som en trussel. I år som i fjor, havner også trusselen fra ansattes ubevisste handlinger høyt, med en oppslutning på 61% blant respondentene.

 

Hva er de største truslene?

 

Vi har bedre oversikt over trusselbildet

 

PwCs Cybercrime Survey 2018 viser at 44% av respondentene er mer bekymret for cybertrusselen enn det de var for 12 måneder siden. Dette er en nedgang fra fjorårets undersøkelse, som viste at 61% av respondentene bekymret seg mer. I tillegg svarer 51% av årets respondenter at de hverken bekymrer seg mer eller mindre for cybertrusselen enn det de gjorde i fjor.

Dette kan tyde på at flere norske virksomheter føler at de har fått bedre oversikt over trusselbildet i løpet av det siste året.

Samtidig viser undersøkelsen at innbruddsforsøkene norske virksomheter utsettes for i dag i økende grad blir mer målrettede. Av årets respondenter forteller 68% at de har opplevd sikkerhetshendelser som var målrettet nettopp mot deres organisasjon. Dette er en økning på 18 prosentpoeng fra 2017, hvor 50% av respondentene svarte det samme.

 

Færre har vært utsatt for en sikkerhetshendelse

 

Videre viser PwCs undersøkelser at 36% av respondentene har vært utsatt for en sikkerhetshendelse som har hatt negativ påvirkning på deres virksomhet i løpet av siste regnskapsår. 14% forteller at de ikke vet om de har vært utsatt for en hendelse.

Dette er også en nedgang fra fjorårets undersøkelse, hvor henholdsvis 52% og 18% av respondentene svarte det samme. Det er altså færre som har vært utsatt for en sikkerhetshendelse i år enn i fjor, og det er flere som har kontroll på om de har vært utsatt eller ikke.

Sikkerhetshendelser norske virksomheter har vært utsatt for

  

Det er naivt å tro at en økende innsats på digitalisering kommer uten økt sikkerhetsrisiko.

Eldar Lillevik, Direktør for Cybersikkerhet i PwC Norge

Dagens trusselaktør jobber målrettet

Samtidig viser undersøkelsen at innbruddsforsøkene norske virksomheter utsettes for i dag i økende grad blir målrettede. Av årets respondenter forteller 68% at de har opplevd sikkerhetshendelser som var målrettet nettopp mot deres organisasjon. Dette er en økning på 18 prosentpoeng fra 2017, hvor 50% av respondentene svarte det samme.

 

og angrepene/hendelsene koster mer...

 

I tillegg ser vi en økning i omfanget på hendelsene. I fjor rapporterte ingen tap over 6 millioner kroner som følge av cyberangrep de siste 12 månedene. I år gjør 13% av respondentene det. Jevnt over har de økonomiske konsekvensene av sikkerhetstruende hendelser økt, selv om antallet har sunket.

 

 

Ledelsen gjør fremdeles ikke nok

 

89% av respondentene til årets Cybercrime Survey angir at de har eller er i gang med en trussel- og/eller risikovurdering i sin virksomhet. Dette er positivt. Samtidig svarer 68% at risikovurderingen kun blir tatt opp av ledelsen årlig, sjeldnere eller aldri på styremøter. Veien å gå fra å gjennomføre og få på plass en risikovurdering til å faktisk sette den i system og følge den opp kontinuerlig, kan for mange virksomheter være en utfordring, og krever løpende dialog mellom ledelsen og sikkerhetsansvarlige i virksomheten. Våre undersøkelser tyder på at det hos mange norske virksomheter nettopp kan være en mangel på en slik dialog. Nesten halvparten av respondentene, 46%, rapporterer nemlig at den sikkerhetsansvarlige i virksomheten kun årlig eller aldri briefer virksomhetens ledelse om risikoen for cybertrusler. 

Jeg har knapt møtt et styremedlem eller en leder i en virksomhet i Norge - offentlig eller privat - som ikke har digitalisering som en av sine aller høyeste prioriteringer. Disse ambisjonene øker uten unntak kompleksiteten og derav virksomhetens risiko. Eksempler er bruk av skyløsninger og økt innsamling og bruk av personopplysninger. Det er derfor en ustoppelig kraft som nå løfter cybersikkerhet fra datarommet til styrerommet. Dette stiller svært store krav til hvordan vi som jobber med sikkerhet kommuniserer. Samtidig tydeliggjør det også hvor sentralt det er at ledere og styrer setter sikkerhet på agendaen oftere, kort og godt fordi det er avgjørende for å lykkes med strategien til virksomheten.

Eldar Lillevik, Direktør for Cybersikkerhet i PwC Norge

Årets undersøkelse viser videre at det har skjedd en nedgang fra i fjor i antallet respondenter som angir at toppledelsen i noen eller høy grad har fokus på å oppnå riktig balanse mellom cybertrusselen deres virksomhet står overfor, og investeringene virksomheten gjør i cybersikkerhet. Andelen har falt fra 81% i 2017 til 76% i år. Samtidig har andelen respondenter som i mindre grad eller ikke i det hele tatt har fokus på å oppnå riktig balanse steget fra 14% i fjor til 20% i år. Dette er bekymringsverdig, og belyser nok en gang viktigheten av å ha en tett dialog mellom sikkerhetsansvarlig og ledelsen i virksomheten.

 

Dette til tross for at de i dag har høyere budsjetter

 

Undersøkelsen i år viser at andelen respondenter som mener at deres virksomhet har et eget dedikert budsjett for informasjons-/cybersikkerhet, eller som har satt av penger til dette som en del av IT-budsjettet har gått opp fra 67% i 2017 til 80% i 2018. Det er altså flere som prioriterer å ha et definert fokus på informasjonssikkerhet i sine budsjetter, og dette er bra. Utfordringen oppstår hvis manglende dialog mellom sikkerhetsansvarlig ledelsen fører til feil valg av investeringer.

 

Tillit til cybersikkerhet i ulike sektorer

 

Lav tillit til cybersikkerhet i kommunal sektor

Årets undersøkelse viser at tilliten til cybersikkerheten i kommunene er lavest: 49% av respondentene angir at de i mindre grad har tillit til cybersikkerheten i denne sektoren, og 16% angir at de slett ikke har tillit.  

Både offentlig og privat sektor kommer bedre ut, men det er den finansielle sektor som skiller seg markant positivt ut fra resten.

Til denne sektoren har hele 70% av respondentene høy tillit til cybersikkerheten, mens kun 5% har tillit i mindre grad eller ikke i det hele tatt.

 

 

Hvordan prioriterer vi sikkerhetsinvesteringene?

 

GDPR påvirker helt klart investeringene

PwCs Cybercrime Survey har også kartlagt respondentenes høyeste prioriterte investeringer innen IT-sikkerhet de neste 12 månedene. Videre ble de spurt om hvor mange av disse investeringene som var drevet av personvernforordningen. I år er det bevissthetstrening som topper listene over høyeste prioriteringsområde for investeringer, med en svarrate på 65%. Av disse 65% svarer 63% at denne investeringen er grunnet GDPR.

Bevisstgjøring av ansatte er som tidligere nevnt et viktig tiltak for å redusere sårbarheten knyttet til sikkerhetsangrep som er rettet mot ansatte i en virksomhet, som for eksempel phishing. Spredning av kompetanse knyttet til personvern ut i virksomheten er også essensielt for at man skal klare å etterleve de nye personvernreglene på et tilfredsstillende nivå. Med innføringen av et nytt regelverk er det derfor naturlig og veldig viktig at flere investerer i opplæring for de ansatte.

Høyt oppe på prioriteringslisten over investeringer kommer også sentral og intelligent loggføring (59%) og identitetsstyring (49%). Disse viser seg også i stor grad å være drevet av GDPR, med svarandeler på henholdsvis 68% og 58%.

 

   

Kontakt oss

Lars Erik Fjørtoft
Partner | Leder IT Risk, PwC Norway
Tlf: 974 74 469
Kontakt meg

Eldar Lorentzen Lillevik
Direktør | Leder Cybersikkerhet, PwC Norway
Tlf: 951 02 435
Kontakt meg

Jan Henrik Schou Straumsheim
Senior Manager, PwC Norway
Tlf: 415 26 290
Kontakt meg

Kristine Hesjedal Twomey
Direktør, PwC Norway
Tlf: 952 61 263
Kontakt meg

Følg oss