De største danske virksomheder udsættes i stor stil for angreb på deres it-sikkerhed. Og angriberne har et godt stykke af vejen succes med deres arbejde. Det viser en rundspørge blandt 54 it-sikkerhedsansvarlige blandt de 300 største danske virksomheder foretaget af KMD Analyse. VIRKSOMHEDERNE ER OFRE FOR RANSOMWARE 94 pct. af de adspurgte it-sikkerhedsansvarlige har oplevet en eller flere sikkerhedshændelser de seneste 12 måneder i deres virksomheder. 89 pct. af de sikkerhedsansvarlige angiver, at de inden for de seneste 12 måneder er blevet udsat for phishing. 80 pct. fortæller, at de er blevet udsat for ransomware*. Og angrebene er ikke uden succes. 43 pct. af de adspurgte it-sikkerhedsansvarlige har kendskab til angreb, der er gennemført med succes mod deres virksomhed. Af disse angreb udgøres størstedelen af ransomware-typen, hvor hele 41 pct. angiver, at der er lykkes uvedkommende at blokere data inden for de seneste 12 måneder. - Danske virksomheders data er i sigtekornet fra it-kriminelle. Det er bekymrende, at det i så stort omfang lykkes angriberne at trænge igennem. Ransomware og kryptoware kan være yderst generende og medføre store tab af viden, og selvfølgelig også direkte økonomiske tab, hvis virksomhederne ikke har beskyttet sig tilstrækkeligt, siger Lars Neupart, sikkerhedsdirektør i KMD og medlem af regeringens virksomhedsråd for it-sikkerhed. Hos CERTA Intelligence & Security, der rådgiver virksomheder i alle former for sikkerhed, kan man genkende både trusselsbilledet og de potentielle konsekvenser; - Information er et væsentligt aktiv for den enkelte virksomhed, og når det gælder informationssikkerheden må virksomheder i dag forholde sig til et trusselsbillede, som er mere alvorligt, dynamisk og komplekst end nogensinde før. Konsekvenserne kan være store for den enkelte virksomhed, og mange virksomheder er fortsat meget sårbare og ikke rustet godt nok til at holde uvedkommende ude. Man kan blive overrasket over, hvordan selv store og veletablerede danske virksomheder, der har meget på spil, kommer i situationer, hvor de f.eks. må betale løsepenge til kriminelle for igen at få adgang til deres egne informationer, siger Jakob Scharf, der er direktør i CERTA og tidligere chef for Politiets Efterretningstjeneste, PET. MANGE VIRKSOMHEDER UVIDENDE OM ANGREB Hver femte adspurgte ved ikke, om det er lykkes for angribere at trænge igennem deres forsvarsværker. - Det ikke er nogen skam at blive hacket, men det er en skam ikke at opdage det. Det er umuligt at sikre sig totalt mod indtrængen fra uvedkommende, men virksomhederne skal sørge for at de opdager indbrud. Ellers kan konsekvenserne vokse yderligere, forklarer Lars Neupart. Analysen afdækker endvidere, at lige under hver femte it-sikkerhedsansvarlige har været udsat for DDoS angreb. Lige under hver tiende angiver, at de har været udsat for spionage-software via mail, og 7 pct. af de adspurgte har oplevet hacking af arbejdspladsens offentlige hjemmeside, webmail eller intranet. MEDARBEJDERNE MANGLER UNDERVISNING KMD Analyse har også spurgt til virksomhedernes sikkerhedstiltag. Undersøgelsen viser, at der i de fleste større danske virksomheder er implementeret en bred pallette af digitale sikkerhedsforanstaltninger, men at der stadig er plads til forbedringer i mange virksomheder. Brugerrettighedsstyring (100 pct.), logning (91 pct.), skriftlige politikker (87 pct.) og klar ansvarsforankring (85 pct.) er bredt implementeret. Men 67 pct. af virksomhederne har ikke foretaget afprøvning af informationssikkerheden, eksempelvis gennem phishing-forsøg eller telefonopringninger, og 41 pct. af virksomhederne underviser ikke medarbejderne i informationssikkerhed. - At mange virksomheder ikke får undervist deres medarbejdere i it-sikkerhed må give anledning til panderynker. Og det er naturligvis oplagt at kæde den manglende undervisning sammen med succesraten på ransomware, som netop rettes mod de ansatte. Der er i bund og grund tale om en angrebstype, som man kan beskytte sig imod med kendte metoder, som backup og awareness-træning, forklarer Lars Neupart. Hos CERTA Intelligence & Security ser man også en kulturel udfordring hos danske virksomheder. - Sikkerhedskulturen halter i mange danske virksomheder og insider-truslen udgør den måske største sikkerhedsmæssige risiko, når det drejer sig om at beskytte virksomhedens informationer. Virksomhederne kan nå langt, når de forstår medarbejdernes centrale betydning for informationssikkerheden. Men der er fortsat meget, som virksomhederne også på andre områder kan og må gøre for at styrke deres muligheder for hurtigt og effektivt at kunne forebygge og imødegå trusler mod informationssikkerheden samt ikke mindst genoprette skaderne ved et eventuelt angreb på den enkelte virksomhed, siger Jakob Scharf. Undersøgelsen viser, at hver tredje virksomhed ikke har en formel procedure ved opdagelse af brud på informationssikkerheden lige som 31 pct. ikke har et beredskab, der kan aktiveres i tilfælde af it-sikkerhedsbrud. ORDFORKLARING * I phishing forsøger angriberne at lokke oplysninger om password, kontonummer eller lign. ud af offeret via f.eks. mails. I ransomware installeres ondsindede programmer på ofrets computer, typisk ved at man har klikket på et link eller en fil i en mail, eller har besøgt en inficeret web-side. Programmet krypterer data, hvor der efterfølgende kræves betaling til angriberen for at låse data op igen.
Download PDF fil