Norske bedrifter er ikke forberedt på dataangrep
Opp mot halvparten av norske bedrifter har blitt utsatt for en form for datakriminalitet, viser statistikk fra Mørketallsundersøkelsen utført av Næringslivets sikkerhetsråd. Men få bedrifter er forberedt på konsekvensene det kan føre med seg.
Datakriminalitet kan være enkle forsøk på innbrudd hos bedrifter med dårlige sikkerhetsrutiner, men for hele fem prosent av norske bedrifter er konsekvensene langt verre. Datakriminelle hacker seg inn på nettverket, og omfanget blir så alvorlig at bedriften velger å politianmelde forholdet. Men svært mange bedrifter velger å være tause om datainnbrudd, av frykt for skader på omdømmet.
Dette fører til store mørketall: Ifølge Nasjonal Sikkerhetsmyndighet (NSM) er det reelle tallet på alvorlige datainnbrudd langt større enn antall anmeldelser tilsier.
Kan lede til store tap
For en liten bedrift kan noen dager med stans i virksomheten, få drastiske konsekvenser. Små og mellomstore bedrifter, der datasikkerhet ikke alltid har høyeste prioritet, utsettes oftere for datakriminalitet. Det er også i disse bedriftene selv enkle dataangrep får størst konsekvenser.
Nye farer fører til nye varianter av forsikringer. Nytt av året er en forsikring der bedrifter kan forsikre seg mot økonomiske konsekvenser som følge av datakriminalitet.
Forsikringer mot datakriminalitet er et nytt produkt i Norge, men har eksistert i mange år utenlands. I USA har så mange som 31 prosent av alle bedrifter kjøpt en forsikring som dekker skader etter datakriminalitet, mens hele 39 prosent vurderer å gjøre det samme.
Kan forsikres
En forsikring mot datakriminalitet har likheter med en vanlig innbruddsforsikring. Du har ingen garanti for at det aldri kommer til å skje, men når ugjerningen inntreffer, får du hjelp til å rekonstruere tapt informasjon og dekket driftstapet. Sikkerhetsekspert Tommy Bårdevik i IBM forklarer det slik:
- Se for deg en liten virksomhet som opplever at sensitive kundeopplysninger eller andre sensitive data blir stjålet. Så blir deler av materialet gjort offentlig tilgjengelig og hackerne krever penger for å ikke å legge ut resten. Hvordan skal bedriften håndtere en slik situasjon? Skadereduserende tiltak kan utgjøre store kostander for virksomheten, og kanskje med betydelig tap av tillit og redusert omdømme, sier Bårdevik.
If Skadeforsikring har som første norske forsikringsselskap laget et forsikringsprodukt som dekker kostnader og økonomiske tap etter datakriminalitet. Skadene er ikke lette å oppdage, det er ingen knuste vinduer etter et innbrudd på en server.
Skjuler sporene
– Sporene etter innbrudd på datasystemene er ikke alltid åpenbare. Men noen ganger oppdager man det raskt og smertefullt. Enkelte hackere tar dataene som «gissel», og låser informasjonen. Nøkkelen til den låste informasjonen kan fås ved å betale hackerne, sier Line Gjengedal Ruud, produktsjef i If.
- Andre ganger kan hackere stjele tilgang til maskinene og vente i mange uker før de slår til, eller kanskje selger forretningshemmeligheter uten at eieren mistenker noe. Dette skjer gjerne bedrifter som er store nok til at hackere ser en profitt ved å kjøre målrettede angrep, og små nok til ikke å ha dedikert IT-personell som kan lage og håndheve en sikkerhetspolicy, sier Ruud.
Med en forsikring som dekker datakriminalitet får kundene tilgang til eksperter som vurderer risikoen, det vurderes om innbrudd har inntruffet, hva omfanget er og hva som kan gjøres for å bøte på skaden.