Analyse: Danske topvirksomheder tages som datagidsler

ATP vil fortsætte driften i KMD-skyen

De største danske virksomheder oplever i betydeligt omfang angreb på deres datasikkerhed – og angriberne lykkes i stor stil med deres mission. Det viser en rundspørge fra KMD Analyse blandt it-sikkerhedsansvarlige i toppen af dansk erhvervsliv. Virksomhederne oplever mange forskellige angrebstyper, men listen toppes af Ransomware, som otte ud af ti af de adspurgte sikkerhedsansvarlige angiver, at deres virksomhed har været udsat inden for de seneste 12 måneder. Fire ud af 10 angiver, at det er lykkes angriberne at kryptere data i virksomheden.

De største danske virksomheder udsættes i stor stil for angreb på deres it-sikkerhed. Og angriberne har et godt stykke af vejen succes med deres arbejde. Det viser en rundspørge blandt 54 it-sikkerhedsansvarlige blandt de 300 største danske virksomheder foretaget af KMD Analyse.

94 pct. af de adspurgte it-sikkerhedsansvarlige har oplevet en eller flere sikkerhedshændelser de seneste 12 måneder i deres virksomheder. 89 pct. af de sikkerhedsansvarlige angiver, at de inden for de seneste 12 måneder er blevet udsat for phishing. 80 pct. fortæller, at de er blevet udsat for ransomware*.

Og angrebene er ikke uden succes. 43 pct. af de adspurgte it-sikkerhedsansvarlige har kendskab til angreb, der er gennemført med succes mod deres virksomhed. Af disse angreb udgøres størstedelen af ransomware-typen, hvor hele 41 pct. angiver, at der er lykkes uvedkommende at blokere data inden for de seneste 12 måneder.

- Danske virksomheders data er i sigtekornet fra it-kriminelle. Det er bekymrende, at det i så stort omfang lykkes angriberne at trænge igennem. Ransomware og kryptoware kan være yderst generende og medføre store tab af viden, og selvfølgelig også direkte økonomiske tab, hvis virksomhederne ikke har beskyttet sig tilstrækkeligt, siger Lars Neupart, sikkerhedsdirektør i KMD og medlem af regeringens virksomhedsråd for it-sikkerhed.

Hos CERTA Intelligence & Security, der rådgiver virksomheder i alle former for sikkerhed, kan man genkende både trusselsbilledet og de potentielle konsekvenser;

- Information er et væsentligt aktiv for den enkelte virksomhed, og når det gælder informationssikkerheden må virksomheder i dag forholde sig til et trusselsbillede, som er mere alvorligt, dynamisk og komplekst end nogensinde før. Konsekvenserne kan være store for den enkelte virksomhed, og mange virksomheder er fortsat meget sårbare og ikke rustet godt nok til at holde uvedkommende ude. Man kan blive overrasket over, hvordan selv store og veletablerede danske virksomheder, der har meget på spil, kommer i situationer, hvor de f.eks. må betale løsepenge til kriminelle for igen at få adgang til deres egne informationer, siger Jakob Scharf, der er direktør i CERTA og tidligere chef for Politiets Efterretningstjeneste, PET.

Mange virksomheder uvidende om angreb

Hver femte adspurgte ved ikke, om det er lykkes for angribere at trænge igennem deres forsvarsværker.

- Det ikke er nogen skam at blive hacket, men det er en skam ikke at opdage det. Det er umuligt at sikre sig totalt mod indtrængen fra uvedkommende, men virksomhederne skal sørge for at de opdager indbrud. Ellers kan konsekvenserne vokse yderligere, forklarer Lars Neupart.

Analysen afdækker endvidere, at lige under hver femte it-sikkerhedsansvarlige har været udsat for DDoS angreb. Lige under hver tiende angiver, at de har været udsat for spionage-software via mail, og 7 pct. af de adspurgte har oplevet hacking af arbejdspladsens offentlige hjemmeside, webmail eller intranet.

Medarbejderne mangler undervisning

KMD Analyse har også spurgt til virksomhedernes sikkerhedstiltag. Undersøgelsen viser, at der i de fleste større danske virksomheder er implementeret en bred pallette af digitale sikkerhedsforanstaltninger, men at der stadig er plads til forbedringer i mange virksomheder. Brugerrettighedsstyring (100 pct.), logning (91 pct.), skriftlige politikker (87 pct.) og klar ansvarsforankring (85 pct.) er bredt implementeret.

Men 67 pct. af virksomhederne har ikke foretaget afprøvning af informationssikkerheden, eksempelvis gennem phishing-forsøg eller telefonopringninger, og 41 pct. af virksomhederne underviser ikke medarbejderne i informationssikkerhed.

- At mange virksomheder ikke får undervist deres medarbejdere i it-sikkerhed må give anledning til panderynker. Og det er naturligvis oplagt at kæde den manglende undervisning sammen med succesraten på ransomware, som netop rettes mod de ansatte. Der er i bund og grund tale om en angrebstype, som man kan beskytte sig imod med kendte metoder, som backup og awareness-træning, forklarer Lars Neupart.

Hos CERTA Intelligence & Security ser man også en kulturel udfordring hos danske virksomheder.

- Sikkerhedskulturen halter i mange danske virksomheder og insider-truslen udgør den måske største sikkerhedsmæssige risiko, når det drejer sig om at beskytte virksomhedens informationer. Virksomhederne kan nå langt, når de forstår medarbejdernes centrale betydning for informationssikkerheden. Men der er fortsat meget, som virksomhederne også på andre områder kan og må gøre for at styrke deres muligheder for hurtigt og effektivt at kunne forebygge og imødegå trusler mod informationssikkerheden samt ikke mindst genoprette skaderne ved et eventuelt angreb på den enkelte virksomhed, siger Jakob Scharf.

Undersøgelsen viser, at hver tredje virksomhed ikke har en formel procedure ved opdagelse af brud på informationssikkerheden lige som 31 pct. ikke har et beredskab, der kan aktiveres i tilfælde af it-sikkerhedsbrud.

Ordforklaring*
I phishing forsøger angriberne at lokke oplysninger om password, kontonummer eller lign. ud af offeret via f.eks. mails. I ransomware installeres ondsindede programmer på ofrets computer, typisk ved at man har klikket på et link eller en fil i en mail, eller har besøgt en inficeret web-side. Programmet krypterer data, hvor der efterfølgende kræves betaling til angriberen for at låse data op igen

Om analysen

Analysen ”Informationssikkerhed i store danske virksomheder - Trusler, sikkerhedshændelser & forsvar” bygger blandt andet på en survey blandt de 300 største virksomheder i Danmark.

Virksomhedssurveyen er gennemført online af KMD Analyse i perioden fra 3. februar til 8. marts 2016 med deltagelse af 54 respondenter, der har ansvaret for it-sikkerheden i deres respektive virksomheder. Respondenters titler spænder forholdsvis bredt: CIO, IT-sikkerhedsansvarlig, CISO, IT Head, it-direktør, it-chef mv. De medvirkende repræsenterer deres virksomhed i analysen.

24 af de 54 respondenter hører til blandt de største 100 virksomheder i Danmark.
14 kommer fra top 101-200 kategorien.
16 kommer fra top 201-300 kategorien.
20 pct af C20 virksomhederne er repræsenteret i undersøgelsen.

Analysen er gennemført som online survey af konsulenthuset Trellis.

KMD har samarbejdet med konsulentfirmaet CEDI samt CERTA Intelligence & Security, der er en privat efterretnings- og sikkerhedsvirksomhed, om udarbejdelsen af analysen.

KMD Analyse skal bemærke, at surveyen ud fra en generaliseringsbetragtning er behæftet med en del usikkerhed. Surveyen skal ses som et pejlemærke for it-sikkerhedssituationen blandt Danmarks største virksomheder.

Om KMD Analyse

KMD Analyse udarbejder analyser om de digitale muligheder i det offentlige og private Danmark. KMD Analyse har blandt andet tidligere udgivet rapporterne ”Den digitale folkeskole – vurderinger og holdninger fra elever og forældre”, ”Socialt bedrageri i Danmark” og ”Telemedicinsk behandling af KOL-patienter – potentialer og barrierer”.

Læs mere om KMD Analyse og hent rapporterne på www.kmd.dk/analyse

Om KMD A/S

KMD er den største danskbaserede it-virksomhed, og hovedparten af KMD’s forretning udspringer af egen softwareudvikling. I mere end 40 år har KMD arbejdet med udvikling, drift og vedligeholdelse af Danmarks største kommunale it-systemer. KMD udvikler og leverer i dag software- og serviceløsninger til kommune-, stats- og erhvervsmarkedet i Danmark. KMD har en årlig omsætning på godt fem milliarder danske kroner og har omkring 3.200 ansatte. KMD er ejet af Advent International og Sampension.

Kontaktinformation

KMD, kommunikationschef Christoffer Hellmann, telefon +45 4460 1809, mobil +45 2529 1784, che@kmd.dk, Twitter: @Chris_Hellmann