Datakrim tas ikke på alvor

Datakriminalitet er på full fart inn i næringslivet. Likevel er det få bedriftsledere som tar trusselen på alvor. Og tankeløs bruk av sosiale medier gjør vondt bare verre, mener Ulf Sandlund.

Av Hermann Möhring

Sandlund, ansvarlig for Forensic Services i PwC, la i går fram de svenske resultatene fra PricewaterhouseCoopers` globale undersøkelse av økonomisk kriminalitet. I år hadde den ekstra fokus på cybercrime, altså datakrim. På flyet til Oslo satt han bak to direktører som gikk gjennom forretningspapirer på laptoppen sin…

Farlig mangel
– Mange tror at vi er så «gulliga», men slik er det jo ikke. Er det trygt å sitte med business-pc`en sin på fly, eller på café, spurte han retorisk og pekte på omfattende mangel på sikkerhetstenkning og handlekraft. En kostbar og farlig mangel, som han understreket.

Svenskens budskap var krystallklart: mangelfull beskyttelse, nesten-fravær av systematiske kontrollrutiner og særbarhetsanalyser og kriseplaner når «ulykken» har skjedd, uvitenhet og lemfeldig omgang med data og sosiale medier gir dem med uærlige hensikter «lett match».

Bekymret, men gjør ingen ting?
Svenske bedrifter «utmerker» seg i den internasjonale undersøkelsen, i negativ retning. 35% av svenske bedrifter har de tolv siste månedene meldt om økt datakriminalitet. Dette gjør datakrim til den nest vanligste typen for økokrim hos söta bror. I Norge svarte 26% det samme (4. plass). Bedriftslederne er bekymret, men de færreste ser ut til å foreta seg noe for å beskytte virksomheten.

«Til tross for at mange organisasjoner kjenner en sterk uro for å bli utsatt for datakrim, er det få som virkelig tar trusselen på alvor. Den raske tekniske utviklingen og et mangelfullt sikkerhetsarbeid er en ulykkelig og farlig kombinasjon», skriver Ulf Sandlund i den svenske rapporten av «Cybercrime: protecting against the growing threat».

Finans, marked og salg ekstra utsatt
79 bedrifter deltok i den svenske undersøkelsen, en tredjedel av dem børsnoterte selskap. Omtrent halvparten mener at de fleste dataangrep kommer utenfra, mens 25% tror at trusselen fra interne og eksterne «angripere» er like stor. Når det gjelder interne forsøk på datakrim, ansees bedriftsavdelinger innen finans, marked og salg for høyrisikoområder. IT-avdelingen derimot ser ut til å ha høyere troverdighet blant de nordiske virksomhetene når det gjelder risiko for lekkasjer enn globalt sett, skriver Sandlund i sin rapport.

Globalt tror 61% av de spurte at dataangrepene kommer utenfra, mens 28% mener de utsettes for datakriminelle handlinger både uten- og innenfra. Kun 3 prosent mener at angrepene kom fra egne ansatte.

Hva er datakrim?
PwCs definisjon av datakriminalitet er «et økonomisk angrep der computer og internett benyttes. Det inkluderer planting av viruser, illegal nedlasting av filer, hacking og tyveri av personlig informasjon – som personnummer og bankkontodetaljer. Det er kun snakk om datakriminalitet når internett spiller en sentral rolle i forbrytelsen, altså ikke ved tilfeldighet».

Hvor kommer den eksterne trusselen fra?
PwCs globale undersøkelse viser at datakrimtrusselen kommer hyppigst fra Russland (svarte 47% av de spurte), Hongkong/Kina (43%), Nigeria (25%), USA (21%) og India (19%).

Sosiale medier overvåkes ikke
Når det gjelder bedriftenes omgang med sosiale medier, ga undersøkelsen flere oppsiktsvekkende funn, understreket Sandlund. Globalt (3.877 virksomheter i  78 land) svarte 60% av virksomhetene at de ikke overvåker bruken av sosiale medier, eller ikke vet om overvåking skjer! I Sverige og Norden er andelen enda høyere: nesten 75%. Sandlund forklarer dette med en «sterk kulturell tradisjon når det gjelder integritetsspørsmål».

Gratisinfo for kriminelle
Problemet er at sosiale medier kan gjøre det lettere å begå datakriminalitet, fordi det legges ut altfor mye personlig informasjon, mener han. Som eksempler nevner Sandlund at info om bedrifters ansatte samles inn og brukes senere til data-angrep, eller at misvisende informasjon spres.

– Dessverre har mange bedrifter ennå ikke innsett dette. Spesielt følsomt er situasjonen i Norden hvor mengder av sensitive opplysninger om den enkelte er allmenn tilgjengelig gjennom personnummer-systemet, påpeker Ulf Sandlund og viser til skandalen i slutten av oktober hvor sensitive personopplysninger til 93.000 svensker hadde blitt lagt ut på nettet.

Da er det tankevekkende at 60% av de ansatte ikke har fått opplæring i sikker pc-bruk, for å beskytte seg mot datakriminalitet…

– Derfor er det ekstra viktig for svenske og nordiske virksomheter at de har en velutviklet strategi og sikkerhet for å motvirke misbruk av sosiale medier, understreket han.

Noe de færreste har i dag!

Les: «Skremmende» om sosiale medier

Hvorfor øker datakrim?
Ifølge Sandlund finnes det en rekke forklaringer på hvorfor de spurte har rapportert om økt datakriminalitet:

  • Mediene skriver mer om cyberkrim. Det kan ha bidratt til at flere virksomheter har skjerpet sine kontroller for å oppdage den type kriminalitet.
  • Rask teknologisk utvikling som gjør det lettere å begå datakrim, samtidig som bedriftene ikke henger med.
  • Bedriftene tar skrittet ut i et nytt miljø og bruker sosiale medier som verktøy for salg og markedsføring, men slurver med sikkerheten.
  • Bedriftene setter ut IT-tjenester i større grad (lagring, håndtering og service), men slurver med virksomhetskritiske sikkerhetsspørsmål og kontroll.

Lav risiko for å bli tatt
Det finnes en vesentlig forskjell mellom datakrim og andre typer økonomisk kriminalitet, mener PwC-mannen: lovbryteren føler at risikoen for å bli tatt er lavere! Blant annet kan datakrim begås når som helst – og fra hvor som helst. Dessuten er lovgivningen i mange land ikke bra nok, noe som sørger for at risikoen for straff er lav, heter det i den svenske rapporten.

Personer som tidligere har begått annen kriminalitet, har dermed mer eller mindre fri bane når det kommer til datakrim. Den raske teknologiske utviklingen gjør det ekstra vanskelig å henge med i det forebyggende arbeidet, konkluderer Sandlund.

5 måter å beskytte seg på
I rapporten foreslås det fem grep for å beskytte bedriften mot økonomisk kriminalitet:

  1. Bli godt kjent med dem du samarbeider med: de ansatte, leverandører, kunder, partnerbedrifter og agenter.
  2. Involvér IT-avdelingen, internrevisjon og ledelsen/styret i arbeidet mot økokrim.
  3. Gjennomfør regelmessige risiko- og sårbarhetsanalyser i virksomheten.
  4. Gjennomfør regelmessige stresstester (hva som skal gjøres når bedriften blir utsatt for økokrim)
  5. Informér de ansatte om risiki og hva som kreves av hver enkelt.

Risikoanalyse? Hvorfor det?
Akkurat som Helge Kvamme som presenterte de norske funnene, påpekte også Sandlund at uvitenhet eller mangel på tiltro medfører at bedriftene ikke kontrollerer hvor de er spesielt utsatt for økonomisk kriminalitet (ikke bare datakrim). Ett av flere verktøy for å motvirke økonomiske uregelmessigheter og lovbrudd, er å sørge for en risiko- og sårbarhetsanalyse – og at bedriftene ut fra den innfører effektive beskyttelses- og kontrolltiltak.

To av fem har ingen anelse
Mer enn 40 prosent av de spurte bedriftslederne i Sverige har ikke gjennomført en slik analyse, eller visste  ikke om den er blitt gjennomført.

– Mer enn to av fem har altså ingen anelse, poengterte Sandlund.

Verktøyet er kostnadseffektivt, mener Ulf Sandlund, fordi virksomheten identifiserer hvor de største farene ligger – og hvilke tiltak som bør prioriteres for å redusere sårbarheten overfor mulig kriminalitet. Det finnes også en tydelig sammenheng mellom hvor ofte en bedrift gjennomfører slike analyser og hvor mange tilfeller av økonomisk kriminalitet som oppdages, skriver han.

Den vanligste forklaringen for hvorfor så mange bedrifter ikke arbeider med risikobedømming? De har ikke innsett hvor viktig dette er for å forebygge lovbrudd!

Den svenske rapporten finnes her!

Mer om bedrifter og sosiale medier
Erland Løkken, direktør i Næringslivets Sikkerhetsråd (NSR), forteller at NSR i lengre tid har anmodet bedriftene om å være bevisst bruken av sosiale medier.

– Både med hensyn til hva de selv legger ut og hva de ansatte skriver om virksomheten.

Her er en artikkel om sosiale medier, verdivurdering, ansettelsesforhold og mer.

Løkken viser også til sikkerhetsrådets datakrimutvalg.

Også dette er verdt å lese!

Legg igjen en kommentar

Filed under Økokrim, Samfunn, Sosiale medier

Legg igjen en kommentar

Please log in using one of these methods to post your comment:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter picture

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+ photo

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s