PwC’s Cybercrime Survey 2018 viser, at der er sket en positiv udvikling fra 2017 til 2018 i antallet af virksomheder, der angiver, at de har været udsat for en sikkerhedshændelse. Således er der sket et fald på 20 % (fra 55 % i 2017 til 44 % i 2018) i andelen af virksomheder, der angiver, at de har været udsat for en hændelse.
Undersøgelsen viser dog samtidig, at flere har haft øgede udgifter til udbedring og efterforskning af sikkerhedshændelser. 49 % har haft øgede udgifter i forhold til sidste år. I 2017 svarede 41 % det samme, hvilket svarer til en stigning på 8 procentpoint. 50 % af respondenterne (mod 74 % i 2017) angiver, at de bekymrer sig mere for cybertruslen i dag end for 12 måneder siden. Der er dermed sket et fald, hvad angår antallet af hændelser, men der tegner sig samtidig et billede af, at bekymringsniveauet for cybertrusler fortsat er højt, på trods af et fald sammenlignet med 2017.
Af de 50 %, der svarer, at de bekymrer sig mere for cybertruslen i dag end for 12 måneder siden, tilhører hele 70 % den private sektor 4. Ser man bekymringen fordelt på virksomhedsstørrelser, kommer 59 % fra større virksomheder.
Det er ikke uden grund, at bekymringen er så høj i den private sektor. PwC’s Cybercrime Survey 2018 viser, at 64 % af de respondenter, der rapporterer, at de har været udsat for en sikkerhedshændelse de seneste 12 måneder, kommer fra den private sektor. Samtidig kan det ses, at 48 % af de private virksomheder, der bekymrer sig mere om cybertruslen i dag end for 12 måneder siden, har haft øgede udgifter til udbedring og efterforskning af sikkerhedshændelser i det seneste regnskabsår.
At der generelt er en fortsat høj bekymring for cybertruslen, samt at der ses en stigning i andelen af respondenter, der angiver, at de har haft øgede udgifter til udbedring og efterforskning af sikkerhedshændelser, kan være med til at forklare, at der også ses en stigning i andelen af respondenter, der angiver, at deres virksomhed har afsat ressourcer til et informations- /cybersikkerhedsbudget. Således svarer 73 % af respondenterne i 2018 (mod 64 % i 2017), at de har afsat ressourcer til et informations-/cybersikkerhedsbudget. Undersøgelsen viser samtidig, at 20 % af de adspurgte i den private sektor har et samlet informations- /cybersikkerhedsbudget på over 7 millioner kroner. Til sammenligning var det 17 % i 2017.
4 De resterende tilhører enten den offentlige sektor eller har ikke angivet branche.
PwC’s Cybercrime Survey 2018 viser, at cybertruslen er under konstant forandring. Undersøgelsen viser, at ansattes/insideres ubevidste handlinger med hele 74 % i 2018 udgør den største cybertrussel, tæt fulgt af organiserede kriminelle med 64 %. Til sammenligning var den største cybertrussel i 2017 ansattes/ insideres ubevidste handlinger med 56 %, og i 2016 var det organiserede kriminelle med 55 %. Udviklingen stemmer overens med den store andel, der er ramt af phishing-angreb (76 % i 2018), da succesen for de kriminelle af denne type angreb afhænger af ansattes/insideres ubevidste handlinger.
En anden markant ændring i respondenternes tilkendegivelse af markante cybertrusler fra 2017 til 2018 er cybertruslen knyttet til nye teknologier, som er steget fra 32 % i 2017 til 52 % i 2018. Også truslen fra andre nationer er steget betragteligt til 34 %, hvilket er tæt på en tredobling, sammenlignet med sidste års 13 %.
Center for Cybersikkerhed vurderer blandt andet i deres trusselsvurdering for maj 20188, at truslen fra cyberspionage mod Danmark er meget høj – specielt for danske myndigheder, men også for danske forskningstunge virksomheder. På listen over, hvad der i fremtiden vil udgøre den største cybertrussel for virksomhederne, findes også topledelsens manglende forståelse, der med 24 % har vist sig at være en stabil trussel for danske virksomheder gennem de forgangne år. At denne trussel er steget en anelse siden sidste år (fra 20 % til 24 %) kan hænge sammen med, at også færre i år mener, at topledelsen i nogen eller i høj grad har fokus på balancen mellem cybertrusler og investeringer i cybersikkerhed.
8 Trusselsvurderingsenheden ved Center for Cybersikkerhed: Cybertruslen mod Danmark, maj 2018. Cybertruslen mod Danmark
” Mange virksomheder opsøger hjælp til at sikre klar kommunikation til topledelsen. Når vi hjælper virksomheder før, under eller efter et angreb, er der nu også et særligt fokus på at skabe forståelse i topledelsen for nødvendige investeringer, der sikrer virksomheden bedre mod cybertruslerne i fremtiden. Den nye persondataforordning (GDPR) har medvirket til at sætte mere fokus på sikkerheden, selvom det endnu ikke er alle virksomheder, der lever op til kravene, jævnfør PwC’s Cybercrime Survey 2018. ”
PwC anbefaler, at man i kampen mod den organiserede kriminalitet etablerer et homogent og dækkende sikkerhedsprogram, så alle kritiske dele af virksomhedens systemer og infrastruktur sikres på en tilstrækkelig effektiv måde, og således at det er afstemt med virksomhedens risikovillighed. Her tænkes specielt på de sikkerhedstiltag, der imødegår truslen fra cyberkriminelle.
PwC anbefaler, at medarbejdere løbende gennemgår awareness-træning.
PwC har blandt andet udviklet e-learning-moduler til GDPR-kravene
samt cyberuddannelse og awareness-materiale.
PwC anbefaler, at virksomheder i forbindelse med ny teknologi gør en særlig indsats for at sikre, at man i forbindelse med design, udvikling/anskaffelse og implementering har indtænkt de nødvendige sikkerhedstiltag. Dette er et krav jævnfør persondataforordningen (privacy by design og default).
PwC’s CISO-as-a-service-gruppe, der hjælper med optimering, transformering og varetagelse af virksomhedernes sikkerhedsfunktion, oplever, at virksomhederne mangler ressourcer med de rette kompetencer. Det medfører blandt andet et behov for assistance til at etablere deres sikkerhedsorganisation, restrukturere enheden eller finde de rette profiler til organisationens sikkerhedsfunktion. Derfor arbejder vi sammen med en a organisationer om at etablere en uddannelse, hvor virksomheder kan få uddannet deres medarbejdere inden for de forskellige sikkerhedsdiscipliner, hvad enten det er til sikkerhedsfunktionen, systemejere eller ledende medarbejdere, der har behov for et koncentreret og fokuseret uddannelsesforløb.