Den teknologiske og digitale udvikling er i konstant forandring – nye teknologier opstår hele tiden, og digitale data bliver en stadig mere central og nødvendig del af virksomhedens daglige processer og forretningsgange. Det giver helt nye muligheder for virksomheder og organisationer, men samtidig gør den hastige udvikling det muligt for kriminelle at gennemføre mere ødelæggende og avancerede cyberangreb end hidtil.
PwC’s Cybercrime Survey 2018 viser, at selvom færre virksomheder er blevet ramt af cyberangreb sammenlignet med sidste år, så har flere virksomheder været ramt af alvorlige hændelser. Ifølge PwC’s Cybercrime Survey 2018 er de økonomiske omkostninger som følge af cyberangreb steget, hvilket bl.a. skyldes, at angrebene er mere målrettede end tidligere. 49 % angiver i 2018 (mod 41 % i 2017), at de har haft øgede udgifter til udbedring og efterforskning af sikkerhedshændelser i forhold til sidste år. Cyberhændelser er derfor i fokus som aldrig før – hver femte private virksomhed har i dag et sikkerhedsbudget på over 7 millioner kroner årligt.
Cybercrime Survey 2018 viser en stigende bekymring for manglende adgang til kandidater med de rette sikkerhedskompetencer, hvilket også ses i PwC’s CEO Survey 2018 og CXO Survey 2018. I PwC oplever vi også en stigning i antallet af virksomheder, der efterspørger rådgivning inden for håndtering af komplekse sikkerhedshændelser.
Nogle af de angreb, som flest rammes af, er phishingangreb1, som hele 76 % af respondenterne i undersøgelsen har været ramt af. Et vigtigt skridt for at afværge truslen handler om, at man skal beskytte sine konti bedre end blot med et password, da dette nemt kan tilegnes, især når mange benytter det samme password til flere konti. Virksomheder såvel som privatpersoner bør derfor hæve sikkerhedsbaren, fx ved at benytte to-faktor-autentifikation2. Der bør yderligere fokuseres på at beskytte privilegerede brugere, som har administrator-adgange til systemerne.
Cybercrime Survey 2018 viser, at topledelsens manglende forståelse for cybertruslen fortsat er en bekymring blandt respondenterne. Regeringens Nationale Strategi for Cyber og Informationssikkerhed er således et kærkomment tiltag, der blandt andet har fokus på ledelsesopgaver og uddannelse3.
At være i stand til at håndtere et cyberangreb bliver mere og mere centralt, men det kan for mange virksomheder være en lang og sej rejse at komme i gang med sikkerhed. Arbejdet med sikkerhed kræver en pragmatisk tilgang og en anerkendelse af, at standarder og politikker ikke kan stå alene i beskyttelsesfasen. Frem for alt kræver det en fokuseret indsats fra ledelseslaget. Mange virksomheder har et it-setup, som bygger på en it-platform, der kan være 10-15 år gammel, og her er det vigtigt, at ledelsen tager teten med at opdatere sikkerheden. Dette tager tid og kræver store investeringer i form af især teknologi og awareness-træning, men det er en nødvendig rejse, hvis forretningen skal kunne fortsætte, i tilfælde af at virksomheden rammes af en sikkerhedshændelse. Sikkerhedsrejsen er desuden blevet yderligere kompliceret af, at der efter EU’s persondataforordning i visse tilfælde skal indrapporteres til Datatilsynet, såfremt personoplysninger er involveret i en hændelse. Netop dette har skabt stor bekymring hos mange virksomheder, hvilket vi kan mærke i de henvendelser vi i PwC får gennem vores incident response-team.
At være en førende digital nation kræver, at erhvervslivet og offentlige institutioner har sikkerhed og beskyttelse af data som højeste prioritet. Det vil vi i PwC gerne være med til at sætte på agendaen, og med vores Cybercrime Survey vil vi gerne bidrage med viden inden for cyber- og informationssikkerhed. En stor tak til alle, der har delt deres indsigt og erfaringer i dette års survey. Vi vil gerne opfordre alle til at blive ved med at være åbne omkring hændelser i det omfang, det nu engang er muligt. Således vil vi i fællesskab kunne være i stand til at belyse et område af stigende væsentlighed.
1 Phishing er ofte en mail, der er forsøgt kamufleret som en reel henvendelse. Den har til formål at få brugeren til at klikke på et link i mailen og få dem til at indtaste personoplysninger på et falsk site, som angriberen kan misbruge. Alternativt planter e-mailen malware i systemet, når der klikkes på linket.
2 To-faktor-autentifikation er en metode til at identificere en bruger på, der kræver minimum to trin. I tillæg til brugernavn og password, kan man fx tilføje et ekstra sikkerhedslag, ved at skulle angive en kode, der bliver tilsendt på SMS.
3 Regeringen, maj 2018. National Strategi for Cyber- og Informationssikkerhed – 2018-2021.