Cybertruslen er under konstant forandring. PwC’s Cybercrime Survey 2019 viser, at phishing-angreb stadig er den hyppigst oplevede angrebstype, da hele 68 % angiver, at virksomheden har oplevet et phishing-angreb inden for de seneste 12 måneder.
Antallet der peger på phishing-angreb, er dog faldet siden sidste år (fra 76 % i 2018 til 68 % i 2019), og samme tendens gælder for finansiel svindel (fra 38 % i 2018 til 30 % i 2019).
Faldet i disse angrebstyper kan hænge sammen med, at hele 57 % i 2019 angiver, at awareness-træning er blandt virksomhedens højst prioriterede investeringer inden for cyber- og informationssikkerhed. Som tidligere nævnt viser undersøgelsen ligeledes, at 17 % i 2018 mod 29 % i 2019 har oplevet en hændelse, hvor fortrolige og følsomme personoplysninger eller anden fortrolig information er blevet delt utilsigtet. På listen over hændelsestyper ser vi i år også en ny trussel i form af social engineering (28 %), efterfulgt af malware (27 %) og afpresning (20 %).
På spørgsmålet om, hvorvidt der udføres tests mod virksomheden i form af fx phishing-tests, svarer 48 % af respondenterne ja, mens 41 % svarer nej. Ser man på virksomhedernes teknologiinvesteringer, så viser undersøgelsen, at 45 % planlægger
at investere i privilegeret adgangsstyring16 inden for de næste 12 måneder.
Undersøgelsen viser en forskel mellem mindre og større virksomheder, når det kommer til at udføre tests mod virksomheden. I de større virksomheder svarer 50 %14 ja til, at der udføres tests mod deres virksomhed, mens tallet er 43 % i de mindre virksomheder. I de mindre virksomheder svarer 16 % desuden, at de ikke ved, om det udføres tests, hvilket er ca. dobbelt så mange som i de større virksomheder.
Det er PwC’s erfaring, at virksomheder, der har investeret i cybersikkerhedstiltag – herunder processer, awareness og arkitektur – ikke validerer for tilstrækkelighed og effektivitet af tiltagene. Derved er de dels ikke klar over, om de har fået værdi for investeringen, og dels ikke sikre på, at de har imødegået de forskellige cyberrisici. Det er derfor en god idé at validere virksomhedernes sikkerhed jævnligt.
Undersøgelsen viser samtidig, at ansatte/insideres ubevidste handlinger fortsat udgør den største cybertrussel på trods af et fald på tre procentpoint siden 2018 (fra 74 % i 2018 til 71 % i 2019). Dette stemmer overens med den store andel, der fortsat er ramt af phishing-angreb (68 % i 2018), da succesen af denne type angreb afhænger af ansattes/insideres ubevidste handlinger. Det kan derfor være nærliggende at trække en rød tråd mellem faldet af respondenter, der angiver, at ansatte/insideres ubevidste handlinger udgør den største trussel og virksomhedernes investering i awareness-træning.
Efterfulgt af ansatte/insideres ubevidste handlinger vurderesorganiserede kriminelle med 63 % i 2019 ligeledes at være blandt en af de største cybertrusler mod virksomhederne. Herefter følger hacktivister med 41 %. En markant ændring i
respondenternes tilkendegivelse af markante cybertrusler fra 2018 til 2019 er cybertruslen knyttet til nye teknologier, som er faldet fra 52 % i 2018 til 33 % i 2019. Også truslen fra lovkrav/regulativer er faldet fra 41 % i 2018 til 34 % i 2019, hvilket står i kontrast til respondenternes tidligere tilkendegivelser i relation til GDPR.