Vores seneste undersøgelse i Grant Thornton viser, at cybercrime koster virksomheder på verdensplan mere end 300 milliarder dollars hvert år.
I undersøgelsen deltog 2.500 virksomhedsledere fra 35 økonomier verden over.
Og det viste sig at hver 6. virksomhed har været ramt af cyberangreb, og 15 % af virksomhederne siger, at de har oplevet cyberangreb inden for det sidste år. EU (19 %) og Nordamerika (18 %) er de regioner, der er mest ramt. I Danmark har ca. 6 ud af 10 virksomheder oplevet hacker-angreb. Regionalt har cyberangreb kostet asiatiske virksomheder 81 billioner dollars, EU-virksomheder 62 billioner dollars og Nordamerikanske virksomheder 61 billioner dollars. Og i gennemsnit koster cyberangreb ca. 1,2% af indtjeningen på bundlinjen.
Hvor mange måske tror, at det kun er de store virksomheder, der er udsat, så er det ikke tilfældet. Også de mindre og mellemstore virksomheder er udsat, og endda inden for en bred vifte af sektorer. Nogen sektorer er naturligvis mere ramt end andre. De finansielle og højteknologiske sektorer er hårdest ramt, mens mere traditionelle erhverv som f.eks. transportsektoren er mindre hårdt ramt. Men man kan ikke helt regne med en sektor-betragtning på den måde. Mange virksomheder har desværre den opfattelse, at der ikke er noget interessant/værdifuldt at komme efter – men det er der. I henhold til en rapport fra Danmarks statistik fra december 2015, har over 60% af danske virksomheder ikke en politik for it-sikkerhed. Dette tydeliggør at danske virksomheder og virksomhedsledere ikke er opmærksomme på det trusselsbillede der tegner sig.
Hvad går de efter?
Mens hackerne før typisk opererede enkeltvis, opererer flere og flere nu mere organiseret og internationalt. Og hvor baggrunden for hacking før i tiden måske var drengestreger eller selve udforskningen/udfordringen i sig selv, er hackernes formål og intentioner nu blevet meget mere profitorienteret. Virksomhederne bliver røvet ved højlys dag uden at vide det. F.eks. ved tyveri af forskningsresultater, immaterielle rettigheder, konkurrent- og kundeoplysninger, medarbejderoplysninger, markedsanalyser, strategiplaner, kommunikation af konkurrencefølsom karakter osv. Det handler om at opnå konkurrencemæssige fordele eller andre økonomiske fordele.
Nogle virksomheder risikerer at gå helt ned med nedlagte systemer i længere perioder, driftsforstyrrelser efter støvsugning af virksomhedens hemmelige skatte, mens andre angreb blot er en fisketur for at se, om der skulle være noget interessant af værdi.
Hvem har ansvaret?
Uanset motiverne – som dog kan dokumenteres at være stadigt mere profit-orienterede - forventes omfanget af cyber crime at vokse, både i antal angreb og i dybden. Der påhviler regeringer og lovgivere et stort ansvar for i højere grad at regulere dette område. Herunder regulere virksomhedernes rapporteringspligt. Mange lande (f.eks. i Asien) har ikke rapporteringspligt på databrud, hvilket har betydet markant flere angreb end gennemsnittet. Omvendt sker der p.t. i mange lande væsentlige politiske opstramninger i cyber lovgivning og –sikkerhed, herunder i US, UK og EU.
Regeringer og lovgivere er således nødt til at spille en meget større rolle i reguleringen af cyber-angreb, ligesom den private sektor er nødt til at spille med.
For EU's vedkommende, træder der snart nye regler i kraft. Den nye EU-persondataforordning omfatter en væsentlig skærpelse af krav til virksomheders beskyttelse af persondata. Forordningen vil især stille krav til selve dokumentation for hvordan data beskyttes samt at kunder selv får kontrol over data. Forordningen er vedtaget i maj 2016, og forventes at træde i kraft i maj 2018.
Cyber security burde være på toppen af agendaen i alle topledelser. Det er ikke (længere) kun IT-afdelingens ansvar at sikre virksomhedernes IT-sikkerhed. Det er i den grad bestyrelsens og direktionens ansvar. Og undersøgelsen viser også, at virksomhederne ofte er meget mere sårbare, end de selv tror.
Hvordan beskytter man sig?
Cyber-beskyttelse skal skræddersys den enkelte organisation. Regulatoriske krav skal iagttages (f.eks. i Danmark i forhold til persondatalov m.v.). Der bør som led i virksomhedens IT-strategi udarbejdes risiko- og GAP-analyser. Samt kontinuerlig evaluering af IT-sikkerheden. Direktion og bestyrelse må som sagt tage mere ansvar for cybersikkerheden, og ikke bare overlade det til IT-afdelingen.
Når vi f.eks. foretager IT-revisionsgennemgange, er det i tæt samarbejde med både virksomhedens ledelse og IT-afdeling. En gennemgang af de generelle IT-kontroller omfatter typisk:
• Drift af datacentre (serverrum) og netværk
• Anskaffelse, ændring og vedligeholdelse af systemsoftware
• Adgangssikkerhed
• Anskaffelse, udvikling og vedligeholdelse af applikationssystemer
• Fysiske kontroller
• Funktionsadskillelse
Udgangspunktet for gennemgangen kan desuden være en eksisterende it-sikkerhedspolitik, en sikkerhedsstandard eller en række kontraktuelle forhold, som virksomheden ønsker at leve op til (GAP-analyse).
Virksomheden får et overblik over væsentlige og relevante risici, samt prioritering heraf.
Ved gennemgang af konkrete applikation eller et systemkompleks ses på de relevante kontroller, som er indbygget i systemet (programmerede processer) og omkring systemet (manuelle processer). Vi foretager en gennemgang af applikationen og vurderer, hvorvidt der er implementeret hensigtsmæssige forretningsgange og kontroller i – samt ved brugen af applikationerne.
Særligt fokus på følsomme data
Virksomhederne bør – udover et stærkt IT-kontrolmiljø - have særligt fokus på følsomme data, både hvad angår kunder, konkurrenter, medarbejder og andre persondata. I Danmark stiller Persondataloven f.eks. krav om, at virksomheder, organisationer, foreninger mv. beskytter alle de personoplysninger, som de behandler, med tilstrækkelige sikkerhedsforanstaltninger. Efter loven er det som udgangspunkt op til den enkelte virksomhed at vurdere og beslutte, hvilke sikkerhedsforanstaltninger, der er nødvendige i en given situation. Kravet om beskyttelse gælder bl.a., når oplysninger overføres via internettet. Det gælder også, når virksomheden mv. giver kunder og andre personer mulighed for at sende oplysninger til eller modtage oplysninger fra virksomheden via sin hjemmeside.
Fremtiden
Cyber crime vil i fremtiden være en trusselsfaktor, som står øverst på virksomhedernes agenda. Den stadigt stigende automatisering af processer og digitalisering kan både være en gevinst for virksomhedernes drift og indtjening, men kræver på den anden side også mere og mere beskyttelse. Den globale verden er fyldt med muligheder og synergi, men også med nye trusler som f.eks. cybercrime, som alle virksomheder uanset sektor og størrelse er nødt til at tage højde for – og implementere beskyttelsesforanstaltninger imod.
Se mere om vores undersøgelse lige her.
Vil du vide mere?
Har du behov for assistance eller måske blot et inspirationsmøde, er du naturligvis velkommen til at kontakte os