Kender du omfanget af cyberkriminalitet?

Vores seneste undersøgelse i Grant Thornton viser, at cyber crime koster virksomheder world wide mere end 300 milliarder dollars hvert år. 

I undersøgelsen så vi på 2500 virksomheder i 35 økonomier verden over. Og det viste sig at hver 6. virksomhed har været ramt af cyber angreb, og 15 % af virksomhederne siger, at de har oplevet cyber angreb inden for det sidste år. EU (19 %) og Nord-Amerika (18 %) er de regioner, der er mest ramt. I Danmark har ca. 6 ud af 10 virksomheder oplevet hacker-angreb. Regionalt har cyber angrebet kostet asiatiske firmaer 81 billioner dollars, EU-firmaer 62 billioner dollars og nord-amerikanske 61 billioner dollars. Og i gennemsnit koster cyber angreb ca. 1,2% af indtjeningen på bundlinjen.

Hvor mange måske tror, at det kun er de store virksomheder, der er udsat, så er det ikke tilfældet. Også de mindre og mellemstore virksomheder er udsat, og endda inden for en bred vifte af sektorer. Nogen sektorer er naturligvis mere ramt end andre. De finansielle og højteknologiske sektorer er hårdest ramt, mens mere ”old school businesses” som f.eks. transport-sektoren er mindre hårdt ramt. Men man kan ikke helt regne med en sektor-betragtning på den måde. Mange virksomheder har desværre den selv-opfattelse, at der ikke er noget interessant/værdifuldt at komme efter – men det er der.

Hvad går de efter?

Mens hackerne før typisk opererede enkeltvis, opererer flere og flere nu mere organiseret og internationalt. Og hvor baggrunden for hacking før i tiden måske var drengestreger eller selve udforskningen/udfordringen i sig selv, er hackernes formål og intentioner nu blevet meget mere profit-orienteret. Virksomhederne bliver røvet ved højlys dag uden at vide det. F.eks. ved tyveri af forskningsresultater, ”intellectual property”, konkurrent- og kundeoplysninger, medarbejderoplysninger, markedsanalyser, strategiplaner, kommunikation af konkurrencefølsom karakter osv. Det handler om at opnå konkurrencemæssige fordele eller andre økonomiske fordele.

Nogle virksomheder risikerer at gå helt ned med nedlagte systemer i længere perioder, driftsforstyrrelser, eller efter støvsugning af virksomhedens hemmelige skatte, mens andre angreb blot er en fisketur for at se, om der skulle være noget interessant af værdi.

Hvem har ansvaret?

Uanset motiverne – som dog kan dokumenteres at være stadigt mere profit-orienterede - forventes omfanget af cyber crime at vokse, både i antal angreb og i dybden. Der påhviler regeringer og lovgivere et stort ansvar for i højere grad at regulere dette område. Herunder regulere virksomhedernes rapporteringspligt. Mange lande (f.eks. i Asien) har ikke rapporteringspligt på databrud, hvilket har betydet markant flere angreb end gennemsnittet. Omvendt sker der p.t. i mange lande væsentlige politiske opstramninger i cyber lovgivning og –sikkerhed, herunder i US, UK og EU.

Regeringer og lovgivere er således nødt til at spille en meget større rolle i reguleringen af cyber-angreb, ligesom den private sektor er nødt til at spille med.

Cyber security burde være på toppen af agendaen i alle topledelser. Det er ikke (længere) kun IT-afdelingens ansvar at sikre virksomhedernes IT-sikkerhed. Det er i den grad bestyrelsens og direktionens ansvar. Og undersøgelsen viser også, at virksomhederne ofte er meget mere sårbare, end de selv tror.

Hvordan beskytter man sig?

Cyber-beskyttelse skal skræddersys den enkelte organisation. Regulatoriske krav skal iagttages (f.eks. i Danmark i forhold til persondatalov m.v.). Der bør som led i virksomhedens IT-strategi udarbejdes risiko- og GAP-analyser. Samt kontinuerlig evaluering af IT-sikkerheden. CEO og bestyrelse må som sagt tage mere ansvar for cyber sikkerheden, og ikke bare overlade det til IT-afdelingen.

Når vi f.eks. foretager IT-revisionsgennemgange, er det i tæt samarbejde med både virksomhedens ledelse og IT-afdeling. En gennemgang af de generelle IT-kontroller omfatter typisk:

Drift af datacentre (serverrum) og netværk

Anskaffelse, ændring og vedligeholdelse af systemsoftware

Adgangssikkerhed

Anskaffelse, udvikling og vedligeholdelse af applikationssystemer

Fysiske kontroller

Funktionsadskillelse

Udgangspunktet for gennemgangen kan desuden være en eksisterende it-sikkerhedspolitik, en sikkerhedsstandard eller en række kontraktuelle forhold, som virksomheden ønsker at leve op til (GAP-analyse).

Virksomheden får et overblik over væsentlige og relevante risici, samt prioritering heraf. 

Ved gennemgang af konkrete applikation eller et systemkompleks ses på de relevante kontroller, som er indbygget i systemet (programmerede processer) og omkring systemet (manuelle processer). Vi foretager en gennemgang af applikationen og vurderer, hvorvidt der er implementeret hensigtsmæssige forretningsgange og kontroller i – samt ved brugen af applikationerne.

Særligt fokus på følsomme data

Virksomhederne bør – udover et stærkt IT-kontrolmiljø - have særligt fokus på følsomme data, både hvad angår kunder, konkurrenter, medarbejder og andre persondata. I Danmark stiller Persondataloven f.eks. krav om, at virksomheder, organisationer, foreninger mv. beskytter alle de personoplysninger, som de behandler, med tilstrækkelige sikkerhedsforanstaltninger. Efter loven er det som udgangspunkt op til den enkelte virksomhed at vurdere og beslutte, hvilke sikkerhedsforanstaltninger, der er nødvendige i en given situation. Kravet om beskyttelse gælder bl.a., når oplysninger overføres via internettet. Det gælder også, når virksomheden mv. giver kunder og andre personer mulighed for at sende oplysninger til eller modtage oplysninger fra virksomheden via sin hjemmeside.

Fremtiden

Cyber crime vil i fremtiden være en trusselsfaktor, som står øverst på virksomhedernes agenda. Den stadigt stigende automatisering af processer og digitalisering kan både være et win for virksomhedernes drift og indtjening, men kræver på den anden side også mere og mere beskyttelse. Den globale verden er fyldt med muligheder og synergier, men også med nye trusler som f.eks. cyber crime, som alle virksomheder uanset sektor og størrelse er nødt til at tage højde for – og implementere beskyttelsesforanstaltninger imod.

Se mere om vores undersøgelse

http://www.grantthornton.global/en/insights/articles/cyber-attacks-cost-global-business-over-$300bn-a-year/