INFORMATIONS- SIKKERHED I STORE DANSKE VIRKSOMHEDER TRUSLER, SIKKERHEDSHÆNDELSER & FORSVAR. KMD Analyse

Transkript

1 INFORMATIONS- SIKKERHED I STORE DANSKE VIRKSOMHEDER TRUSLER, SIKKERHEDSHÆNDELSER & FORSVAR KMD Analyse

2 OM KMD ANALYSE KMD Analyse udarbejder analyser om de digitale muligheder i det offentlige og private Danmark. KMD Analyse har blandt andet tidligere udgivet rapporterne Den digitale folkeskole vurderinger og holdninger fra elever og forældre, Socialt bedrageri i Danmark og Telemedicinsk behandling af KOL-patienter potentialer og barrierer. KMD Analyse samarbejder bl.a. med CEDI om udvikling af analyserne. Læs mere om KMD Analyse og hent rapporterne på KMD ER IT MED INDSIGT KMD er den største danskbaserede it-virksomhed, og hovedparten af KMD s forretning udspringer af egen softwareudvikling. I mere end 40 år har KMD arbejdet med udvikling, drift og vedligeholdelse af Danmarks største kommunale it-systemer. KMD udvikler og leverer i dag software- og serviceløsninger til kommune-, stats- og erhvervsmarkedet i Danmark. Systemerne håndterer eksempelvis udbetalinger af løn og sociale ydelser, og hvert år beregner og udbetaler KMD s softwaresystemer over 400 mia. kroner. Det svarer til cirka 20 pct. af Danmarks BNP. KMD s softwaresystemer håndterer også så forskellige områder som administration af skoler og forsyningsvirksomheder til afholdelse af folketingsvalg i Danmark. Senest er KMD gået i gang med at digitalisere de store velfærdsområder med ny velfærdsteknologi - fra folkeskole til hjemmepleje. KMD har en årlig omsætning på godt fem milliarder danske kroner og har omkring ansatte. KMD er ejet af Advent International og Sampension. Udvalgte tidligere udgivelser fra KMD Analyse: Digitalisering af ældreplejen Potentialer og holdninger, januar 2011 Kronisk sygdom En digital samfundsdiagnose, maj 2011 Det digitale valg Danskernes holdning til e-valg, september 2011 Socialt bedrageri i Danmark - Omfang, adfærd og holdninger, december 2011 Folkeskolens digitale tilstand Udfordringer og muligheder, januar 2012 Danskerne og velfærdsteknologien Holdninger til digitalisering af velfærden, juni 2012 Den digitale daginstitution - En temperaturmåling og vurdering af daginstitutionernes digitale tilstand og potentialer, januar 2013 Mødernes kanalstrategi Digitale potentialer ved kommunal mødepraksis, september 2013 Valg til Europa-Parlamentet og folkeafstemning om patentdomstolen 2014, maj 2014 Informationssikkerhed i det offentlige, april 2015 Det digitale samarbejdsrum, oktober 2015 FOR YDERLIGERE OPLYSNINGER, KONTAKT: Morten Langager Direktør, Kommunikation og Marketing M: mlr@kmd.dk KMD Analyse Maj

3 INDHOLDSFORTEGNELSE 1. INDLEDNING 4 SUMMARY 4 2. INFORMATIONSSIKKERHED PÅ ARBEJDSPLADSEN 5 INFORMATIONSSIKKERHED IKKE EN NATURLIG DEL AF HVERDAGEN OVERALT 5 SIKKERHEDSFORANSTALTNINGER DELVIST PÅ PLADS 6 3. SIKKERHEDSHÆNDELSER 9 VIRKSOMHEDERNE HYPPIGT UDSAT FOR SIKKERHEDSHÆNDELSER 9 RANSOMWARE UDGØR STØRSTEDELEN AF GENNEMFØRTE ANGREB 12 OVER HALVDELEN AF ANGREBENE KAN IKKE SPORES TIL BAGMÆNDENE 13 MYNDIGHEDERNE OFTEST IKKE INDDRAGET VED SIKKERHEDSHÆNDELSER HVOR KOMMER TRUSLEN FRA? 15 DE FLESTE TRUSLER KOMMER VIA 15 IT-SIKKERHEDSANSVARLIGE: TRUSSELSBILLEDET ER STIGENDE 16 EGNE MEDARBEJDERE UDGØR DEN STØRSTE TRUSSEL INVESTERINGER I INFORMATIONSSIKKERHED 18 STIGENDE INVESTERINGER I INFORMATIONSSIKKERHED 18 FORVENTNINGER OM FORTSATTE STIGNINGER 19 INVESTERINGER FOKUSERET PÅ MEDARBEJDERNE PRIORITERING HOS TOPLEDELSEN 20 IT-SIKKERHEDSANSVARLIGE: INDSATSEN KAN BLIVE BEDRE 20 IT-SIKKERHEDSANSVARLIGE: INFORMATIONSSIKKERHEDEN BØR PRIORITERES HØJERE 21 HVER TIENDE DIREKTION UNDGÅR SPØRGSMÅL OM INFORMATIONSSIKKERHED PERSONDATA OG EU 22 GODT KENDSKAB TIL EU-FORORDNINGER BLAND IT-SIKKERHEDSANSVARLIGE 23 EFTERLEVELSE AF FORORDNING FÅR OMKOSTNINGER 23 OVER HALVDELEN AF VIRKSOMHEDERNE MANGLER EN DATA PROTECTION OFFICER OM ANALYSEN 25 VIRKSOMHEDSSURVEY 25 MEDARBEJDERSURVEY 25 3

4 1. INDLEDNING I denne rapport tager KMD Analyse temperaturen på informationssikkerheden i de større danske virksomheder. Hvilke typer af angreb oplever de? Er truslen voksende? Hvilke foranstaltninger, bliver der taget? Lykkedes det for virksomhederne at stoppe angrebene? Bliver der gjort nok for at forhindre angreb? RAPPORTEN BYGGER PÅ TO FORSKELLIGE SURVEYS: Den første er gennemført online af KMD Analyse i perioden fra 3. februar til 8. marts 2016 med deltagelse af 54 respondenter (it-direktører, CIO s mv.), der har ansvaret for it-sikkerheden i deres respektive virksomheder. De medvirkende repræsenterer deres virksomhed i analysen. Alle virksomhederne hører til blandt Danmarks 300 største private virksomheder. Lige under halvdelen hører til blandt Danmarks 100 største virksomheder, herunder 20 pct. af landets C20 virksomheder 1. Den anden survey er gennemført online af KMD Analyse i perioden fra 9. februar til 18. februar 2016 deltagelse af 708 privatansatte i mellemstore ( ansatte) og store virksomheder (over 500 ansatte) danske virksomheder 2. SUMMARY Som led i undersøgelsen er it-sikkerhedsansvarlige i de største danske virksomheder blevet bedt om at vurdere, om ledelsen i tilstrækkelig grad prioriterer tiltag, der skal styrke informationssikkerheden. Undersøgelsen viser, at et flertal af de it-sikkerhedsansvarlige (54 pct.) mener, at topledelsen i deres virksomhed bør prioritere informationssikkerhed højere. Samtidig vurderer 80 pct. af de adspurgte it-sikkerhedsansvarlige, at trusselsbilledet vil udvikle sig i opadgående retning og af disse mener 11 pct., at der vil være tale om en markant udvikling. Respondentgruppen peger endvidere på, at investeringerne i sikkerhed i de seneste 12 måneder har været højere eller meget højere end det forgangne år. Og at de forventer, at investeringerne fortsat vil stige de kommende 12 måneder. Særligt vil et område som awareness-træning være i fokus. Og det kan det være god grund til. Både surveyen blandt de danske it-sikkerhedsansvarlige og medarbejderne viser, at virksomhederne udsættes for sikkerhedshændelser i stor stil - og det i mange tilfælde lykkedes det uvedkommende at bryde ind. 94 pct. af de it-sikkerhedsansvarlige har oplevet en eller flere eksterne sikkerhedshændelser på deres arbejdsplads inden for de seneste 12 måneder. Ransomware og phishing via er de mest hyppigt forekommende eksempler på digitale angreb på de danske virksomheder. 89 pct. af de adspurgte it-sikkerhedsansvarlige giver udtryk for, at man i deres virksomhed har oplevet phishing via og 80 pct. giver tilsvarende udtryk for, at deres virksomhed har været udsat for ransomware via . Spørger man medarbejderne i større danske virksomheder tegner der sig også et billede af, at sikkerhedshændelser ikke er et ukendt fænomen. 56 pct. angiver, at de har oplevet en eller flere eksterne sikkerhedshændelser på deres arbejdsplads inden for de seneste 12 måneder. 42 pct. af de adspurgte privatansatte eller deres nære kollegaer har således oplevet phishing via pct. har oplevet ransomware via mail. Og succesraten for bagmændene er høj, når det gælder ransomware. 41 pct. af de adspurgte it-sikkerhedsansvarlige angiver, at deres virksomhed har været genstand for et eller flere succesfulde ransomware-angreb inden for de seneste 12 måneder. 1 Survyen kaldes CIO-survey i grafer og figurer. 2 De to surveys er udført blandt forskellige respondentgrupper, og der er ikke nødvendigvis et overlap mellem de medvirkende virksomheder i de to surveys. I medarbejdersurveyen kan der være overlap mellem de medvirkendes virksomheder. Læs mere om metoden sidst i rapporten. 4

5 Når de it-sikkerhedsansvarlige skal vurdere hvor den største trussel kommer fra, peger de på medarbejderne som det svageste led i kæden og det skal navnligt ses i sammenhæng med, at virksomhederne udsættes for mange digitale trusler via til medarbejderne. 59 pct. af respondenterne vurderer, at uopmærksomme medarbejdere udgør en trussel i høj eller meget høj grad. Tages i nogen grad med er tallet 90 pct. 50 pct. af de adspurgte it-sikkerhedsansvarlige vurderer organiserede kriminelle som en trussel i høj eller meget høj grad. Tages i nogen grad med er tallet 81 pct. Derefter er der et stykke ned til de resterende grupper. Utilfredse kunder bliver vurderet som den mindste trussel mod informationssikkerheden. Det skal dog bemærkes, at de it-sikkerhedsansvarlige ikke afskriver de fleste af grupperne. Tæller man i nogen grad med opnås følgende samlede vurderinger; drengestreger (44 pct.), fremmede magter (33 pct.), aktivister (33 pct.) og konkurrenter (31 pct.). Spørger man medarbejderne selv i de danske virksomheder, peger de også på medarbejderne efterfulgt af organiserede kriminelle, som de største trusler mod sikkerheden. Undersøgelsen viser, at der i de fleste større danske virksomheder er implementeret en bred pallette af digitale sikkerhedsforanstaltninger, men at der stadig er plads til forbedringer i enkelte virksomheder. Det er i ovenstående lys særligt værd at bemærke, at 67 pct. af virksomhederne ikke foretager afprøvning af informationssikkerheden, eksempelvis gennem phishing-forsøg, og at 41 pct. af virksomhederne ifølge deres it-sikkerhedsansvarlige ikke underviser medarbejderne i informationssikkerhed. Spørger man medarbejderne selv blandt større danske virksomheder peger 33 pct. på, at de ikke er blevet undervist i it-sikkerhed. 4 pct. ved ikke om de er blevet undervist. 2. INFORMATIONSSIKKERHED PÅ ARBEJDSPLADSEN Både medarbejderne og de deltagende it-sikkerhedsansvarlige er blevet spurgt ind til niveauet af informationssikkerhed, der er i deres virksomheder. INFORMATIONSSIKKERHED IKKE EN NATURLIG DEL AF HVERDAGEN OVERALT Undersøgelsen tegner et billede af, at de it-sikkerhedsansvarlige i de største danske virksomheder ikke mener, at man kan tage for givet, at informationssikkerheden er en naturlig del af hverdagen. I hvilken grad er du enig i følgende udsagn? På min arbejdsplads er informationssikkerhed en naturlig del af den daglige arbejdsgang for medarbejderne 0% 26% 48% 15% 11% Slet ikke I ringe grad I nogen grad I høj grad I meget høj grad 5

6 Som det fremgår af figuren, er de adspurgte it-sikkerhedsansvarlige delte i spørgsmålet om hvor vidt informationssikkerheden indgår som en naturlig del af den daglige arbejdsgang for medarbejderne. Mens det for en ud af fire it-sikkerhedsansvarlige opleves som om, at informationssikkerheden i høj eller meget høj grad er en naturlig del af de daglige arbejdsgange for medarbejderne, mener tre fjerdele omvendt, at billedet er noget mere nuanceret: 26 pct. er således af den opfattelse, at det kun i ringe grad er tilfældet, mens yderligere 48 pct. oplever, at det i nogen grad er tilfældet. Medarbejdernes tilkendegivelser er mere positive. Undersøgelsen viser, at informationssikkerhed er en naturlig del af hverdagen på de fleste privatansattes arbejdsplads, når man spørger de ansatte. I hvilken grad er du enig i følgende udsagn? På min arbejdsplads er informationssikkerhed en naturlig del af den daglige arbejdsgang? 1% 4% 16% 28% 50% Slet ikke I ringe grad I nogen grad I høj grad I meget høj grad Kilde: Survey m/privatansatte af KMD Analyse Som det fremgår af figuren, mener 78 pct. at informationssikkerhed i høj eller meget høj grad er en naturlig del af deres daglige arbejdsgang. Lige over hver femte ansatte tilkendegiver, at informationssikkerhed slet ikke, i ringe grad eller i nogen grad er en naturlig del af hverdagen. Der hersker altså en lidt forskellig opfattelse blandt de sikkerhedsansvarlige og medarbejderne i de private virksomheder. Det kan være udtryk for, at der ikke er tale om de samme virksomheder, der repræsenteres i de to spørgeskemaundersøgelser men også, at der er forskel på opfattelsen blandt folk, der arbejder professionelt med sikkerhed og medarbejderne generelt i virksomhederne. Under alle omstændigheder peger resultaterne i retning af, at der fortsat er noget at hente, før man kan sige, at informationssikkerheden er en naturlig del af medarbejderens daglige arbejdsgang hele vejen rundt i det private landskab blandt de store virksomheder i Danmark. SIKKERHEDSFORANSTALTNINGER DELVIST PÅ PLADS Undersøgelsen viser, at der i de fleste større danske virksomheder er implementeret en bred pallette af digitale sikkerhedsforanstaltninger, men at der stadig er plads til forbedringer i enkelte virksomheder. 6

7 Med hensyn til informationssikkerhed, hvilke af følgende foranstaltninger har din arbejdsplads? Brugerrettighedsstyring (begrænsning af adgang til systemer eller data i relation til jobrolle) 100% Logning i it-systemerne 91% En skriftlig politik 8 13% En klar forankring af ansvaret 85% 13% Et beredskab i tilfælde af brud 69% 31% Procedurer ved opdagelse af brud 65% 33% Undervisning af medarbejdere 59% 41% Kryptering af mails og/eller mobiltelefon 48% 50% Afprøvning (eks. via phishing-forsøg eller telefonopringninger) 30% 6 4% Ja Nej Som det fremgår af figuren er brugerrettighedsstyring (100 pct.), logning (91 pct.), skriftlige politikker (87 pct.) og klar ansvarsforankring (85 pct.) bredt implementeret. Det er værd at bemærke, at 67 pct. af virksomhederne ikke foretager afprøvning af informationssikkerheden, eksempelvis gennem phishing-forsøg eller telefonopringninger og at 41 pct. af virksomhederne ikke underviser medarbejderne i informationssikkerhed. Tilsvarende gælder det, at hver tredje virksomhed ikke har en formel procedure ved opdagelse af brud på informationssikkerheden lige som 31 pct. ikke har et beredskab, der kan aktiveres i tilfælde af sådanne brud. Spørger man medarbejderne er billedet nogenlunde det samme. Undervisning, kryptering og afprøvning af sikkerhed ligger nederst i feltet og forhold som brugerrettighedsstyring og skriftlige politikker er på plads de fleste steder. 7

8 Med hensyn til informationssikkerhed, hvilke af følgende foranstaltninger har din arbejdsplads? Brugerrettighedsstyring (begrænsning af adgang til systemer eller data i relation til jobrolle) 94% 4% 3% Ved brud på informationssikkerheden, ved jeg hvem jeg skal kontakte 91% 6% 3% En skriftlig politik 88% 4% En klar forankring af ansvaret 76% 10% 14% Logning i it-systemerne af opslag i følsomme persondata 71% 9% 21% Jeg er blevet undervist i informationssikkerhed i løbet af min ansættelse 63% 33% 4% Kryptering af mails og/eller mobiltelefoni 4 30% 23% Afprøvning af sikkerhed (eks. via phishing -forsøg eller telefonopringninger over for egne medarbejdere) Jeg har deltaget i afprøvning fra min egen arbejdsplads side (eks. via phishingforsøg eller telefonopringninger) 10% % 80% 10% Ja Nej Kilde: Survey m/privatansatte af KMD Analyse 8

9 3. SIKKERHEDSHÆNDELSER VIRKSOMHEDERNE HYPPIGT UDSAT FOR SIKKERHEDSHÆNDELSER I forbindelse med undersøgelsen er de it-sikkerhedsansvarlige blevet bedt om at tilkendegive i hvilket omfang en række specifikke sikkerhedshændelser er indtruffet i deres virksomhed inden for de seneste 12 måneder. Undersøgelsen viser, at mange af de it-sikkerhedsansvarlige har oplevet digital spionage, og at medarbejdernes brug af og telefon er en hyppig kilde til sikkerhedshændelser. 94 pct. af de it-sikkerhedsansvarlige har oplevet en eller flere eksterne sikkerhedshændelser på deres arbejdsplads inden for de seneste 12 måneder 3. Andel af it-sikkerhedsansvarlige, der giver udtryk for, at de har kendskab til en eller flere sikkerhedshændelser i egen virksomhed inden for de seneste 12 måneder 94% 6% Ja Nej/ Som det fremgår af nedenstående figur, er de tre hyppigste kilder til sikkerhedshændelser knyttet til medarbejdernes brug af og telefon. 89 pct. af de adspurgte it-sikkerhedsansvarlige giver udtryk for, at man i deres virksomhed har oplevet phishing via og 80 pct. giver tilsvarende udtryk for, at ransomware via har været et problem. Lige under hver tredje af de adspurgte - svarende til 30 pct. - angiver, at phising via telefonopkald har været forsøgt i deres virksomhed. Hver fjerde svarende til 26 pct. af de adspurgte it-sikkerhedsansvarlige rapporterer om sikkerhedshændelser i forbindelse med bortkomst af it-udstyr, lige som 13 pct. rapporterer om tyveri af it-udstyr med sensitiv information. Lige under hver femte it-sikkerhedsansvarlige rapporterer om DDoS angreb. Lige under hver tiende angiver, at de har været udsat for spionage-software via mail, og 7 pct. af de adspurgte har oplevet hacking af arbejdspladsens offentlige hjemmeside, webmail eller intranet. 2 pct. af de adspurgte it-sikkerhedsansvarlige har oplevet spionage via USB nøgler i deres virksomhed. 3 Tallet er udregnet på baggrund af spørgsmålet Har du kendskab til følgende sikkerhedshændelser herunder mislykkede forsøg på angreb på din arbejdsplads inden for de seneste 12 måneder?. Konkret er det blevet beregnet, hvor mange respondenter der har svaret bekræftende på en eller flere af de anførte sikkerhedshændelser og hvor mange, der ikke har svaret bekræftende på en eneste sikkerhedshændelse. 9

10 Har din virksomhed oplevet følgende sikkerhedshændelser - herunder mislykkede forsøg på angreb - inden for de seneste 12 måneder? Phishing via mail 89% 4% Ransomware via mail 80% 15% 6% Phishing via telefonopkald 30% 56% 15% Bortkomst af it-udstyr 26% 63% 11% DDoS angreb 1 8 Tyveri af it-udstyr med sensitiv information 13% 80% Spionage-software via mail 9% 6 24% Hacking af arbejdspladsens offentlige hjemmeside 8 6% Hacking af arbejdspladsens webmail og/eller intranet 8 11% Spionage software via USB nøgle 74% 24% Andet 50% 48% Ja Nej Spørger man medarbejderne i større danske virksomheder tegner der sig også et billede af, at sikkerhedshændelser ikke er et ukendt fænomen. 56 pct. af de ansatte har oplevet en eller flere eksterne sikkerhedshændelser på deres arbejdsplads inden for de seneste 12 måneder 4. 4 Tallet er udregnet på baggrund af spørgsmålet Har du selv eller nære kollegaer oplevet følgende sikkerhedshændelser herunder mislykkede forsøg på angreb på din arbejdsplads inden for de seneste 12 måneder?. Konkret er det blevet beregnet, hvor mange respondenter der har svaret bekræftende på en eller flere af de anførte sikkerhedshændelser og hvor mange, der ikke har svaret bekræftende på en eneste sikkerhedshændelse. 10

11 Andel af privatansatte der giver udtryk for, at de eller en nær kollega har oplevet en eller flere sikkerhedshændelser inden for de seneste 12 måneder 56% 44% Ja Nej/ Kilde: Survey m/privatansatte af KMD Analyse Som det fremgår af nedenstående figur, er de tre hyppigste sikkerhedshændelser ifølge medarbejderne knyttet til egen eller nære kollegaernes brug af pct. af de adspurgte privatansatte eller deres nære kollegaer har således oplevet phishing via pct. har oplevet ransomware via mail. Samtidig har mere end 10 pct. af medarbejderne i større danske virksomheder været udsat for forsøg på digital spionage i de sidste 12 måneder. Spionage er således en hyppigere forekommende sikkerhedshændelse end bortkomst af it-udstyr, som 6 pct. af de privatansatte giver udtryk for at have oplevet i løbet af de seneste 12 måneder. Har du selv eller nære kollegaer oplevet følgende sikkerhedshændelser - herunder mislykkede forsøg på angreb - på din arbejdsplads inden for de seneste 12 måneder? Phishing via mail 4 38% 20% Ransomware via mail 23% 5 25% Spionage software via mail 11% 5 33% Phishing via elefonopkald 9% 64% 2 Hacking af arbejdspladsens webmail og/eller intranet 9% 6 29% Hacking af arbejdspladsens offentlige hjemmeside 8% 6 26% Tyveri af it-udstyr med sensitive informationer 68% 25% DDoS angreb (hjemmeside utilgængelig for omverden) 6% 66% 2 Bortkomst af it-udstyr med sensitive informationer 6% 69% 26% Spionage software via USB nøgle 1% 70% 29% Andet 50% 48% Ja Nej Kilde: Survey m/privatansatte af KMD Analyse 11

12 Generelt ligger medarbejdernes observationer af sikkerhedshændelser en del lavere end de sikkerhedsansvarlige. Det synes naturligt, da sikkerhedsansvarlige alt andet lige har et bedre overblik over sikkerhedshændelser end de enkelte ansatte. I besvarelserne hos medarbejderne ser vi da også en del ved ikke besvarelse. Det skal selvfølgelig også bemærkes, at de ansatte kun spørges til egne eller nære kollegaers oplevelser. Samlet set tegner de to surveys et billede af, at de større danske virksomheder i høj grad udsættes for angreb udefra. Man kan især hæfte sig ved, at de medarbejderrettede angrebstyper som phising og ransomware er i høj kurs. Det skal dog påpeges, at tallene naturligvis ikke fortæller, om de angreb, som er foretaget, men som ikke er blevet opdaget. Det kan eksempelvis være de såkaldte Advanced Persistent Threats (APT-angreb), som kendetegnes ved at være skjulte og professionelt gennemført over en lang periode. DDoS-angreb: Metode til at få hjemmesider til at blive utilgængelige ved at sætte computere til at lave mange opslag på hjemmesiden. Hacking: Angreb på hjemmesider, mailsystemer eller andre it-systemer, hvor angribere finder sikkerhedshuller, som muliggør, at de kan få uautoriseret adgang til de bagvedliggende systemer. Phishing: Forsøg på at lokke oplysninger om password, kontonummer eller andre oplysninger ud af offeret via f.eks. mails, SMS eller telefonopkald. Ransomware: Ondsindede programmer, som forhindrer virksomheden i at tilgå egne data og hvor der kræves betaling til angriberen for at låse data op igen. RANSOMWARE UDGØR STØRSTEDELEN AF GENNEMFØRTE ANGREB Deltagerne i begge surveys er blevet spurgt, om de har kendskab til gennemførte sikkerhedshændelser inden for de seneste 12 måneder. Undersøgelsen viser, at 43 pct. af de adspurgte it-sikkerhedsansvarlige har kendskab til angreb, der er gennemført med succes mod deres virksomhed. Af disse angreb udgøres størstedelen af ransomware-typen. Har du kendskab til, at det er lykkedes uvedkommende at gennemføre følgende angreb inden for de seneste 12 måneder? Organisationens data har været blokeret via ransomware 41% Organisationens hjemmeside har været blokeret via DDoS-angreb 9% Forretningsdata er afgivet via phishing Adgang til forretningsdata via hacking 0% Andet Ingen angreb 3 20% 0% 10% 20% 30% 40% 50% 12

13 Som det fremgår af figuren, har 41 pct. af de adspurgte it-sikkerhedsansvarlige kendskab til ransomware-angreb, hvor det er lykkede uvedkommende at få adgang til data og blokere dem. Til sammenligning har 2 pct. af de adspurgte it-sikkerhedsansvarlige kendskab til angreb, hvor forretningsdata er blevet afgivet via phishing, mens ingen af de adspurgte har kendskab til, at deres forretningsdata er blevet kompromitteret via hacking inden for de seneste 12 måneder. DDoS-angreb er det næsthyppigste angreb. Knap hver tiende af respondenterne har således oplevet blokering af hjemmesiden via DDoS inden for de seneste 12 måneder. Andet dækker i denne forbindelse over bl.a. angreb hvor bankens betalingsflow er blevet omgået, spoofing og lignende. Det skal også bemærkes, at hver femte adspurgte ikke ved, om det er lykkedes for angribere at trænge igennem deres forsvarsværker. Spørger man de ansatte tegner der sig et lignende billede. Ransomware er den angrebstype, der gennemføres med størst succes. 7 pct. har kendskab til blokering af data i deres virksomhed. Har du kendskab til, at det er lykkedes uvedkommende at gennemføre følgende angreb inden for de seneste 12 måneder? Organisationens data har været blokeret via ransomware Organisationens hjemmeside har været blokeret via DDoS-angreb 3% Adgang til forretningsdata via hacking Forretningsdata er afgivet via phishing 1% Andet 3% Ingen angreb 39% 4 0% 10% 20% 30% 40% 50% Kilde: Survey m/privatansatte af KMD Analyse Som tidligere ligger tilkendegivelserne fra de ansatte et stykke under de sikkerhedsansvarliges. Bemærk igen dog, at andelen af -besvarelser er særdeles høj. OVER HALVDELEN AF ANGREBENE KAN IKKE SPORES TIL BAGMÆNDENE I forbindelse med undersøgelsen er de respondenter med erfaring fra konkrete angreb blevet spurgt om hvor vidt det har været muligt at spore bagmændene til deres ophavsland. Blandt de 37 it-sikkerhedsansvarlige respondenter, som giver udtryk for at have oplevet, at deres virksomhed er blevet angrebet med succes, har det i halvdelen af angrebene ikke muligt at finde frem til bagmændenes ophavsland. 13

14 Har det været muligt at spore bagmændene til et bestemt ophavsland? 19% 49% 3 Ja Nej Som det fremgår af figuren har knap hver femte 19 pct. af de it-sikkerhedsansvarlige, der har oplevet angreb, fundet frem til bagmændenes ophavsland. Som nævnt har 49 pct. af respondenterne ikke kunnet spore bagmændene til et bestemt ophavsland, mens 32 pct. giver udtryk for, at de ikke ved, om det er lykkedes. Af de oplyste ophavslande er Rusland hyppigst nævnt, efterfulgt af Kina. Lande såsom Ungarn, Filippinerne, Ukraine og Holland bliver også nævnt. MYNDIGHEDERNE OFTEST IKKE INDDRAGET VED SIKKERHEDSHÆNDELSER De it-sikkerhedsansvarlige i landets største virksomheder er endvidere blevet spurgt om, hvor vidt de inddrog myndighederne forbindelse med opdagelsen af hændelser relateret til informationssikkerheden. Ser man alene på de virksomheder, der tilkendegiver at have oplevet brud på informationssikkerheden, giver hver fjerde udtryk for, at det er sket, mens 63 pct. omvendt tilkendegiver ikke at have inddraget myndighederne i forbindelse med sådanne hændelser: Har I som virksomhed inddraget myndighederne i forbindelse med hændelser relateret til informationssikkerhed? 24% 63% 1 Ja Nej 14

15 4. HVOR KOMMER TRUSLEN FRA? DE FLESTE TRUSLER KOMMER VIA De i undersøgelsen deltagende it-sikkerhedsansvarlige er blevet bedt om at vurder, i hvilken grad de anser det som sandsynligt, at forskellige sikkerhedshændelser vil indtræffe for deres virksomhed i de næste 12 måneder. De it-sikkerhedsansvarlige peger i særlig grad på ransomware og phishing via mail som de mest sandsynlige trusler mod informationssikkerheden i deres virksomhed, mens spionage-software vurderes til at være den mindst sandsynlige risiko. Efter din vurdering, er der en stor risiko for, at din virksomhed vil blive udsat for en af følgende sikkerhedshændelser - herunder forsøg på angreb - i de næste 12 måneder? Ransomware via 15% 50% 24% 4% Phishing via telefonopkald 35% 1 15% 20% 13% Phishing via 4% 20% 5 20% 4% DDoS angreb (hjemmeside utilgængelig for omverdenen) 4% 43% 26% 9% 11% Bortkomst af it-udstyr med sensitiv information 6% 43% 3 4% 4% Hacking af virksomhedens webmail og/eller intranet 44% 28% 6% Tyveri af it-udstyr med sensitiv information 5 24% 4% 6% Spionage-software via 43% 24% 1 6% 9% Hacking af virksomhedens offentlige hjemmeside 6% 50% 28% 4% 5% Spionage-software via USB nøgle 9% 61% 4% 1 Slet ikke I høj grad I ringe grad I meget høj grad I nogen grad Som det fremgår af figuren vurderer 74 pct. af de adspurgte it-sikkerhedsansvarlige, at der i høj eller meget høj grad er risiko for, at virksomheden vil blive udsat for ransomware via mail i løbet af det næste år. Ligeledes vurderer 72 pct. af respondenterne, at phishing via mail i høj eller meget høj grad udgør en stor risiko for virksomheden, mens kun 4 pct. vurderer, at dette i ringe grad eller slet ikke er tilfældet. Til sammenligning mener 70 pct. af de adspurgte slet ikke eller kun i ringe grad, at spionage-software via USB-nøgler udgør en stor risiko, imens 59 pct. mener, at tyveri af it-udstyr med sensitive informationer slet ikke eller i ringe grad udgør en stor risiko. Omkring halvdelen hhv. 56 og 52 pct. af de adspurgte it-sikkerhedsansvarlige vurderer, at hacking af firmaets offentlige hjemmeside og firmaets webmail og/eller intranet slet ikke eller kun i ringe grad udgør en stor risiko. 15

16 IT-SIKKERHEDSANSVARLIGE: TRUSSELSBILLEDET ER FORSTÆRKET I forbindelse med undersøgelsen er de it-sikkerhedsansvarlige blevet spurgt, om trusselsbilledets udvikling. Undersøgelsen viser, at størstedelen af respondenterne er af den opfattelse, at trusselsbilledet vil udvikle sig opadgående i løbet af de næste 12 måneder. Hvordan tror du trusselsbilledet vil udvikle sig de næste 12 måneder? 0% 19% 69% 11% 0% Markant faldende Opadgående Faldende Markant opadgående Samme niveau Som det fremgår af figuren vurderer ingen af de adspurgte it-sikkerhedsansvarlige, at trusselsbilledet vil være faldende i det kommende år. Derimod mener 80 pct., at trusselsbilledet vil udvikle sig i opadgående retning og af disse mener 11 pct., at der vil være tale om en markant udvikling. 16

17 EGNE MEDARBEJDERE UDGØR DEN STØRSTE TRUSSEL Som led i undersøgelsen er de it-sikkerhedsansvarlige blevet spurgt om i hvilken grad forskellige grupper udgør en trussel mod informationssikkerheden på deres arbejdsplads. De it-sikkerhedsansvarlige udpeger medarbejderne som virksomhedens største digitale trussel foran konkurrenter, fremmede magter og politisk motiverede aktivister. Til gengæld vurderer de at utilfredse kunder slet ikke eller i ringe grad udgør en trussel. Du bedes vurdere i hvilken grad nedenstående grupper udgør en trussel mod informationssikkerheden på din arbejdsplads Uopmærksomme medarbejdere 31% 35% 24% Organiserede kriminelle 1 31% 26% 24% Udøvere af digitale drengestreger 46% 30% 11% 4% Konkurrenter 20% 46% 24% 6% Politisk motiverede aktivister 26% 3 30% 4% 4% Fremmede magter 31% 31% 24% 4% Utilfredse kunder 33% 54% 4% 4% 4% Slet ikke I høj grad I ringe grad I meget høj grad I nogen grad 59 pct. af respondenterne vurderer, at uopmærksomme medarbejdere udgør en trussel i høj eller meget høj grad. Tages i nogen grad med er tallet 90 pct. 50 pct. af de adspurgte it-sikkerhedsansvarlige vurderer organiserede kriminelle som en trussel i høj eller meget høj grad. Tages i nogen grad med er tallet 81 pct. Derefter er der et stykke ned til de resterende grupper. Utilfredse kunder bliver vurderet som den mindste trussel mod informationssikkerheden. Det skal dog bemærkes, at de it-sikkerhedsansvarlige ikke afskriver de fleste af grupperne. Tæller man i nogen grad med opnås følgende samlede vurderinger; drengestreger (44 pct.), fremmede magter (33 pct.), aktivister (33 pct.) og konkurrenter (31 pct.). Spørger man medarbejdende selv deler de opfattelse med de sikkerhedsansvarlige. 17

18 Du bedes vurdere i hvilken grad nedenstående grupper udgør en trussel mod informationssikkerheden på din arbejdsplads Uopmærksomme medarbejdere 2 40% 1 8% 11% Organiserede kriminelle 8% 23% 24% 13% 10% 2 Udøvere af digitale drengestreger 10% 3 25% 9% 3% 21% Konkurrenter 16% 31% 19% 9% 6% 20% Politisk motiverede aktivister 2 29% 13% 6% 4% 2 Fremmede magter 2 33% 14% 5% 3% 23% Utilfredse kunder 31% 40% 9% 1% 1 Slet ikke I høj grad I ringe grad I meget høj grad I nogen grad Kilde: Survey m/privatansatte af KMD Analyse Som det fremgår af figuren, vurderer hver fjerde af de adspurgte privatansatte, at uopmærksomme medarbejdere i høj eller meget høj grad udgør en trussel mod virksomhedens informationssikkerhed. Dermed anser de adspurgte deres kollegaer som en marginalt større trussel end organiserede kriminelle, der blev anset som en trussel i høj eller meget høj grad af 23 pct. af de privatansatte. Det skal bemærkes, at der blandt medarbejderne er en høj andel af besvarelser inden for ved ikke kategorien. 5. INVESTERINGER I INFORMATIONSSIKKERHED STIGENDE INVESTERINGER I INFORMATIONSSIKKERHED De adspurgte it-sikkerhedsansvarlige er som led i undersøgelsen blevet bedt om at besvare hvorledes virksomhedens investeringer i de seneste 12 måneder er højere eller lavere end året før. Undersøgelsen viser at virksomhederne oplever stigende investeringer i informationssikkerhed. 18

19 Har jeres investeringer i de seneste 12 måneder i informationssikkerhed været højere eller lavere end året før? 0% 4% 30% 54% 11% Meget mindre Højere Mindre Meget højere Det samme Som det fremgår af figuren, giver 65 pct. af de adspurgte it-sikkerhedsansvarlige således udtryk for, at investeringerne i de seneste 12 måneder er højere eller meget højere end det forgangne år. Til sammenligning tilkendegiver knap 4 pct. af respondenterne, at investeringsniveauet er mindre eller meget mindre imens 30 pct. knap en tredjedel oplyser, at niveauet er det samme. FORVENTNINGER OM FORTSATTE STIGNINGER De adspurgte it-sikkerhedsansvarlige vurderer, at de fremover forsat vil øge investeringerne i informationssikkerhed. I forhold til de seneste 12 måneder, hvordan forventer du, jeres investeringsniveau i informationssikkerhed er de næste 12 måneder? 0% 4% 3 59% 4% Meget mindre Højere Mindre Meget højere Det samme Som det fremgår af figuren forventer 63 pct. af de adspurgte it-sikkerhedsansvarlige at investeringsniveauet for de næste 12 måneder vil blive højere eller meget højere sammenlignet med niveauet for de seneste 12 måneder. Knap 4 pct. af respondenterne giver udtryk for, at investeringsniveauet vil blive mindre eller meget mindre i deres virksomhed det kommende år. INVESTERINGER FOKUSERET PÅ MEDARBEJDERNE I forbindelse med undersøgelsen er de deltagende it-sikkerhedsansvarlige blevet spurgt om, hvilke konkrete investeringer i informationssikkerhed, som de forventer at afholde inden for de kommende 12 måneder. 19

20 Undersøgelsen viser, at et stort flertal af de adspurgte it-sikkerhedsansvarlige forventer at investere i awareness-træning af medarbejdere inden for informationssikkerhed. Hvilke områder forventer I at investere i de kommende 12 måneder? (Sæt gerne flere krydser) Awareness-træning 65% Sårbarhedsscanninger 54% Mobilsikkerhed Etablering og forankring af sikkerhedspolitik og compliance Central og intelligent logning Opgradering/udskiftning af gamle operativsystemer 54% % Identity management 39% Privillegeret adgangsstyring Efterlevelse af metodeforankring som ISO 2700x eller NIST Etablering af beredskab 33% 33% 3 Etablering af risikostyring 24% Andet 6% 0% 10% 20% 30% 40% 50% 60% 70% Som det fremgår af ovenstående figur, forventer to tredjedele af de adspurgte it-sikkerhedsansvarlige, at de inden det kommende år vil investere i awareness-træning, mens mere end halvdelen af virksomhederne forventer at investere i sårbarhedsscanninger (54 pct.), mobilsikkerhed (54 pct.), etablering og forankring af sikkerhedspolitik og compliance (52 pct.) og central og intelligent logning (52 pct). 6. PRIORITERING HOS TOPLEDELSEN IT-SIKKERHEDSANSVARLIGE: INDSATSEN KAN BLIVE BEDRE De it-sikkerhedsansvarlige er som led i undersøgelsen blevet bedt om at vurdere hvorvidt deres virksomheds indsats matcher virksomhedens behov. Undersøgelsen viser, at et flertal af de adspurgte it-sikkerhedsansvarlige vurderer, at der er plads til forbedring af virksomhedens indsats på informationssikkerhedsområdet: 20

21 Har din virksomhed efter din vurdering en indsats vedrørende informationssikkerhed, som er tilstrækkelig i forhold til trusselsbilledet? 56% 20% 4% 4% Slet ikke I ringe grad I nogen grad I høj grad I meget høj grad Som det fremgår af figuren vurderer et mindretal på 9 pct. af de adspurgte it-sikkerhedsansvarlige, at deres virksomhed slet ikke eller i ringe grad har en tilstrækkelig indsats i forhold til trusselsbilledet. Et stort flertal på 56 pct. af de it-sikkerhedsansvarlige i større danske virksomheder giver udtryk for, at indsatsen på informationssikkerhedsområdet i nogen grad er tilstrækkelig, hvilket kan forstås således, at der stadig er plads til forbedring i forhold til trusselsbilledet. Endelig vurderer 32 pct. knap hver tredje af respondenterne, at virksomhedens informationssikkerhedsindsats i høj eller meget høj grad er tilstrækkelig i forhold til trusselsbilledet. IT-SIKKERHEDSANSVARLIGE: INFORMATIONSSIKKERHEDEN BØR PRIORITERES HØJERE Som led i undersøgelsen er it-sikkerhedsansvarlige i de største danske virksomheder blevet bedt om at vurdere, om ledelsen i tilstrækkelig grad prioriterer tiltag, der skal styrke informationssikkerheden. Undersøgelsen viser, at et flertal de it-sikkerhedsansvarlige mener, at topledelsen bør prioritere informationssikkerhed højere. Hvordan bør topledelsen på din virksomhed efter din mening prioritere tiltag, der skal styrke informationssikkerheden? 0% 0% 44% 41% 13% De bør prioritere det... Meget mindre Mindre Det samme Højere Meget højere 21

22 Som det fremgår af figuren, vurderer flere end halvdelen 54 pct. af de adspurgte it-sikkerhedsansvarlige, at topledelsen i højere eller meget højere grad bør prioritere tiltag, der skal styrke informationssikkerheden. 44 pct. af de adspurgte giver udtryk for, at den nuværende prioritering hos topledelsen er tilfredsstillende. Det er værd at bemærke, at ingen af respondenterne mener, at topledelsen bør prioritere informationssikkerhedstiltag mindre eller meget mindre. HVER TIENDE DIREKTION UNDGÅR SPØRGSMÅL OM INFORMATIONSSIKKERHED Som led i undersøgelsen er de deltagende it-sikkerhedsansvarlige blevet spurgt om, hvor ofte informationssikkerhed bliver behandlet på direktionsniveau i deres virksomhed. Undersøgelsen viser, at informationssikkerhed ikke er et emne, der bliver taget hyppigt op på direktionsgangene i de største danske virksomheder. Hvor ofte behandles informationssikkerhed på møder på direktionsniveau i din virksomhed? Ugentligt 0% Månedligt 2 Kvartalsvis 2 Årligt 28% Er aldrig sket 9% 19% 0% 10% 20% 30% 40% 50% Som det fremgår af figuren giver knap tre ud af fire svarende til 72 pct. af de it-sikkerhedsansvarlige udtryk for, at informationssikkerhed behandles på direktionsniveau i deres virksomhed med en vis regelmæssighed. Det er dog kendetegnende, at ingen tager emnet op på ugentlig basis og kun hver femte svarende til 22 pct. drøfter emnet på månedlig basis. Informationssikkerheden er således ikke en hyppig gæst på direktionsgangene og det er da også betegnende, at 9 pct. af de adspurgte it-sikkerhedsansvarlige giver udtryk for, at emnet aldrig er blevet taget op i direktionen mens hver femte svarende til 19 pct. ikke er vidende om, at dette skulle være sket. 7. PERSONDATA OG EU I april 2016 vedtog EU en ny persondataforordning, som med virkning fra 2018 vil stille skærpede krav til virksomheder og organisationers behandling af persondata. Som led i undersøgelsen har KMD Analyse spurgt it-sikkerhedsansvarlige i landets største virksomheder, om de har kendskab til den vedtagne forordning samt om hvilke konsekvenser, de vurderer, at den vil have for den interne organisering. 22

23 GODT KENDSKAB TIL EU-FORORDNINGER BLANDT IT-SIKKERHEDSANSVARLIGE Undersøgelsen viser, at den nye persondataforordning ligger højt på opmærksomhedsskalaen hos it-sikkerhedsansvarlige i de største danske virksomheder. Er du bekendt med, at Europa-Parlamentet og Ministerrådet netop har vedtaget en ny persondataforordning? 5 91% Ja Nej Som det fremgår af figuren, giver ni ud af ti it-sikkerhedsansvarlige svarende til 91 pct. udtryk for, at de har kendskab til den nye persondataforordning, der træder i kraft i EFTERLEVELSE AF FORORDNING FÅR OMKOSTNINGER Et flertal af de it-sikkerhedsansvarlige i de største danske virksomheder vurderer, at man i deres virksomhed vil skulle bruge flere ressourcer på at efterleve kravene i den nye forordning. Vil der efter din vurdering skulle bruges flere ressourcer på informationssikkerhed i din virksomhed som konsekvens af den nye forordning? 4% 20% 46% 24% 4% Slet ikke I ringe grad I nogen grad I høj grad I meget høj grad Som det fremgår af figuren, vurderer 26 pct. af it-sikkerhedsansvarlige i landets største virksomheder, at det i høj eller meget høj grad skal bruges flere ressourcer som konsekvens af den nye forordning, mens yderligere 46 pct. forventer, at det i nogen grad kan blive tilfældet. Til sammenligning mener knap hver fjerde it-sikkerhedsansvarlig svarende til 24 pct. at deres virksomhed slet ikke eller kun i ringe grad skal bruge flere ressourcer på at leve op til kravene i den nye forordning. 5 Spørgsmålet er stillet på baggrund af, at Rådet for Den Europæiske Union, Kommissionen og Europa-Parlamentet i december 2015 nåede til enighed om den nye forordning om databeskyttelse. 23

24 OVER HALVDELEN AF VIRKSOMHEDERNE MANGLER EN DATA PROTECTION OFFICER Efter den nye persondataforordning skal virksomheder som eksempelvis sælger varer og tjenesteydelser i Europa og som følge deraf i stort omfang opbevarer og behandler følsomme personoplysninger, udpege en medarbejder til at varetage en nyoprettet funktion som Data Protection Officer (DPO). En DPO kan betragtes som virksomhedes interne vagthund for sikker behandling af persondata. Der stilles blandt andet krav om, at DPO en skal referere til virksomhedens topledelse. Som led i undersøgelsen er it-sikkerhedsansvarlige i de største danske virksomheder blevet bedt om at vurdere, om det vil være nødvendigt for dem at udpege en DPO eller ej. Andel af virksomheder for hvilke det er relevant at udpege en Data Protection Officer: 74% 26% Relevant for min virksomhed Ikke relevant for min virksomhed Som det fremgår af figuren, oplyser 74 pct. af de adspurgte it-sikkerhedsansvarlige, at det er relevant for dem at udpege en Data Protection Officer. Blandt de virksomheder, som vurderer, at det er relevant at udpege en Data Protection Officer, oplyser et flertal, at de endnu ikke har udpeget en sådan. Har din virksomhed udpeget en Data Protection Officer? 25% 73% 3% Ja Nej Som det fremgår af figuren, har hver fjerde virksomhed 25 pct. af de adspurgte respondenter udpeget en Data Protection Officer. Samtidig udestår denne opgave for næsten tre ud af fire 73 pct. af de adspurgte it-sikkerhedsansvarliges virksomheder. 24

25 8. OM ANALYSEN KMD Analyse har samarbejdet med konsulentfirmaet CEDI samt CERTA Intelligence & Security, der er en privat efterretnings- og sikkerhedsvirksomhed, om udarbejdelsen af analysen. RAPPORTEN BYGGER PÅ TO FORSKELLIGE SURVEYS: VIRKSOMHEDSSURVEY Virksomhedssurveyen er gennemført online af KMD Analyse i perioden fra 3. februar til 8. marts 2016 med deltagelse af 54 respondenter, der har ansvaret for it-sikkerheden i deres respektive virksomheder. Respondenters titler spænder forholdsvis bredt: CIO, IT-sikkerhedsansvarlig, CISO, IT Head, it-direktør, it-chef mv. De medvirkende repræsenterer deres virksomhed i analysen. Alle virksomhederne hører til blandt Danmarks 300 største private virksomheder. 24 af de 54 respondenter hører til blandt de største 100 virksomheder i Danmark. 14 kommer fra top kategorien. 16 kommer fra top kategorien. 20 pct af C20 virksomhederne er repræsenteret i undersøgelsen. Analysen er gennemført som online survey af konsulenthuset Trellis. KMD Analyse skal bemærke, at surveyen ud fra en generaliseringsbetragtning er behæftet med en del usikkerhed. Surveyen skal ses som et pejlemærke for it-sikkerhedssituationen blandt Danmarks største virksomheder. MEDARBEJDERSURVEY Den anden survey er gennemført online af KMD Analyse i perioden fra 9. februar til 18. februar 2016 deltagelse af 708 privatansatte i mellemstore ( ansatte) og store virksomheder (over 500 ansatte) danske virksomheder. Analysen er gennemført som online-survey gennem UserNeeds Danmarkspanel i perioden. Der er i udvælgelsen af respondenter ikke taget højde for forhold som køn, alder og andre demografiske variable. Der er ikke taget hensyn til, hvilke specifikke virksomheder medarbejderne arbejder i. Der kan derfor være overlap internt i surveyen. Analysen har endvidere ikke taget højde for eventuelle overlap mellem de to surveys. 25

26