ANALYSE Informationssikkerhed blandt DI s medlemmer

Transkript

1 ANALYSE Informationssikkerhed blandt DI s medlemmer DI ITEK 1787 København V itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik og kommunikation

2 INFORMATIONSSIKKERHED BLANDT DI S MEDLEMMER DI har i samarbejde med Neupart A/S gennemført en spørgeskemaundersøgelse af, hvilke informationssikkerhedstiltag virksomhederne i medlemskredsen iværksætter. Undersøgelsen har særligt fokus på anvendelsen af informationssikkerhedsstandarden ISO Hovedkonklusionen er, at virksomhederne i for lav grad bruger sikkerhedsstandarder i deres arbejde med informationssikkerhed. Derfor kommer de ikke hele vejen rundt om informationssikkerheden og får ikke håndteret de forskellige risici, der har potentiale til at gøre stor skade på virksomheden. Det er især de store virksomheder, som bruger informationssikkerhedsstandarder. Disse store virksomheder sørger for, at sikkerhed gennemsyrer hele organisationen i alt hvad de laver. Derfor får de også i højere grad end de mindre virksomheder designet informationssikkerhed ind i deres løsninger, beskyttet personoplysninger fornuftigt og får arbejdet med deres kunders tillid. Indtil videre er den negative påvirkning af manglende brug af informationssikkerhedsstandarder dog til at overse, idet et relativt beskedent antal af virksomhederne har oplevet konsekvenser af sikkerhedsmæssige brud. I lyset af det stigende antal sårbarheder og de til stadigt mere avancerede angrebsformer har den manglende helhedsorienterede tilgang til håndtering af risici potentiale til gøre stor skade på værdierne i det private erhvervsliv. Årsagerne til den manglende fokus på informationssikkerhed er dels manglende kendskab til standarderne og dels at det vurderes at være meget tidskrævende at sætte sig ind i området. Der er derfor behov for at tilvejebringe information og let tilgængelige værktøjer, som virksomhederne kan tage i anvendelse uden at investere for meget tid. DI har gennem længere tid udarbejdet vejledninger til håndtering af forskellige it-sikkerhedsmæssige udfordringer. DI vil på baggrund af undersøgelsen gå i dialog med Digitaliseringsstyrelsen, Erhvervsstyrelsen og andre om at få skabt mere information og konkrete værktøjer til virksomhedere. Nedenfor gennemgås undersøgelsen i flere detaljer. Spørgeskemaet kan findes som bilag A. En gennemgang af undersøgelsens metode, respondenternes sammensætning og de it-servicemodeller, de anvender, kan findes i bilag B. ANALYSE Informationssikkerhed blandt DI s medlemmer 2

3 BEGRÆNSET KENDSKAB TIL OG ANVENDELSE AF SIKKERHEDSSTANDARDER Det er en ganske stor andel af virksomhederne, som ikke styrer deres informationssikkerhed efter nogen standard. 80,2 pct. af respondenterne styrer ikke deres informationssikkerhed efter nogen standard. Kun 7,1 pct. går frem under anvendelse af ISO ,7 pct. går frem efter andre standarder - herunder interne koncernsikkerhedsframeworks. Ses der specifikt på ISO27001 har 19,2 pct. af respondenterne planer om bruge standarden som minimum best practise. 52,0 pct. har ingen planer om at følge den, og 22,4 pct. ved ikke. Af bemærkningerne til flere af spørgsmålene fremgår det, at der er et relativt lavt kendskab til sikkerhedsstandarden. Dette afspejles også af den relativt beskedne svarprocent. Der er også for mange af virksomhederne tidsmæssige udfordringer med at sætte sig ind i informationssikkerhedsstandarden - og formodentlig også informationssikkerhedsområdet i almindelighed. Når der ses på det konkrete indhold af ISO27001, falder mængden af besvarelser i forhold til de øvrige dele af spørgeskemaet. Der kan dog alligevel uddrages en række hovedkonklusioner. Kun 19,4 pct. har politikker for informationssikkerheden og kun 27,3 pct. har placeret ansvaret for informationssikkerheden. 81,6 pct. har ikke et såkaldt ISMS, som er styringsværktøjet til ISO Det er formodentlig en naturlig følge af, at meget få virksomheder følger ISO Hertil kommer, at 79,0 pct. ikke har en statement of applicability, og 75,0 pct. følger ikke op på sikkerhed i form af målinger. Også disse svar kan måske ses i lyset af at meget få respondenter følger ISO ANALYSE Informationssikkerhed blandt DI s medlemmer 3

4 Det er især de store virksomheder, som bruger en informationssikkerhedsstandard. Ingen virksomheder med mindre end 20 ansatte har angivet, at de bruger en informationssikkerhedsstandard. Ca. halvdelen af alle virksomheder med over 500 ansatte bruger informationssikkerhedsstandarder. BEGRÆNSET OPFATTELSE AF HVAD INFORMATIONSSIKKERHED OMFATTER Når virksomhederne ikke går frem efter en informationssikkerhedsstandard, får de ikke inkluderet alle de forskellige sikkerhedsaspekter i deres arbejde med informationssikkerhed. Dermed får de heller ikke inkluderet alle mulige risici. Næsten alle virksomheder betragter it-sikkerhed som en del af informationssikkerhed. Tilsvarende betragter 63 pct. cybersikkerhed som en del af informationssikkerhed. Kun godt en fjerdel inkluderer disciplinerne personalesikkerhed, sikkerhed i produkterne, produktionssikkerhed og fysisk sikkerhed som en del af informationssikkerhed. Respondenterne giver dermed udtryk for, at de fire sidste sikkerhedsdiscipliner ikke håndteres i en helhedsorienteret sammenhæng med den øvrige sikkerhed f.eks. inden for samme sikkerhedsmæssige standard. Både fysisk sikkerhed og del personalesikkerhed er en del af ISO27001 og bør håndteres indenfor denne ramme. Hertil kommer at det må være en forudsætning for god informationssikkerhedsskik, at alle informationssikkerhedstiltag håndteres indenfor den samme ramme. ANALYSE Informationssikkerhed blandt DI s medlemmer 4

5 DER OPLEVES KUN FÅ HÆNDELSER Der er kun et begrænset antal virksomheder, som faktisk har oplevet og haft konsekvenser af informationssikkerhedshændelser. 87 pct. a respondenterne har ikke haft sikkerhedshændelser, der har ført til tab af data eller gjort deres it-systemer utilgængelige. Der er naturligvis alene tale om hændelser, som er blevet opdaget, hvorfor tallet må antages at være højere. Desuden siger tallet ikke noget om, hvor mange hændelser, det er lykkedes virksomhederne at afværge. Det lave niveau for oplevede sikkerhedshændelser kan forklare, hvorfor der er et relativt lavt kendskab til sikkerhedsstandarden: Kun få af virksomhederne har oplevet konsekvenser for forretningen som følge af det eksisterende informationssikkerhedsniveau, og der er derfor en oplevelse af, at man ikke behøver at gøre mere. Omvendt er der en positiv sammenhæng mellem hændelser og anvendelsen af en standard. Sammenhængen er dog usikker, da det absolutte antal af virksomheder, som både bruger en standard og har oplevet hændelser er lav. Det er heller ikke muligt at konkludere på, hvad der er årsag og virkning, men enten gælder det, at ANALYSE Informationssikkerhed blandt DI s medlemmer 5

6 standarden sikrer, at man opdager hændelser, eller også gælder det, at antallet af hændelser er medvirkende til, at man begynder at organisere sit arbejde med informationssikkerhed med anvendelse af en standard. Der synes ikke at være en tendens til, at store virksomheder oplever flere hændelser end mindre virksomheder. Der er dog en vis usikkerhed, fordi der er så få respondenter, der overhovedet har oplevet, at der er hændelser. BEGRÆNSEDE KRAV TIL LEVERANDØRERNE Det forhold, at virksomhederne ikke følger informationssikkerhedsstandarder, resulterer i, at de ikke er opmærksomme på at stille sikkerhedskrav til deres leverandører. 73,5 pct. af respondenterne stiller ikke krav til leverandørerne om at se en revisionserklæring, der dokumenterer leverandørens informationssikkerhedsniveau. 9,4 pct. gør det som en fast del af leverandørvalget, og 17,1 pct. stiller sådanne krav nogle gange. Ingen af dem, der fortrinsvis bruger cloudløsninger, stiller krav om en revisionserklæring. Den gruppe, der hyppigst stiller krav til deres outsourcingpartner, er dem, som har den største del af it-driften in-house. Det må forventes, at kendskabet til revisionserklæringer er lavt, ligesom en del af forklaringen på de begrænsede krav er, at mange af virksomhederne håndterer deres it in-house.der er ikke spurgt til, om der stilles krav om, at leverandørerne fremlægger anden dokumentation for sikkerhed, som f.eks. en ISO27001 certificering, en ISO27018 certificering eller penetrationstests. Med det begrænsede kendskab til ISO27001 og efterspørgslen af revionserklæringer, må det imidlertid forventes ikke at være tilfældet. TRUST OG SIKRE PRODUKTER Generelt er virksomhederne rigtig gode til at sikre deres produkter. Langt de fleste har også fokus på, at kunderne skal have tillid til virksomheden. Beskyttelsen af personoplysninger er dog utilstrækkelig. Der er en tendens til at der er en lille gruppe af fortrinsvis store virksomheder, som bruger informationssikkerhedsstandarder, og som har fokus på alle tre ting: sikkerhed i produkterne, tillid hos kunderne og beskyttelse af personoplysninger. I forhold til at få et indtryk af hvilken fokus kundernes tryghed har hos virksomhederne, er det relevant at spørge til, om sikkerhed designes ind i produkterne. 41,9 pct. designer sikkerhed ind i produkterne og 16,2 pct. gør det, omend ikke i tilstrækkeligt omfang. Spørgsmålet er ikke relevant for 38,5 pct. af respondenterne - formodentlig fordi de ikke sælger produkter, hvor indbygget sikkerhed er relevant. Der er således et fornuftigt fokus på at sikre samarbejdspartneres tillid. 45,8 pct. af respondenterne overvejer aktivt, hvordan kunderne kan have tillid til virksomhedens services. 28,8 pct. har disse overvejelser i et vist omfang, mens 25,4 pct. slet ikke tænker på det. Den store udfordring er, 25,4 pct. af virksomhederne ikke tænker på kundernes sikkerhed. ANALYSE Informationssikkerhed blandt DI s medlemmer 6

7 58,3 pct. af virksomhederne har ikke processer, som kan opdage, at der mistes personoplysninger. Hertil kommer, at 25,2 pct. har nogen, men ikke har tilstrækkelige processer, til at opdage dette. Kun 16,5 pct. har gode processer på plads. Forskellen mellem det fokus, der er på at skabe tillid hos kunderne (74,6 pct.), og den beskedne beskyttelse af personoplysninger (31,7 pct.) kan skyldes, at en stor del af virksomhederne ikke sælger til private (B2C), og derfor kun i begrænset omfang håndterer personoplysninger. Fokus på kundernes tillid adresserer derfor formodentlig mest B2B-markedet. Det er en tendens, at de virksomheder, som har fokus på beskyttelse af personoplysninger, også har designet sikkerhed ind i deres løsninger, hvorimod de virksomheder, som ikke beskytter personoplysninger, heller ikke designer sikkerhed ind i produkterne. Hertil kommer, at det er en tendens, at de virksomheder, der designer sikkerhed ind i produkterne, også har fokus på kundernes tillid, hvorimod de virksomheder, som ikke designer sikkerhed ind i produkterne, ikke har fokus på kundernes tillid. Der er ligeledes en positiv sammenhæng mellem beskyttelsen af persondata og fokus på tillid hos kunderne. Endelig er der en tendens til, at de virksomheder, som organiserer deres sikkerhed efter en standard, har fokus på kundernes tillid. Der er en tendens, som viser, at det er de store virksomheder, som designer sikkerhed ind i deres løsninger, mens de mindre virksomheder mener, at det ikke er relevant for deres produkter. Der er også en indikation af, at jo større virksomheden er, jo mere fokus er der på kundernes tillid. Endelig er der en tendens til at de store virksomheder har større fokus på beskyttelse af personoplysninger end de mindre virksomheder. ANALYSE Informationssikkerhed blandt DI s medlemmer 7

8 Disse konklusioner kunne indikere, at der er en mindre gruppe af store virksomheder, som har særlig fokus på informationssikkerhed, og som sørger for, at sikkerhed gennemsyrer hele organisationen i alt hvad de laver. Andre dele af denne analyse har også vist, at det især er denne gruppe af virksomheder, som har taget informationssikkerhedsstandarderne til sig. PRODUKTIONSSIKKERHED Størstedelen af virksomhederne har så høj en teknologisk modenhed, at de har koblet deres produktionsudstyr på netværket. Mere end 82 pct. af disse virksomheder betragter produktionssikkerhed som en del af informationssikkerhed. 58,0 pct. har koblet deres produktionsudstyr på virksomhedens netværk. Det vidner om en betydelig teknologisk modenhed hos virksomhederne. Når man kobler sit produktionsudstyr på netværket, kan man udnytte fjernstyring af udstyret, ligesom man kan få data fra udstyret. Der er i undersøgelsen ikke eksplicit spurgt til, hvilket formål virksomhederne har haft med at forbinde udstyret til netværket. Hele 82,1 pct. af de virksomheder, som faktisk har produktionsudstyr på nettet, betragter produktionssikkerhed som en del af informationssikkerhed. I det omfang at de resterende virksomheder begynder at koble deres produktionsudstyr på nettet, kan der ligge en sikkerhedsmæssig risiko i, at de ikke betragter produktionssikkerhed som en del af informationssikkerhed. EFTERSPØRGSEL EFTER HJÆLP FRA DI Virksomhederne påpeger især, at der er behov for mere information på området. Konkret efterspørger virksomhederne f.eks. en lettilgængelig tjekliste eller generel introduktion til ISO Desuden efterlyser virksomhederne netværksmøder, ANALYSE Informationssikkerhed blandt DI s medlemmer 8

9 vejledning om cloud computing, vejledning om overenskomst- og personalespecifikke forhold, vurdering af det aktuelle trusselsbillede, vejledning om beskyttelse af kommunikation med samarbejdspartnere og kunder og vejledning om behandling af CPR-nummer. Der findes vejledninger om disse ting, heraf flere udgivet af DI, men kendskabet til dem er altså ikke tilstrækkeligt. Undersøgelsens resultater viser også, at det ikke nytter alene at forsøge at udbrede kendskabet til sikkerhedsstandarden ISO Der er behov for tjeklister og værktøjer, som dog udmærket kan være baseret på sikkerhedsstandarder. ANALYSE Informationssikkerhed blandt DI s medlemmer 9

10 BILAG A - SPØRGESKEMA Spørgeskemaet var oprindeligt udformet som angivet nedenfor. Ved redaktion på hjemmesiden blev formen ændret marginalt. Baggrundsspørgsmål Hvilken funktion repræsenterer du i virksomheden? - Direktionen - IT-afdelingen - IT-sikkerhedsfunktionen - Andet Hvor mange ansatte er der i din virksomhed? Over 500 Hvad er din virksomheds primære forretningsområde? - Landbrug, skovbrug og fiskeri - Råstofindvinding - Industri - Bygge og anlæg - Transport - Hoteller og restauranter - Information og kommunikation - Ejendomshandel og udlejning - Vidensservice ANALYSE Informationssikkerhed blandt DI s medlemmer 10

11 - Rejsebureauer, rengøring og anden operationel service Hvordan håndterer i jeres it-drift? - Fortrinsvis inhouse it - Fortrinsvis outsourcet it - Fortrinsvis cloud baseret it Hvad er efter jeres opfattelse omfattet af begrebet informationssikkerhed? (vælg gerne flere svar) - IT-sikkerhed - Cybersikkerhed - Fysisk sikkerhed - Produktionssikkerhed - Sikkerhed i de produkter eller services i laver - Personalesikkerhed Har i produktionsudstyr, der er koblet på virksomhedens netværk? - Nej Har i indenfor de seneste to år haft sikkerhedshændelser, der har ført til tab af data eller gjort jeres data utilgængelige? - Nej Spørgsmål vedrørende korrigerende tiltag og ISO27001 Hvilken standard baserer i primært jeres informationssikkerhed på i dag? ANALYSE Informationssikkerhed blandt DI s medlemmer 11

12 - ISO DS484 - ISF - En anden standard - Ingen standard Hvad er jeres ambitionsniveau med ISO 27001? - [Åbent spørgsmål] - [Åbent spørgsmål] Har I et Informations Security Management System (ISMS) med dokumenterede processer, og vedligeholdes ISMS'et løbende? (Et ISMS kan være et it-system, men det kan også være et arkiv med dokumenter, som beskriver nogle fastlagte processer) (4.4 & 8.1) I hvilken grad har I afdækket sikkerhedskrav fra interne og eksterne parter? F.eks. lovgivning, revision, eller egne krav (4.1 & 4.2) Har I bestemt omfanget eller anvendelsesområdet ("scope") af jeres Information Security Management System (4.3) ANALYSE Informationssikkerhed blandt DI s medlemmer 12

13 Er virksomhedens direktion direkte involveret i informationssikkerhedsarbejdet (5.1) - Ikke tilstrækkeligt - Nej Har I en ledelsesgodkendt politik for jeres informationssikkerhed? (5.2) Er roller, ansvar og beføjelser for informationssikkerhed placeret i jeres organisation? (5.3) Har I en planlagt proces for risikovurdering, og gennemføres planen? (6.1 & 8.2) ANALYSE Informationssikkerhed blandt DI s medlemmer 13

14 Har I en planlagt proces for risikohåndtering, og gennemføres planen? Fx accept eller reduktion af risici og tilhørende handlingsplaner (6.1 & 8.3 ) Har I beskrevet et mål for jeres informationssikkerhed? (6.2) Er der tildelt de nødvendige ressourcer til jeres Information Security Management System? (7.1) - Ikke tilstrækkeligt - Slet ikke Kompetencer: Kender I jeres kompetencer, undervises ansatte, og anskaffer I nødvendige kompetencer, som I ikke selv har? (7.2) - Ikke tilstrækkeligt - Slet ikke ANALYSE Informationssikkerhed blandt DI s medlemmer 14

15 Awareness: Kender ansatte jeres sikkerhedspolitik, deres egen rolle, og konsekvenser ved evt. brud? (7.3): - Ikke tilstrækkeligt - Slet ikke Kommunikationsplan: Har I bestemt, hvilke dele af jeres Information Security Management System der skal kommunikeres internt eller eksternt, og hvad I skal kommunikere hvornår og til hvem? (7.4) Har I dokumentstyring i jeres Information Security Management System? Fx styr på opdateringer, godkendelser, versionsstyring, adgangsrettigheder, publicering. (7.5) Hvor langt er I kommet med dokumentet Statement of Applicability? (6.1) ANALYSE Informationssikkerhed blandt DI s medlemmer 15

16 Måler I jeres informationssikkerhed? Fx KPI'er, metrikker, benchmarking, målopfyldelse på sikkerhedstiltag eller på processer. (9.1) Har I en plan for intern audit og følger I den? (9.2) Sikrer i jer at leverandører opfylder standardiserede sikkerhedskrav i form af f.eks. ISA3402 type 2 erklæring eller SSAE16 type 2? - Ved nogle systemer - Nej Gennemgår ledelsen jeres Information Security Management System regelmæssigt? (9.3) Håndterer I afvigelser? Fx sikkerhedshændelser, eller observationer fra intern eller ekstern revision. (10.1) ANALYSE Informationssikkerhed blandt DI s medlemmer 16

17 Laver I løbende forbedringer i jeres Information Security Management System? (10.2) Er der lavet en beredskabsplan? Andre korrigerende tiltag Har i processer som sikrer at i kan opdage at personoplysninger er fortabt forsætligt eller uforsætligt? - Ikke tilstrækkeligt - Nej Overvejer I aktivt, hvordan I kan sikre, at jeres kunder kan have tillid til jeres services? - Ikke tilstrækkeligt ANALYSE Informationssikkerhed blandt DI s medlemmer 17

18 - Slet ikke Har I fokus på at designe sikkerhed ind i jeres egne produkter? - Ikke tilstrækkeligt - Slet ikke - Det er ikke relevant i vores virksomhed ANALYSE Informationssikkerhed blandt DI s medlemmer 18

19 BILAG B METODE M.V. Metode DI har i samarbejde med Neupart A/S den 8. januar 2015 udsendt et spørgeskema om informationssikkerhed til en stikprøve af medlemskredsen. Modtagerne har fortrinsvis titel af adm. direktør. Modtagerne havde mulighed for at sende spørgeskemaet videre i organisationen til andre respondenter. Der blev efterfølgende den 19. januar 2015 udsendt en reminder om at besvare spørgeskemaet. Der blev lukket for spørgeskemaet fredag den 6. februar ,3 pct. af stikprøven har besøgt spørgeskemaet, og 12,4 pct. af stikprøven har besvaret (efterfølgende benævnt respondenterne). Antallet af besvarelser er lav, hvilket vurderes at skyldes undersøgelsens sværhedsgrad. På grund af den relativt lave svarprocent er gruppen af respondenter ikke stor nok til, at der kan drages klare konklusioner på brancheniveau. Respondenternes sammensætning 76 pct. af dem, som har svaret på spørgeskemaet, repræsenterer virksomhedens direktion. At så mange direktører har svaret selv i stedet for at sende spørgeskemaet videre skyldes formodentlig dels, at en del af virksomhederne er mindre virksomheder, og dels at direktionen faktisk har en reel interesse i emnet. 55 pct. af respondenterne stammer fra virksomheder med under 50 ansatte og 45 pct. stammer fra virksomheder med over 50 ansatte. I forhold til både DI s medlemskreds og sammensætningen af dansk erhvervsliv er der således en overrepræsentation af store virksomheder blandt respondenterne. 54 pct. af respondenterne kommer fra industrien, og de øvrige 46 pct. kommer fra de øvrige sektorer i det private erhvervsliv. Servicemodel for it 68,0 pct. af respondenterne håndterer fortrinsvis deres egen it in-house, mens 25,6 pct. fortrinsvis har outsourcet og 6,4 pct. fortrinsvis bruger cloud computing. ANALYSE Informationssikkerhed blandt DI s medlemmer 19