It-sikkerhed Udfordringer og perspektiver
Vækstfonden sætter fokus på it-sikkerhed Kevin Mitnick demonstrerede på Vækstfondens årsmøde hvor sårbare Kevin Mitnick demonstrerede på Vækstfondens årsmøde, hvor sårbare almindelige mennesker og virksomheder er over for hackere og andre it-kriminelle. almindelige mennesker og virksomheder er overfor hackere og andre ITkriminelle. Denne analyse viser at IT-kriminalitet er dagligdag for danske virksomheder. Og det kan være både gavnligt og nødvendigt at forsikre sig imod hacker angreb, da omkostningerne (På verdensplan) er enorme. Derfor forventes omkostningerne til Itsikkerhed at vokse markant de næste år. Og denne omsætningsvækst Denne analyse viser, at it-kriminalitet er De høje omkostninger har bevirket, at det forsøger en række danske virksomheder at få fingre i enkelte af dagligdag for danske virksomheder, som kan være både gavnligt og nødvendigt at bruger flere og flere penge på sikkerhed. forsikre sig imod hacker angreb. dem endda med finansiering fra Vækstfonden Det stigende problem adresseres af mange nye startups både i Danmark og internationalt. It-sikkerhedsområdet er også interessant for venturefonde, der i stadig større grad investerer i området. 1. juni 2016 / Side 2
Datapunkter kompromitteret (tusinde) Flere, større og mere alvorlige hackerangreb Angreb med mere end 30.000 kompromitterede datapunkter 10.000 1.000 100 10 1 2004 2006 2008 2010 2012 2014 Note: Størrelsen af cirklen angiver følsomheden af data Kilde: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ Igennem de sidste ti år er antallet af hackerangreb steget markant. Det gælder både mindre sikkerhedsbrist, men også antallet af større og meget alvorlige angreb er steget væsentligt. Der har været flere eksempler på, at millioner af kunders fortrolige oplysninger er blevet kompromitteret, hvilket ikke alene har pådraget virksomhederne store tab, men også haft konsekvenser for virksomhedens kunder. Som eksempler kan nævnes, at Adobe mistede kreditkortoplysninger på op mod 38 mio. kunder, eller måske mere kendt, da affære-siden AshleyMadison.com mistede kundedata med afpresning mm. til følge. Hackerangreb er i den grad også en bekymring for danske virksomheder. Medlemmerne af Dansk Erhverv angiver, at 12 pct. har været udsat for et hackerangreb inden for det seneste år, mens 7 pct. ikke ved hvorvidt, de er blevet angrebet. 81 pct. mener, at de er gået fri. 1. juni 2016 / Side 3
og omkostningerne er enorme Øvre estimat $500 mia. $400 mia. Nedre estimat Forsikringsselskabet Lloyds estimerer, at de samlede omkostninger forbundet med hackerangreb udgør 400 500 mia. USD. Endvidere er der rapporter, der forventer, at beløbet kan stige til astronomiske 90 bio. USD, hvis modforanstaltningerne ikke kan følge med de it-kriminelles udvikling. De betydelige omkostninger ved hackerangreb har sammen med den øgede frekvens bevirket, at markedet for hackerforsikringer er vokset markant. Danske forsikringsselskaber melder om betydelig fremgang i salget af forsikringer mod hackerangreb, og de har således oplevet stigningstakter på over 1.000 pct. Fx har Topdanmark solgt over 20.000 forsikringer, hvor 2/3 er solgt igennem det seneste år. Det er særligt mindre virksomheder, der forsikrer sig, og trenden vurderes at fortsætte. Kilde: Atlantic Council og Zurich Insurance Group, cyberventures market report. http://www.dr.dk/nyheder/penge/antallet-af-hackerforsikringer-i-dansk-erhversliv-boomer 1. juni 2016 / Side 4
Virksomhederne skal forholde sig til.. Cyberaktivisme, også kaldet hacktivisme, er karakteriseret ved at have et politisk eller holdningsmæssigt formål. Det kan fx være ved at overbelaste en virksomheds hjemmeside eller ændre sidens udseende. Center for Cybersikkerhed vurderer truslen for denne type angreb som værende MIDDEL. Ved cyberkriminalitet er motivet økonomisk gevinst ved at tvinge sig adgang til fortrolige data. Gevinsten kan forekomme ved videresalg, afpresning via ransomware eller bedrageri med stjålne kreditkortoplysninger. Det er som oftest private grupper, der står for denne type bedrageri. Center for Cybersikkerhed vurderer truslen for denne type angreb som værende MEGET HØJ. Kilde: Center for Cybersikkerhed Ved cyberspionage forsøger udefrakommende at hente informationer som intellektuelle rettigheder eller klassificerede oplysninger. Motivet er ikke kun økonomisk, men kan også være af strategisk eller politisk karakter. Spionagen udføres primært af nationalstater, eller grupper med forbindelser til nationalstater. Denne type angreb opdages ofte aldrig, da bagmændene ikke har interesse i at afsløre hændelsen. Center for Cybersikkerhed vurderer truslen for denne type angreb som værende 1. juni 2016 / Side 5 MEGET HØJ.
Mia. USD Virksomhederne står over for stigende omkostninger 180 160 140 120 100 80 60 40 20 0 9,8 pct. vækst pr. år 2015 2020 Den stigende hackeraktivitet betyder, at virksomhederne må afsætte flere penge for at sikre sig, at fortrolige data mv. håndteres korrekt og med tilstrækkelig sikkerhed. Konsulentvirksomheden Gartner estimerer, at virksomhederne tilsammen brugte tæt på 80 mia. USD i 2015, hvilket stiger med næsten 10 pct. årligt indtil 2020, hvor omkostningerne ifølge Markets & Markets rammer 170 mia. USD. Jo flere følsomme oplysninger en virksomhed ligger inde med, jo større er udgifterne til itsikkerhed. Fx forventes det, at finansielle institutioner i gennemsnit kommer til at bruge op mod 12 pct. af deres it-omkostninger på it-sikkerhed i de kommende år mod 9 pct. i 2015. Ydermere forventes det, at øget regulering kan være med til at presse virksomhedernes forbrug endnu mere i vejret de kommende år. Konkret arbejder EU med at ensrette reglerne på tværs medlemslandene. Kilde: http://ec.europa.eu/justice/data-protection/reform/index_en.htm Cybersecurity market report Q4 2015, Cybersecurity ventures. http://www.marketsandmarkets.com/pressreleases/cyber-security.asp 1. juni 2016 / Side 6
som får flere virksomheder til udvikle sikkerhedsløsninger Antal kapitaltilførsler fordelt på år 400 350 300 250 200 150 Den stigende hackeraktivitet åbner en række muligheder for dygtige softwareudviklere mm., idet virksomheder og private har brug for at reducere deres cyberrisici. Antallet af venturefinansierede it-sikkerhedsselskaber er steget markant de seneste år. Trackingsitet Pitchbook har registreret tæt på 350 ventureinvesteringer (seed, early og later stage) i 2015 for i alt for 11 mia. USD. Til sammenligning registreredes kun ca. 50 investeringer i 2012. 100 50-2012 2013 2014 2015 Ca. 65 pct. af alle kapitaltilførsler involverer amerikanske selskaber. USA udgør sammen med Israel, UK, Canada og Frankrig de lande med den største investeringsaktivitet, og samlet står de for 83 pct. af aktiviteten. 1. juni 2016 / Side 7 Kilde: Pitchbook
Venturehandler Virksomhederne er startet inden for de sidste 3 år 120 100 At der er tale om et nyt forretningsområde, der har taget fart, fremhæves af, at næsten halvdelen af de virksomheder, der indgår i Pithcbooks database, er grundlagt inden for de seneste tre år. 80 60 Markedspotentialet understreges yderligere af, at det amerikanske forsvarsministerium, Department of Defense, har oprettet en venturearm i Silicon Valley, der bl.a. skal investere i de bedste virksomheder inden for cyber security. 40 20 0 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 År grundlagt Oveni at aktiviteten er væsentlig mere udtalt i USA, viser tallene fra Pitchbook også, at virksomheder i USA hurtigere får kapital. Således er gennemsnitsalderen for en virksomhed, der har fået early stage-venturekapital ca. 3 år i USA, mens den er 3,7 år for resten af verden. Kilde: Pitchbook og http://www.wsj.com/articles/pentagon-to-open-silicon-valley-office-provide-venture-capital-1429761603 1. juni 2016 / Side 8
Udviklingen er ikke gået forbi Danmark Er blevet tilført kapital? Nej 57% Ja 43% Software 43% Segment Hardware 13% Konsulent / itservice 44% En gennemgang af de danske iværksættermiljøer viser, at over 20 nyere danske selskaber fokuserer på it-sikkerhed, hvoraf lidt mere end en tredjedel er etableret efter 2010 godt hjulpet på vej af det voksende potentiale i sektoren. Størstedelen af virksomhederne er konsulentvirksomheder eller softwareudviklere, men kun 13 pct. sælger eller udvikler hardware. 57 pct. af de danske virksomheder har ifølge virksomhedsdatabasen Crunchbase fået tilført kapital enten fra en business angel, en venturefond, familie eller andet. Kilde: Vækstfonden 1. juni 2016 / Side 9
Case: LogPoint Danske LogPoint har udviklet et produkt, der registrerer store mængder digitale fodspor (logs), som gør det muligt at overvåge et netværk, identificere mønstre i datastrømme og slå alarm, når der er forsøg på digitale indbrud, misbrug eller cyberangreb. LogPoint fik i 2014 et Vækstlån til iværksættere af Vækstfonden til at finansiere en udvidelse af forretningen til Sverige, Tyskland og Storbritannien. LogPoint har siden 2013 oplevet høje tocifrede vækstrater i omsætningen. 1. juni 2016 / Side 10
1. juni 2016 / Side 11