Vi får ofte tudet ørerne fulde med, hvor galt det står til med it-sikkerheden i danske virksomheder. Man behøver blot at referere til de enkelte katastrofer, som ransomware-angrebet på Mærsk, for at give indtrykket af, at alle døre står pivåbne over for alverdens it-kriminelle.
Derfor vil det for nogle komme som en overraskelse, at situationen er blevet markant forbedret. Det var således kun seks procent af virksomhederne, der kunne rapportere om brud på it-sikkerheden i 2017 ifølge nye tal fra Danmarks Statistik — et fald på fem procentpoint siden 2016.
For især de største virksomheder med over 250 ansatte, kan man ligefrem tale om et kvantespring: I 2016 kunne 30 pct. af dem melde om brud på it-sikkerheden — året efter var det faldet til 12 pct.
Det skyldes delvist "GDPR-effekten" ifølge it-sikkerhedsekspert og partner i CSIS Peter Kruse:
"Da GDPR (EU’s persondataforordning, red.) blev varslet, begyndte især de større virksomheder at opgradere it-sikkerheden. Det ser man effekten af umiddelbart efter," siger han.
It-sikkerhed er blevet mere moden
Hvor mange større virksomheder for blot 3-4 år siden havde et lavt niveau af it-sikkerhed, er de i dag blevet mere modne. De har løftet niveauet for både at spotte og afværge trusler tidligere og "ser sikkerhed i det større billede", ifølge Peter Kruse.
Det indebærer ifølge it-sikkerhedseksperten blandt andet, at virksomhederne er blevet bedre til patch management — altså at holde systemerne opdateret, samt at have kontrol med data.
"De overvåger i højere grad data. I særdeleshed er de begyndt at dokumentere, hvem der tilgår hvad — altså log-overvågning," siger han og peger på datakonsolidering som et vigtigt område, der er blevet bedre:
"Før i tiden skulle man rundt til de enkelte enheder for at undersøge sikkerhedshændelser. I dag er mange begyndt at samle logs, events og andre data et sted. Det giver et samlet overblik over, hvad der sker på netværket, og det er derfor nemmere at overvåge."
Nye trusler er sværere at spotte
Trods den positive udvikling blandt de større virksomheder, så kan det alligevel være for tidligt at se det som en udelt sejr over de it-kriminelle.
"Vi (hos CSIS, red.) oplever, at der er et relativt uændret billede for de mindre virksomheder. Så når der tilsyneladende er sket et markant fald i mængden af brud på sikkerheden, så kan det også være et udtryk for, at truslerne har ændret sig, og virksomhederne ikke ser dem," siger Peter Kruse.
Andelen af de små og mellemstore virksomheder, der ifølge Danmarks Statistik meldte om brud på it-sikkerheden, faldt med henholdsvis tre og seks procentpoint i perioden 2016-17.
Faldet kan ifølge Peter Kruse blandt andet forklares med, at de it-kriminelle i højere grad fokuserer på data mining — fx for at stjæle virksomhedernes intellektuelle ejendom eller penge. Og det kan være vanskeligere at opdage:
"Det var meget tydeligt, at man som virksomhed blev ramt af ransomware, der bredte sig eksplosivt i 2016. Men nu oplever vi flere mellemstore virksomheder, der ikke aner, at de har sikkerhedsbrud, fordi de nye trusler har et andet formål end ransomware og langt oftere går under radaren," siger han.
It-kriminelle flytter med i skyen
De nye trusler er ifølge Peter Kruse specielt email-bårne og indeholder eksempelvis dokumenter med skadelig makro-kode, der ikke bliver opdaget, medmindre man overvåger netværkstrafikken.
Samtidig har truslerne også flyttet sig over på mange af de cloud-platforme, som virksomhederne har taget til sig de seneste år — eksempelvis Office 365.
"Vi har set en eksplosion af angreb mod Office 365, fordi virksomhederne har flyttet mange ting i skyen," siger han.
"Det er især phishing-metoder, hvor brugerne via sms eller email bliver lokket til at opgive brugernavn og kodeord," tilføjer han og henviser til CEO fraud eller direktørsvindel.
Det går ud på, at de it-kriminelle — eksempelvis i en email — giver sig ud for at være den ansattes chef og derved lokker medarbejderen til at gøre noget, der kompromitterer sikkerheden, som fx at udlevere brugernavn og kodeord.
"Der har været en kraftig stigning af denne type svindel. Jeg vil tro, at det samlet set er den, som virksomhederne har tabt flest penge på i 2017 — endda mere end ransomware, hvis man ser bort fra de enkelte angreb, som det Mærsk oplevede sidste år," afslutter Peter Kruse.