Upload File

informasjonssikkerhet og datakriminalitet · gang av logger medfører manglende oversikt og...

  • Home
  • Documents
  • InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette
24
MøRKETALLSUNDERSøKELSEN 2010 INFORMASJONSSIKKERHET OG DATAKRIMINALITET Næringslivets Sikkerhetsråd med deltagelse fra: Norsk Senter for Informasjonssikring, Kripos, Nasjonal sikkerhetsmyndighet, SINTEF, SECODE, Telenor, Det Norske Veritas, Forsvarets Forsknings institutt 20 10

Upload: others

Post on 09-Oct-2020

5 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

1

Mørketallsundersøkelsen 2010InforMasjonssIkkerhet og datakrIMInalItet

Næringslivets Sikkerhetsråd med deltagelse fra: Norsk Senter for Informasjonssikring, Kripos, Nasjonal sikkerhetsmyndighet, SINTEF, SECODE, Telenor, Det Norske Veritas, Forsvarets Forsknings institutt

2010

Page 2: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

2

1 Innledning..................................................................................................................................... 4

1.1 Kriterierogdeltakerneiundersøkelsen............................................................................ 4

2 Hovedfunn..................................................................................................................................... 5

3 Trusselen...................................................................................................................................... 6

4 AvhengighetogbrukavIT....................................................................................................... 8

4.1 AvhengighettilIT........................................................................................................................ 8

4.2 BrukavIT....................................................................................................................................... 8

5 OutsourcingavIT-driften........................................................................................................ 9

5.1 Kravtiloutsourcingspartner.................................................................................................. 9

6 Hendelser...................................................................................................................................... 12

6.1 Analyseavhendelser................................................................................................................ 12

6.2 Anbefalingerogtiltakhendelser.......................................................................................... 13

6.3 Utgifterknyttettilsikkerhetshendelser........................................................................... 14

6.4 Hvaergjortforåhindretilsvarendehendelser?............................................................ 14

6.5 Hvilkefølgerhaddeden/deuønskedehendelsen(e) forvirksomheteni2009?........................................................................................................ 14

7 ForskningogUtviklingogImmateriellerettigheter...................................................... 16

7.1 Virksomhetermedforskningogutviklingiimmateriellerettigheter..................... 16

7.2 Datatyveri..................................................................................................................................... 17

7.3 Tyveriavinformasjon................................................................................................................ 17

7.4 OppsummeringFoUogIPR..................................................................................................... 17

8 Tiltak............................................................................................................................................... 18

8.1 Organisatorisketiltak-Analyse........................................................................................... 18

8.2 Teknologi....................................................................................................................................... 20

8.2.1 Sikringstiltak............................................................................................................................... 20

8.2.2 Oppdateringavprogramvare................................................................................................. 20

8.3 Prosesserogrutiner................................................................................................................. 21

8.3.1 Gjennomgangavlogger........................................................................................................... 21

8.3.2 Risikovurderinger....................................................................................................................... 21

9 Personopplysningsloven......................................................................................................... 22

9.1 Datainnsamling........................................................................................................................... 22

Innhold1

Page 3: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

3

De siste mørketallundersøkelser, inkludert denne, viser en økning i outsourcing av IT-tjenester. Undersøkelsen viser også at få virksomheter stiller tilstrekkelige krav til leverandør av slike tjenester.

Næringslivets Sikkerhetsråd (NSR) har derfor utarbeidet, og i samarbeid med NorSIS, utgitt en veiledning med sjekkliste for outsourcing av IT- tjenester. Veiledningen er à jour etter regler og forskrifter pr. juni 2010.

Veiledningen er skrevet av Astri Vik, SINTEF, som et medlem av NSRs datakrimutvalg. Datakrimutvalget har kvalitetssikret veiledningen. Høringssvar fra Datatilsynet, Nasjonal Sikkerhetsmyndighet, NorSIS og Finanstilsynet er innarbeidet i sjekklisten så langt

det har vært praktisk mulig.

IT- outsourcing innebærer å sette ut en eller flere IT -funksjoner/tjenester til eksterne leverandører. Det er viktig å ha orden og oversikt i eget hus og gjennom-føre nødvendig planleggings- og forberedelsesarbeid som et ledd i en outsourcingsprosess. Vær oppmerksom på at outsourcing ikke endrer det ansvar ledelsen i virksomheten har for å følge lover og regler.

NSR mener at denne veilederen vil være til nytte, både for kunde, rådgiver og leverandør. Bruk av veilederen og sjekklisten vil bidra til en bedre felles forståelse av hva outsourcing innebærer og hvilke krav som bør med i en slik avtale.

Veileder med sjekkliste kan lastes ned fra NSRs og NorSIS hjemmeside.

KOlOFON:

Næringslivets Sikkerhetsråd

Hjemmeside: www.nsr-org.noE-post: [email protected]: www.facebook.com/Naeringslivets.Sikkerhetsraad

VeIlednIng for IT- ouTsourcIngSpesielt rettet mot små og mellomstore bedrifter

Næringslivets Sikkerhetsråds: Mot kriminalitet – for næringsliv og samfunn

3

Page 4: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

4

Et av virkemidlene vi bruker er å infor- mere om de kriminelle trusler og trender vi ser i dag og forventer i fremtiden. Mørketallsundersøkelsen har en sentral plass i opplysnings- og informasjons-strategien mot næringslivet og offentlige myndigheter.

Mørketallsundersøkelsen2010erden7.undersøkelsensomforetasavNærings-livets Sikkerhetsråd (NSR) gjennomDatakrimutvalget. Undersøkelsen erenestående i Norge og er et viktigbidragtilåkartleggeomfangetavdata-kriminalitet og IT-sikkerhetshendelser,samt bevissthet omkring informasjons-sikring og omfanget av sikringstiltaki norske virksomheter. Alle svar eranonymisertslikatverkenrespondenterellerderesvirksomheterharmulighettilåbliidentifisert.

Spørreundersøkelsen er gjennomført elektronisk av Perduco AS i mai 2010. Tidsrommet for kartleggingen er 2009. Analysen er utført av Datakrimut- valget som i 2010 består av:

• Arne-JohanHelle,Telenor(leder)

• ArneSkeide,DetNorskeVeritas

• ArneTjemsland,Secode

• AstriVik,SINTEF

• ChristopheBirkeland,Nasjonal sikkerhetsmyndighet(NSM)

• JanneHagen, ForsvaretsForskningsinstitutt(FFI)

• JohnnyMathisen,Telenor

• ThomasStærk,KRIPOS

• ToreLarsenOrderløkken,Norsksenterforinformasjonssikring(NorSIS)

• ErlandLøkken,NSR.

I tillegg har Fornyings-, administra-sjons-ogkirkedepartementet(FAD)gittinnspilltilundersøkelsen.

1.1 Kriterier og deltakerne i undersøkelsenPopulasjon: Norske virksomheter iprivatogoffentligsektormed5ansatteeller flere (enkelte næringskoder erholdt utenfor; barnehager, barneparker,SFO, førskoler, kulturskoler, lønnetarbeid i private husholdninger, kinoerm. fl.), samt enkelte organisasjons-former(borettslag,eierseksjonssameie,forening/lag/innretning, sokn/kirkeligfellesråd,stiftelse).

Utvalg: Detertrukketut6000virksom-hetertilundersøkelsen.Ibruttoutvalgeter det 4500 private virksomheter og1500 offentlige virksomheter. I under-søkelsen er små bedrifter med opp til10 ansatte, mellomstore fra 10 til 100ansatte og store bedrifter er bedriftermedmerenn100ansatte.

Svarprosent:745virksomheterharsvartpå undersøkelsen. Dette gir en svar-responspå12,4prosent.

InnlednIng1Næringslivets Sikkerhetsråd har som formål å forebygge kriminalitet i og mot næringslivet.

Page 5: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

5

I det etterfølgende ser vi på trender og utvikling siste år med fokus på utviklingen fra 2008 til 2010.

Resultatene fra undersøkelsen viser at sikkerheten er sviktende hos mange.

• VirksomheteneermeravhengigeavITogharstørremobilitet.

• 1/3 av virksomhetene er utsatt fordatakriminalitet, ca. 1 % blir anmeldttilpolitiet.

• Opp mot halvparten av gjernings-menneneeregneansatteellerinnleidekonsulenter.

• 56 % av virksomhetene outsourcerhelt eller delvis IT-driften. Det stillesfåkravtilleverandørene.

• Stor tiltro til outsourcingsaktøreneshåndtering av sikkerheten, men lavfokus på kontroll, oppfølging ellersanksjonervedmangler.

• Det finnes ingen offentlig pålagtesikkerhetskrav til selskapene somtar på seg IT-driftsoppgavene forandrevirksomheter.Detfinneskravtilnoen virksomheter innenfor enkeltebransjer, men ingen krav direktetil driftsleverandørene som f. eks.sertifiserervirksomhetene.

• Små og mellomstore bedrifter erunderrepresentert når det gjelder

å ta i bruk en rekke sikkerhetstiltaksammenlignet med store bedrifter.Detteerisamsvarmedundersøkelsenfra2008.

• Bare 1/3 har kontinuerlig opplæringavdeansatteogunderhalvpartenharsikkerhetsopplæring av nyansatte. Etbekymringsfullt resultat, med tankepå at ca. halvparten av gjernings-mennene bak avdekkede hendelser eregneansatte.

• Ingen forbedring når det gjeldersikringstiltaksiden2008

• Sikringstiltakigangsettesutenatnød-vendigerisikoanalyserergjennomført.Virksomhetene prioriterer enklereteknologiske tiltak og ikke organisa-torisketiltaksomf.eks.opplæring

• Manglende overvåking og gjennom-gang av logger medfører manglendeoversiktograpporteringavsikkerhets-hendelsertilledelsen.Dettereduserermuligheten til å iverksette preventivesikkerhetstiltak.

• Informasjon spres i nye medier ogkanaler. Bruken av nettsamfunn harsyv-doblet seg siden 2008, mensunder1/3harretningslinjerforbrukavnettsamfunn.

• Offentligevirksomheterharmerfokuspåpersonopplysningerogharetablertformellerutinerogkontroller.

• Virksomheter som driver forskningog utvikling er dobbelt så utsatt somandre virksomheter for å få frastjåletdatautstyr,ogdeer77%merutsattfordatahendelser.

Hovedanbefalinger:

• Mersikkerhetsfokuspåmobileenheter

• Anmeldeallevesentlige sikkerhetshendelser

• Sertifiseringsordningfor IT-driftsleverandørerpåsikkerhet

• Verdivurdering.Merfokuspåprosesserogrutinerivirksomhetenforåivaretaogbeskytteegneverdier.

• Kunnskapsformidlingen må fortsettemed fokus på de små og mellomstorevirksomhetene

• Kompetansemåøkes.ObligatoriskeITsikkerhetskursforvirksomhetsledere.

hoVedfunn2Dette er hovedfunnene og hovedanbefalingene etter Mørketallundersøkelsen 2010.

Mørketallsundersøkelsen2010erden7.undersøkelsensomforetasavNæringslivetsSikkerhetsråd(NSR)gjennomDatakrimutvalget.

Page 6: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

6

TelenorSikkerhetssenter(TSOC)harlevertsikkerhetstjenester til bedriftsmarkedeti 10 år, og har fulgt en skremmende ut-viklingfrainnsiden.Vierallekjentmedatmennesker som jobber med IT-sikkerhetjobber mot kriminelle miljøer som er uteetterénting:tjenepenger.Bildetviharavgutteromshackeren fra midten avforrige tiår ser vi sjelden i dag.Vi ser litetil de som forsøker å stjele ressursenevåre, og det er i deres interesse at deforblirskjult.

Samtidigermangenorskevirksomhetermindre på vakt. For få år siden var detutenkelig å ta lunsjpause når man vis-steatendatamaskinvarkompromittert.For flere norske virksomheter er detteblitt en normalsituasjon og det kan gåfleredagerførvirksomhetenfårtattenmaskin av nett, selv om den står underkontrollavutenforstående.

Når vi ser på utviklingen av infeksjonerharvihattenøkendeutvikling.Tiltrossfor at de fleste bruker betydelig merpenger på sikkerhetsutstyr, har TSOCaldri registrert flere infiserte maskinerhosnorskevirksomheterenni2010.

Sentraliserte data og alt erforbundet med alt Generelt blir flere og flere systemer

koblet sammen via Internett. Data blirstadig mer sentralisert og normalen ergjerneågialleansattetilgangtilaltsomstandard. Minnepinner rommer mangegigabyte med data til tross for stør-relsen.DennyestandardenforladingavmobiltelefonererogsåUSB-basertogvilføretilatmangeetterhvertvilkoblePC-en og mobilen sammen daglig, også påjobben. Konsekvensen av én utro tjenereller én kompromittert maskin kanværebetydeligedastoremengderdatai en bedrift kan kopieres og flyttes ut iløpetavfåsekunder.

Sosiale nettverk og tillitSosialenettverkblirstadigmerutbredtogdettevetangriperneåbenyttesegav.På Facebook er det stadig nye svindel-forsøksomprøveråfåbrukerentilågifra seg login-data, høste brukerinfor-masjon og få brukerens maskin infisertavmalware.Detmestkjenteeksempeleter Koobface-ormen, som har spreddseg i stadig nye varianter i flere år påFacebook.

Nettsamfunnet Twitter har også fåttutbredelse. På Twitter er en av destørste truslene at meldinger bare kanha opp til 140 tegn. Dette medførerat medlemmer ofte benytter seg avtjenestersomforkorterlinkenesomblir

sendt ut på denne tjenesten. Dette erbraforåspareplass,mendeterumuligåvitetilhvilkenadresseenvirkeligblirsendt ved å følge linken. Trikset medå forkorte nettadresser blir nå ogsåbenyttet i stadig større grad i vanligespame-poster.

Private data og jobbdataDe siste årene ser vi en økning imobilitetblantbrukerne.Mangeskalhatilgangtilvirksomhetnenesinformasjonpå reise og fra hjemmekontor. Fra etsikkerhetsperspektiv fører dette oftetil en sammenblanding av jobbdata ogprivate data. Mobiltelefonen brukes tilbegge deler. Bærbare PC-er brukes tilprivate aktiviteter også via bedriftensnettverk. Nettbrett er også en nyplattformforsammenblanding.

Antall svakheter øker fra år til år.Manskullekanskjetroatantallalvorligesvakheter i systemer og programmergikknedetterhvertsomfolklærtesegålageprogramvarepåensikkermåteogbleklaroverproblemene,mendetteviserseg ikke å være tilfelle. Det oppdagesstadigfleresvakheterietøkendeantallnye systemer. Også i helt nyutvikledesystemerviserdetsegofteåværefleremåteråomgåsikkerhetenpå.

Trusselen3En vurdering av Telenor Security Operation Center (TSOC).

Tabell 1: Alvorlige hendelser Telenor SOC(Sistekvartalerufullstendig)

Conficker

2004-2 2004-3 2004-4 2005-1 2005-2 2005-3 2005-4 2006-1 2006-2 2006-3 2006-4 2007-1 2007-2 2007-3 2007-4 2008-1 2008-2 2008-3 2008-4 2009-1 2009-2 2009-3 2009-4 2010-1 2010-2 2010-3

2500

2000

1500

1000

500

0

Antall eventer pr kvartal:

Kvartaler:

Page 7: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

7

Det er derfor fremdeles viktig å settefokus på en sikker utviklingsprosessder sikkerheten ikke blir nedprioriterttil fordel for funksjonalitet og hurtigutvikling. Det er også viktig å benytteutviklingsmiljøer som oppfordrer tilsikkerkodingoginneholdermyesikker-hetibunnen.

Virkelige tall fra TSOCErfaringenfraTSOCviserattilenhvertidhar halvparten av Norges største bed-rifterminsténmaskinsomerkompromit-tertaveksterneangripere.Maskinenerofte koblet opp i et såkalt botnett forfjernkontroll. Ofte vet eieren av dennedatamaskinenikkeomdetteselv.

Angriperne har til enhver tid de sammetilgangene i bedriftens nettverk somden ansatte har. Når de har et brohodeinnibedrifteniformavenslikmaskin,erdet mye enklere å oppnå videre tilgangtilandreinternemaskinerognettverk.

Det som foreløpig redder de flestebedrifter er at de kompromittertemaskinene så langt ikke i stor gradbrukes til tyveri av bedriftshemmelig-heter og tømming av bedriftens bank-konti. I dag er det gjerne enklere tingsom gjøres, som å spre spam-epost,vise reklame til brukeren og lure

vedkommende til å betale penger forfalsk sikkerhetsprogramvare. Dette vilendre seg i årene som kommer. I USAoverfører allerede kriminelle årlig flerehundre millioner dollar ut fra bedrift-erskontoervedhjelpavbank-trojanere.ProblemeterogsåstortforstørrebankeriEuropa.

Trusselbildetutviklersegaltsåstadigogblirmerogmeralvorlig.Flerehartilgangtilmerinformasjon,skilletmellombed-riftens data og personlige data viskesutogdekriminellefinnerstadigpånyemetoder for å kunne jobbe uforstyrret.De tradisjonelle forsvarsverkene sombrannmur og anti-virus har nestenutspilt sin rolle og fungerer i dag somstøybegrensning.

De gode nyhetene:I 2009 var det 20 % av TSOC kundersom ikke hadde påviste infisertemaskiner. Blant disse var det flere somhadde mange ansatte, operativsystemog brukte internett aktivt. Derimothadde disse kundene høy bevissthet,godsikkerhetspolicyogsterktfokuspåIT-sikkerhet.

75% 63% 54.1% 45.9%

Andel av kundene med alvorlige

hendelser:

Andel av utplasserte sensorer

med alvorlige hendelser:

Røde hendelser: Hverhendelserepresenterer

minstenkompromittertmaskinhoskunden-544hendelser

Orange hendelser: sannsynligviskompromittert,

eller”vilbli”kompromittert461hendelser

Tabell 2: Statistikk pr 30.08.2010 over siste 100 dager hendelser mot et utvalg av Telenor kunder:

Page 8: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

8

For undersøkelsen og tolkningen avresultatene betyr dette at noe av dengenerelleøkningenibrukavsikkerhets-tiltak vil kunne forklares ved enendring i bedriftssammensetningen fra2008til2010.4.1 Avhengighet til ITI datainnsamlingen har vi samlet inninformasjon om hva Internett brukestil.Fratidligereundersøkelserharvirk-somhetene bekreftet at alle har e-postog hjemmesider, dette er derfor ikkemed i årets undersøkelse. Vi har fokuspå mobilitet i bruken av ovennevnteområder.

Det blir viktigere for virksomhetene åværetilgjengelig,hatilgangtil Internettogforretningssystemer.Deterdestørstevirksomhetene som er mest sårbare nårsystemeneogapplikasjoneneikkeertil-gjengelige. Fra årets undersøkelse serDatakrimutvalgetensvakøkningikravettil tilgjengelighet for alle bransjer, uan-sett størrelse. Økningen er i midlertidigstørstforstorevirksomheter.Av deltakerne i undersøkelsen, er detbare4%somikkefårproblemerivirk-somheten når de opplever driftsstanslengre enn en dag. Det er små virk-somheter som utgjør den størsteandelen i denne kategorien. Hele 56% har nedetid på inntil en dag somfølge av uønskede IT-hendelser i2009. Dette er en økning sammenlig-net med 2008. 44 % fikk nedetid på 2dager eller mer som følge av uønskedeIT-hendelseri2009.

19 % rapporterer å ha en nedetidpå 4 dager og mer (inntil 1 måned).Dette er en høy andel av de virksom-heter som rapporterer å ha sikkerhets-hendelser. Dette understreker behovetfor gode prosesser og rutiner som ergjennomøvetforåreduseretidendettaråkommetilbaketilnormaldriftetterensikkerhetshendelse.

4.2 Bruk av IT

Se tabell 3

Analyse av ulik bruk og teknologi:Vi har i årets undersøkelse fokusertmer på mobilitet og bruk av Internett iforholdtilsikkerhetsutfordringene.Det er 64 % blant virksomhetene iundersøkelsensomhartilgangtile-postpå mobilen. Dette er en økning på 18%siden2008. Blantdestorevirksom-heteneerbrukenave-postpåmobilhele78 %. Forskjellene på e-post på mobilmellom privat sektor og offentligvirksomhet er markant med henholds-vis 72 % i privat og 44 % i offentligvirksomheter.

Når vi spør om retningslinjer og sikker-hetskrav til mobiltelefoner (Smart-phone) blant de som har e-post påmobil, svarer bare 39 % at de harutarbeidet retningslinjer for bruk. Utenkrav og retningslinjer er det grunn tilå anta at sikkerheten på mobilbruk oge-posterensikkerhetsrisikofor61%avvirksomhetene.

Utviklingen viser at avhengigheten idaglig bruk av mobile enheter øker ogkravtiloppetiderstørreiallesektorerennfor2årsiden.

Det er også en markert økning i brukav nettsamfunn, som Facebook,Twitter,etc.Økningenviseratnettsam-funnbliranvendtsyv-gangersåmyesomi 2008. Det betyr at 21 % av virksom-hetene i dag benytter nettsamfunn ijobbsammenheng.

Dette gir nye sikkerhetsutfordringernår bare 30 % av virksomhetene sombenytternettsamfunneneharutarbeidetretningslinjerfordeansatte.

Deterogsåenøkningpå18%ibrukavtrådløskommunikasjon.

Anvendelse og avhengighetene avinformasjonsteknologi er stadig størrefor alle virksomheter og vi blir sårbarenårtilgjengelighetenuteblir.Endringenepå øvrige spørsmål i undersøkelsen ersmå i forhold til 2008. Hele 80 % avvirksomhetene gir ansatte mulighetfor tilgang til IT-systemene på reise oghjemmefra.

På tiltakssiden er det bare 23 % sombekrefter å ha kryptering på bærbaremedier. Det viser at virksomhetene ersårbarenår18%iundersøkelsensvareratdeharmistetIT-utstyr.

AnbefalingerMobilitet og tilgang til virksomhetensinformasjon krever økt sikkerhetsfokusblant brukerne og nye krav til sikkerkommunikasjon i henhold til virksom-hetens behov for sikring. Risikoanalyserog klassifisering bør gjennomføres forå skille på hva som kan kommuniseresåpent over Internett og hva som kreverbeskyttelse.Herlistesnoenviktigetiltakforåøkesikkerheten:

• Gjennomførerisikovurderingvedbrukavnyemedier/applikasjoner

• Verdivurdere(Klassifisere) informasjonenihht. beskyttelsesbehov.

• Utarbeideretningslinjerog brukeropplæringinnenforde områdenesomvirksomhetene benytter(foreksempele-post påmobilogbrukavnettsamfunn).

aVhengIgheT og bruk aV IT4Når vi sammenligner sammensetningen av bedrifter som har svart i 2008 med 2010, så har det vært en reduksjon i antall store bedrifter, en svak økning i antall mellomstore, samt en svak reduksjon i antall små virksomheter.

Page 9: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

9

IT driftens organisering og bruk av IT18 % av virksomhetene har satt bortheleIT-driftentileneksternpartner,og38%opplyseratdeharenkombinasjonavinternogeksterndrift.AndelensomheltellerdelvisharsattbortIT-driftenerda56%ogrelativtstabilsammenlignetmed 2008 der andelen som helt ellerdelvissattebortITdriftenvar52%.

Se tabell 4

5.1 Krav til outsourcingspartnerGenerelt er det en klar trend at krav ikontrakter med outsourcingspartnerhenger sammen med størrelsen påvirksomheten. Store og mellomstorevirksomheter stiller flere krav enn småvirksomheter. I store virksomheter harforeksempel77%stiltkravomtekniskesikringstiltak i kontraktene i forhold til43%fordesmåvirksomhetene.

Det er langt færre som har kontrakts-festet rett til målinger av sikkerhet-snivå. Halvparten av de store virksom-heteneharkontraktsfestetdette,mensfor de små virksomhetene har bare 17% stilt dette kravet. Konsekvensen kanvære at de som kjøper driftstjenesterikke får det sikkerhetsnivået som erkontraktsfestet, og heller ikke harrett eller mulighet til å sjekke hvilketnivådefår.

Bare40%avdesmåvirksomheteneharkravomoppetid/tilgjengelighettiltrossfor at 50 % av virksomhetene i dennekategorien svarer at det vil skapealvorlige problemer om viktige IT-systemer er ute av drift i et døgn.Fortsatterdetmangevirksomhetersomikke sikrer seg økonomiske rettighetereller sanksjonsmuligheter ved sikrings-brudd eller manglende leveranse. Bareén av tre virksomheter har stilt krav omdette og andelen er synkende fra 2008til2010.

Negativ utvikling de to siste årene.Det er en gjennomgående trend fra forrige undersøkelse til denne under-søkelsen at vi ser en stagnasjon i andelen som har stilt sikringskrav i kontrakter. Dette gjelder totalt og for ulike virksom-hetsstørrelser og de fleste bransjer. Spesielt gjelder dette sikringskravene:

• Kravtiltilgangskontroller

• Retttilinnsynisikkerhetsrutiner

• Retttilmålingavsikkerhetsnivå

Det er overraskende at selv de storevirksomhetenestortsettharstagnasjon

eller tilbakegang fra 2008 til 2010 iandelenvirksomhetersomstillersikrings-kravikontrakter.Spesielturovekkendeerdetatandelenavdestorevirksomhetenesom stiller krav om tilgangskontroll tilinformasjonerredusertfra80%til65%.

Bevissthetominformasjonssikkerheterviktig for alle virksomheter uansett omdedriftersineIT-systemerselvellerharsatt dette bort til andre.Tallmaterialetfra undersøkelsen tyder på at fokusetpå informasjonssikkerhet ikke har økt idesistetoårene,menhellerharhattensvaktilbakegangnårdetgjelderkravtiloutsourcingsleverandør.

ouTsourcIng aV IT-drIfTen5Undersøkelsen viser ingen store endringer i antallet som outsourcer IT-driften fra 2008 til 2010.

Tabell 4: Hvordan er IT-driften organisert i virksomheten?

100%90%80%70%60%50%40%30%20%10%0%

Egen drift (in-house)I andres regi (out-sourced)Kombinasjon egen – outsourcedVet ikkeSummert IT i andres regi og kombinasjon egen/outsourcet

2008 2010 Endringer prosentvis 08-10

2008 2010 Endringer prosentvis 08 -10

Selgervarerogtjenester 27% 25% -7%

Kjøpervarerogtjenester 66% 71% 8%

E-postpåmobil 54% 64% 18%

Instantmessaging(MSN) 31% 33% 6%

IPtelefoni 29% 33% 14%

WANkommunikasjon 48% 46% -4%

WI-FItrådløskommunikasjon 61% 72% 18%

Tilgangtilarbeidhjemme/reise 78% 80% 3%

Tilgangforkundersamarbeidsparter 39% 35% -10%

Leggerutinfo.pånett(Facebook,Twitter) 3% 22% 633%

Tabell 3: Hvordan bruker virksomheten internett?

Page 10: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

10

BransjebetraktningerFor de fleste bransjer er utviklingennegativ eller uendret fra 2008 til 2010når det gjelder sikringskrav som stillestiloutsourcingspartner.

Det er likevel noen positive trekk vedutviklingenfornoenbransjer.

Når det gjelder krav til innsyn i sik-kerhetsrutiner, måling av sikkerhets-nivå og rett til økonomisk erstatning/ sanksjoner ved alvorlige sikkerhets-hendelser, har alle undersøkte bran-sjer lave tall. Undervisning, helse ogpersonlig tjenesteyting har likevel hattenforbedringpånoenområderfra2008til 2010. Det gjelder spesielt innenforområdene rett til måling av sikkerhets-nivå,hererdetenøkningfra14%i2008til30%i2010.Nårdetgjelderretttilinn-syn i sikkerhetsrutiner og dokumenta-sjonerdetenforbedringfra33%i2008til44%i2010.

Andelen virksomheter innenfor dennenæringensomstillerkraverlikevelfort-satt altfor lav. Det er f. eks bare omlaghalvpartenavdesomsetterutIT-driftenidennebransjen,somstillerkravomtil-gangskontroll til informasjon til sin IT-driftspartner.Fordidennebransjenofteforvalterpersonopplysningersomkjøps-profiler, kredittkortnummer og andrepersondata,erdetikkegodtnokatbare50%stillerkravomtilgangskontrolltilinformasjon.

Forvarehandel,hotellogrestaurantharandelen som stiller krav til tekniske si-kringstiltakøktfra48%i2008til63%i2010,ogandelensomstillerkravtiltil-gangskontrollharøktmed20%.Detteerpositivt. Også denne bransjen forvalterpersonopplysninger som kjøpsprofiler,kredittkortnumre og andre person-data og derfor er det ikke godt nok atbare 61 % stiller krav om tilgangs-kontrolltilinformasjon.

Avvirksomhetersomharsvartatdeans-ersegselvsomendelavnasjonalkritiskinfrastruktur, har 55 % helt eller delvis

outsourcet. Dette er samme nivå som i2008.Avdevirksomhetersomoppfatterseg selv som kritisk infrastruktur er 80%storevirksomhetermedmerenn100ansatte.Datakrimutvalgetvelgerderforå feste lit til virksomhetenes vurderingav sin egen betydning for nasjonalkritisk infrastruktur. Selv om detteikke uten videre er sammenfallendemed de virksomheter som omfattes avsikkerhetsloven med forskrifter , så girdette en indikasjon på hvordan slikevirksomheter oppfatter sin egen rolle iforholdtilsikringskravvedoutsourcing.For slike virksomheter gjelder oftesærskilteloverogforskriftersomstillermer omfattende krav til informasjons-sikkerhetogsikringstiltakennforøvrigevirksomheter.

Som for virksomhetene generelt er detingen økning i andelen som stiller kravtil outsourcingspartner, det er derimotensvaktilbakegang.Nårdetgjelderkravtil måling av sikkerhetsnivå, økonomiskansvarvedsikringsbruddogsanksjonerer resultatene svake, henholdsvis 48%, 44 % og 42 % har dette. Dette giren indikasjon om at virksomheter somvurderer seg selv som kritisk nasjonalinfrastrukturikkehartilstrekkeligfokuspå sikringskrav i forbindelse med out-sourcingskontrakter.

Dette er spesielt urovekkende på bak-grunn av at NSM i sin årsrapport sierat IKT-trussel og sårbarhetsbildet erbetydeligforverretdetosisteårene.

Datakrimutvalget mener fortsatt atvirksomheter som har overlatt for-valtningen av IT til en ekstern partneri altfor liten grad har stilt krav tilleverandøren og har lite kjennskap tilsikkerhetsnivået (risikoen) hos denne.Med få unntak har det ikke vært noenforbedring siden 2008. Sett i lys avdet økende trusselnivået fra Internett-kriminalitet, kan dette representereen risiko for grunnsikkerhetenivirksomhetene.NSM har i sitt forslag til strategi forcybersikkerhet hevdet at grunnsikker-

heten vedr IT må opp på et høyere nivåi virksomhetene som en helhet. Detteunderbyggesavdefunnsomherergjort.

Anbefalinger: Myndighetene bør stille sikringskravgjennom forskrift for de virksomhetersom skal drifte IT systemer på vegneav andre. Myndighetene bør ogsåintensiveretilsynogveiledningsmøter.

Page 11: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

11

TabellKravtiloutsourcer–tallfor2008iparentesTabell 6: Prosentvis fordeling på bransjer som har stilt krav til outsourcingspartner.

Varehandel, Transport og Undervisning, Primærnæringer Bygg restaurant tjenesteytende Offentlig helse og personlig og industri og anlegg og hotell næringer administrasjon tjenesteyting

Tilgangskontroll 56%(69%) 64%(62%) 61%(51%) 57%(80%) 61%(70%) 54%(55%)

Taushetserklæring 75%(71%) 69%(72%) 60%(53%) 71%(83%) 79%(80%) 63%(63%)

Tekniskesikringstiltak 64%(62%) 69%(64%) 64%(48%) 65%(78%) 73%(79%) 61%(67%)

Tilgjengelighet/Oppetid 63%(71%) 64%(56%) 66%(49%) 74%(82%) 76%(78%) 54%(59%)

Innsynisikkerhetsrutinerogdokumentasjon 40%(52%) 44%(56%) 39%(33%) 56%(61%) 67%(67%) 44%(33%)

Retttilåmålesikkerhetsnivå 26%(34%) 28%(36%) 23%(31%) 39%(43%) 45%(43%) 30%(14%)

Retttiløkonomiskerstatningigittetilfelle 30%(29%) 22%(31%) 31%(23%) 39%(48%) 42%(42%) 21%(29%)

Sanksjonerdersomkravikkeoppfylles 26%(30%) 19%(28%) 26%(17%) 34%(50%) 39%(37%) 22%(18%)

Tabellennedenforoversikringskravviseratfremgangenfra2006til2008ersnudd,ogharfåtttilbakegangfra2008til2010.

Tabell 5: Krav til outsourcing part? Prosentvis av antallet virksomheter som har helt eller delvis outsourcet.

2006 2008 2010 Endringer prosentvis 08 - 10

Kravtiltilgangskontrollikontrakt 62% 66% 57% -14%

Kravtiltaushetsplikt - 71% 68% -4%

Kravtiltekniskesikkerhetstiltak 62,9% 66% 65% -2%

Kravtiltilgjengelighet/oppetid 65,8% 67% 65% -3%

Retttilinnsynisikkerhetsrutiner 47% 51% 47% -8%

Retttilmålingavsikkerhetsnivå 31% 35% 31% -11%

Økonomiskansvarvedsikkerhetsbrudd 23% 34% 31% -9%

Andresanksjonerdersomkraveneikkefølges 26% 32% 27% -16%

Vetikke - 18% 14% -22%

Ingenavovennevntekravermed - - 8% -

Fordeflestebransjererutviklingennegativelleruendretfra2008til2010nårdetgjeldersikringskravsomstillestiloutsourcingspartner.

Page 12: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

12

Tabell 7: Virksomheter utsatt for hendelser

Type hendelse 2006 2008 2010

Datainnbrudd(hacking) 4% 3% 5%

Tyveriavinformasjon 1% 2% 2%

Uautorisertendring/slettingavdata 5% 4% 5%

MisbrukavIT-ressurser(PC/nett/server) 9% 9% 11%

Spredningavulovlig/opphavsrettsligbeskyttetmateriale(piratkopiering) 2% 3% 5%

Målrettedeaksjonersomhartilhensiktåreduseretilgjengeligheten(DoS-angrep) 5% 4% 4%

TrusleromåangripeIT-systemer(utpressing) 1% 0% 1%

BedragerivedmisbrukavkredittkortoverInternett 1% 2% 1%

TyveriavIT-utstyr(PC,server,etc) 26% 24% 18%

Tapavopplysningerunderlagtpersonopplysningsloven 1%

Definisjonen av datakriminalitet vilofte variere med hvilken sammenhengbegrepet benyttes. Mørketallsunder-søkelsen omfatter også hendelser somikkenødvendigvisinngåridenetablertedefinisjonen av datakriminalitet, mensom likevel er relevante i forhold tildatasikkerhetoginformasjonssikkerhet.EksempelpådetteertyveriavIT-utstyr,som tradisjonelt inngår i kategorienvinningskriminalitet.

6.1 Analyse av hendelserVirksomheter utsettes for mange uliketyperhendelsersomharulikesikkerhet-saspekter.

Se tabell 7 og tabell 8

Undersøkelsen viser at tyveri av IT-utstyrharennedgangsammenliknetmedtidligereår.Sermanderimotpåkriminal-statistikken viser denne en økning ivinningskriminaliteten for første gangsiden 2002. Imidlertid skiller ikkekriminalstatistikken i denne sammen-hengmellomprivatpersonerogvirksom-hetersomfornærmet,ellerfordensaksskyld om vinningskriminaliteten rettersegmotIT-utstyr.

Sammenholdt med tidligere under-søkelsersermanogsåenøkningiantallvirksomheter som utsettes for misbrukav IT-ressurser, samt en økning knyttettil spredning av ulovlig opphavsrettsligbeskyttet materiale. For øvrig serman en svak nedgang blant virksom-heter som er utsatt for målrettedeaksjoner som har til hensikt å reduseretilgjengeligheten.

MørketallMørketall er differansen mellom denanmeldte kriminaliteten som frem-kommer i politiets statistikk og denkriminaliteten som virksomhetene ogprivatpersonerfaktiskblirutsattfor.

Politiets statistikk skiller ikke på omfornærmede er en virksomhet elleren privatperson. Tallene som er brukther er totalt antall anmeldelser, oginneholder derfor også anmeldelser ikategoriensomerinngittavenfornærmetprivatperson. Antallet anmeldelser fravirksomheter vil følgelig kunne antaså være enda lavere. I undersøkelsener virksomhetene bedt om å gi etestimat for antall hendelser de harvært utsatt for, i kategorier som til

en viss grad er sammenlignbare medstatistikkgrupperipolitietsstatistikk.

Basert på opplysningene gitt i under-søkelsen, samt SSBs statistikk overnæringsstrukturen i Norge, har Data-krimutvalget estimert det totale antalleti utvalgte grupper av hendelser under-søkelsen tar for seg. Flere forhold gjørdet vanskelig å oppnå helt presiseanslag for det faktiske antallethendelser. Anslaget har imidlertid tatthensyn til ekstremverdier der slike fore-kommer.Viderepresiseresatvirksomhet-eneselvharestimertantallethendelser.

Datakrimutvalgetharestimertatnorskevirksomheter ble utsatt for ca. 9800datainnbrudd i 2009. Til sammen-likning har politiet bare registrert88 anmeldelser for datainnbrudd forperioden.

Ser man på antallet tilfeller av uauto-risert sletting og/eller endring av data,kandetteestimerestilca.1700tilfellerhosnorskevirksomheteri2009.Politietmottok87anmeldelserforslikeforholdiperioden.

Tabell 8: Utvalgte hendelser etter kategori, samt antallet anmeldelser

Type hendelse Estimat Anmeldt

Datainnbrudd(hacking) 9900 88

Uautorisertendring/

slettingavdata 1800 87

MisbrukavIT-ressurser 9200 24

Målrettedeaksjonersom

hartilhensiktåredusere

tilgjengelighet 2700 19

Totalt 23500 218

Estimatene er basert på opplysningene fra undersøkelsen, samt SSBs statistikk over næringsstrukturen i Norge.

hendelser6Undersøkelsen viser at 30 % av norske virksomheter ble utsatt for datakriminalitet, og at denne andelen holder seg stabil i forhold til 2008.

Page 13: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

13

Videre kan antallet målrettede angrepsomhartilhensiktåreduseretilgjenge-lighet estimeres til ca. 2600 for 2009.Politiets statistikk inneholder ikke tallfor denne typen hendelser spesielt,men den gruppen slike angrep inngår iviserbare19anmeldteforhold.Ingenavvirksomhetene i undersøkelsen oppgirforøvrigatdeharanmeldtdennetypenforhold.

Virksomhetene i undersøkelsen rap-porterer at misbruk av IT-ressurser eret utbredt problem. Totalt for norskevirksomheter kan antallet slike tilfellerestimeres til ca. 9100 i 2009. Politietsstatistikk for 2009 viser at totalt 24sliketilfellerbleanmeldt.

Totalt for disse fire kategoriene hen-delser blir antallet 23.500 i løpet av2009.218anmeldelsererregistrerthospolitiet. Disse kategoriene av hendelsermå sies å være representative for dendatakriminaliteten norske virksomheterutsettesfor.

Følgeligerdetrimeligåanslåatunder1%avdatakriminalitetenmotnorskevirksom-heterbliranmeldttilpolitiet.

Mørketallsundersøkelsen 2010 bekref-ter med dette tidligere undersøkelser,somviseratmørketallenefordatakrimi-nalitetersværtstore.

Når det gjelder tyveri av IT-utstyr, såanmeldes70%avdennekriminalitetentil politiet. Det er grunn til å tro atdetteistorgradskyldesatforsikrings-selskapenesettersomvilkårforerstat-ning,atforholdetanmeldestilpolitiet.

ForDatakrimutvalgeterdetetparadoks

atingenavvirksomheteneoppgiratmål-rettede angrep som hadde til hensikt åredusere tilgjengelighet ble anmeldt tilpolitiet, mens de samtidig oppgir at 70%avtyverieneavIT-utstyrbliranmeldt.Detteparadoksetforsterkesytterligerenår det samtidig oppgis at nedetid blirstadigmerkritiskforvirksomhetene.

GjerningsmannVirksomhetene anslår at gjernings-mannen i 42 % av tilfellene er en egenansatt eller innleid personell. Omman utelater tyveri av IT-utstyr fratallmaterialet står disse for 48 % avtilfellene. For noen typer hendelser serman en stor overrepresentasjon av til-fellerdergjerningsmannoppgisåværeegenansattellerinnleidpersonell.

Dette er tyveri av informasjon, uauto-risert endring eller sletting av data,samtspredningavulovligopphavsretts-lig beskyttet materiale. Ingen oppgir atmålrettedeaksjonersomhartilhensiktåreduseretilgjengeligheten,trusleromå angripe IT-systemer eller bedragerierved misbruk av kredittkort overInternetterbegåttavegneansatteellerinnleidpersonell.

6.2 Anbefalinger og tiltak hendelserDet er store mørketall for datakrimi-nalitet. Undersøkelsen gir ingen klareindikasjoner på hva som er årsakentil at datakriminalitet ikke anmeldes.Imidlertid er årsaker som ”Saken erubetydelig”,”Trorikkedetermuligåfinneengjerningsmann”og”Trorikkeforholdeter straffbart” gjengangere. Manglendetiltro til politiets kompetanse er også enårsaksomendeloppgir,mendenerikkeavdemestfremtredendeforklaringene.

Politiets statistikk er dårlig egnet til åomtale omfanget av datakriminalitetmot norske virksomheter, eller data-kriminalitet i sin alminnelighet. Detfinnes få andre målinger på omfangetav datakriminalitet i Norge enn Mørke-tallsundersøkelsen. Datakrimutvalgetvil oppfordre virksomheter til å an-melde forhold av en viss alvorlighet til

politiet, slik at politiets statistikk giret mer realistisk bilde av den faktiskekriminalitetenpåområdet.

Mørketallsundersøkelsen bekrefter atdatakriminalitetersværtutbredtiNorge.Flere internasjonale undersøkelserhar påvist en betydelig illegal økonomiknyttet til slik kriminalitet, samt at deøkonomiske tapene knyttet til data-kriminaliteterstore.

Datakrimutvalget anbefaler derfor enbetydelig styrking av politiets evne tilå forebygge, etterforske og iretteføredenne formen for kriminalitet. Data-krimutvalgetmenerdeteretfåtallpoliti-distrikter i Norge som i dag harkompetanse eller ressurser til å etter-forske denne formen for kriminalitet.Samtidig ser man at de spesialisertemiljøene som finnes, på langt nær erstore nok til alene å kunne forebygge,etterforske og iretteføre den data-kriminaliteten som faktisk forekommeriNorge.

Den teknologiske utviklingen på om-rådet krever robuste spesialisertemiljøersomkanværedenkompetanse-messige spydspissen i bekjempelsenav datakriminalitet. Disse bør styrkes.Samtidig krever omfanget av data-kriminalitet en betydelig styrking avkompetansenidetenkeltepolitidistrikt,derhoveddelenavkriminaliteteniNorgetrossaltetterforskes.

Mange gjerningsmenn for datakrimina-litet er i følge undersøkelsen egneansatte eller innleid personell. Data-krimutvalget understreker viktighetenav gode interne rutiner, og ikke minstoppfølging av disse. God og grundigbakgrunnssjekk ved ansettelser, out-sourcing og innleie av personell børetableressomendelavinternkontrollen.Videre mener Datakrimutvalget atgod kontinuerlig opplæring vil virkeforebyggende med tanke på hendelsersombegåsavegneansatteellerinnleidpersonell, som en del av den internesikkerhetskulturenivirksomheten.

Page 14: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

14

6.3 Utgifter knyttet til sikkerhets-hendelserHele 28 % av alle virksomheter haddeutgifter opp til 50.000 som følge av IT-sikkerhetshendelser i 2009. Virksom-hetens størrelse er en klar faktor når detgjeldertap.Småvirksomheterharsmåtap,mensstorevirksomheterharstoretap.

AnalyseUndersøkelsen viste at 25 % mente deikke hadde noen direkte utgifter til-knyttet IT-sikkerhetshendelser i 2009.28 % hadde opp til 50.000 i utgifter,mens11%haddeover50.000.

Det er klare forskjeller tilknyttet utgifternårmansammenlignerdeulikestørrelsenepåvirksomhetene.Småvirksomheterharistørre grad små utgifter, mens store virk-somheterharstørreutgifter.NårspurtomanslåttekostnadertilknyttetIT-sikkerhets-hendelservartrendenedesamme.

6.4 Hva er gjort for å hindre tilsvarende hendelser?

Se tabell 9

AnalyseDet er ingen bemerkningsverdige tren-der eller vesentlige endringer fra 2008.Som tabellen viser er investering i

tekniskesikringstiltakogforbedringavsikringsrutinerdemestbruktetiltakeneforåforhindretilsvarendehendelser.Endypere analyse i datagrunnlaget viseratdestorevirksomheteneerbedreennsmå og mellomstore virksomheter på åinvestereitekniskesikringstiltak.

Kun 5 % tildeler mer tid eller per-soner til sikringstiltak. Ser man detteopp mot at hele 67 % rapporterer atuønskede hendelser i 2009 medførteekstra arbeid, viser dette at ekstraarbeid blir brukt til å løse problemet,mens man ikke tildeler ressurser tilå håndtere løpende forbedrings-arbeid.

Hele 16 % rapporterer at de velger ågjennomføre en total gjennomgang avsikringsnivået i virksomheten. Detteer forholdsvis høyt når en ser på virk-somhetene i utvalget. Kun 11 % haddetap på 50.000,- eller mer som følge avuønskedehendelser.

Det er ikke noen spesielle grupper somskillersegut.16%valgteågjøreingentingfor å hindre tilsvarende hendelser.Detteertilsynelatendeethøyttall,mensammenligner man med direkte ogindirekte kostnader, svarte henholdsvis25 % og 39 % at uønskede hendelser

ikkefikknoenkostnader.Sikringstiltakene de fleste velger åimplementereetteråhaværtutsattforen hendelse, er investering i tekniskesikringstiltakogforbedringavsikrings-rutiner knyttet til uønskede hendelser.Store virksomheter er flinkere til åinvestereitekniskesikringstiltak.

Få virksomheter tildeler mer ressursertilsikringsarbeidetteråhaværtutsattforenuønskethendelse.

AnbefalingerVirksomhetene bør fokusere tiltakeneknyttet til kontinuerlig forbedringhvor tekniske sikringstiltak (Teknologi)kombineresmedforbedringerpårutiner(Prosesser) og mer tid til opplæring ogholdningertilbrukerne.(Organisasjon)

6.5 Hvilke følger hadde den/de uønskede hendelsen(e) for virksomheten i 2009?

Se tabell 10

AnalyseUønskede hendelser medførte ekstraarbeid for 2/3 av virksomhetene i 2009.Derimoterdetbare14%somrapportereratdehaddenedetidog13%haddetapavinntektsomfølgeavuønskedehendelser.

Tabell 9: Hva er gjort for å hindre tilsvarende hendelser?

Endringer Tiltak 2006 2008 2010 prosentvis 08-10

Investeringitekniskesikringstiltak 39% 32% 31% -3%

Forbedringavsikringsrutiner 44% 52% 54% 4%

Flerepersonerog/ellermertidtilsikringsarbeid 4% 6% 5% -17%

Entotalgjennomgangavsikringsnivå 14% 14% 16% 14%

Ingenting 22% 17% 16% -6%

Annet - 13% 18% 38%

Vetikke 5% 3% 4% 33%

Endringer Følger 2006 2008 2010 prosentvis 08-10

Ekstraarbeid 67% 62% 67% 8%

NedetidpåsentraleITsystemer - 9% 14% 56%

Tapavinntekt(entendirekteog/ellertaptsalg/omsetning 11% 9% 13% 44%

Erstatningsansvar 1% 5% 5% 0%

Tapavomdømme 1% 5% 7% 40%

Ingenfølger 29% 31% 22% -29%

Tabell 10: Hvilke følger hadde den/de uønskede hendelsen(e) for virksomheten i 2009?

Page 15: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

15

Dette viser at de fleste virksomhetene(86 %), klarer seg godt og har litenedetid. Bare 13 % av de som haddeuønskede hendelser opplevde størretap.

Dette er et relativt lite antall medtanke på alle trusler og sikkerhet-sutfordringer vi hører og leser om ipressen. Vi skal imidlertid være klarover at dette er at bildet er sam-mensatt, og det skjuler seg storetap for de store virksomhetene,mens relativt små tap kan ha storekonsekvenserforsmåvirksomheter.

En nærmere analyse av svarene avdekker videre at det er forskjell mellom ulike sektorer:

• Offentligsektorhaddesignifikantmerekstraarbeid som følge av uønskedehendelser.

• Privat sektor rapporterte signifikantmertapavinntekt.

• Varehandel, hotell- og restaurant-virksomhet,samttransport,kommuni-kasjon og tjenesteytende næringerrapporterte signifikant mer tap avinntektiforholdtilandrebransjer.

Følger som konsekvens av uønskedehendelserhargenereltøktfra2008.Deter også en drastisk reduksjon i antalletsom sier at uønskede hendelser ikkehaddenoenkonsekvens.

Uønskede hendelser får stadig størrekonsekvenserforvirksomheter.Hele2/3rapporterteatdefikkekstraarbeidsomfølgeavuønskedehendelseri2009.

AnbefalingerVirksomhetene bør fokusere tiltakenepå kontinuerlig forbedring av tekniskesikringstiltak(Teknologi)kombinertmedforbedringer på rutiner (Prosesser) ogmer tid til opplæring og holdninger tilbrukerne.(Organisasjon).

Hele 35 % vet ikke eller rapportereratutgifterikkeeraktueltvedsikkerhets-hendelser. 29 % av de som definererseg å være del av kritisk infrastrukturvetikkehvorstoreutgiftenevar.

Virksomhetenetrengerbedrerutinerfor:

• Loggingavhendelserog rutinerforoppfølging.

• Hendelsesrapporteringtilansvarlig

Hele56%harnedetidpåinntilendagsomfølgeavuønskedeIT-hendelseri2009.Detteerenøkningsammenlignetmed2008.44%fikknedetidpå2dagerellermersomfølgeavuønskedeIT-hendelseri2009.

Page 16: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

16

7.1 Virksomheter med forskning og utvikling i immaterielle rettigheter.

20,7 % av virksomhetene svarer at dedrivermedforskningogutvikling(FoU),og 20,3 % svarer at de innehar immat-eriellerettigheter(IntellectualPropertyRights–IPR).

49 % av alle virksomheter med immat-eriellerettigheterdriverogsåmedFoU.Det er således ikke de samme virksom-hetenesomharimmateriellerettighetersomdriverFoU.

Se tabell 11 og tabell 12

Datahendelser43,7 % av virksomhetene med immat-eriellerettigheterharopplevduønskedehendelser, mot 27,1 % for dem somikke har immaterielle rettigheter (16,6prosentpoeng).

46,1 % av virksomhetene som driverFoU har opplevd uønskede hendelser,mot 26,1 % av de virksomhetene somikkedriverFoU(20prosentpoeng).

Dette er store forskjeller. Resultatene har derfor blitt kontroller mot flere mulige naturlige forklaringer:

• Størrelse på virksomheten. Størrevirksomheterkanværemerutsattennmindre virksomheter i kraft av antalldatabrukereogkjennskaptilvirksom-heten.

• Egen it-sikkerhetsansvarlig. Virk-som-heter med egen it-sikkerhets-ansvarlig er mer kompetent til åoppdage hendelser enn dem utenit-sikkerhetsansvarlig.

• Drifterit-systemeneselv.Devirksom-hetersomdrifterit-systemeneselverbedre i stand til å avdekke hendelserenn de som har outsourcet driften tileksternpartner.

• Verdivurdering,retningslinjerforbrukav nettsamfunn, opplæring i sikkerbruk av IT, og retningslinjer foreksterne lagringsmedier. Virksom-hetermedretningslinjerogbevissthetknyttet til datasikkerhet har størresannsynlighetforåavdekkehendelser.

• Bransje: Noen bransjer er mer utsattfordatahendelserennandrebransjer.

Kontrollert mot disse faktorene er detlike fullt signifikante forskjeller. IPR-virksomheter og FoU-virksomheterskiller seg ikke fra andre virksomheterpå noen av disse områdene, unntattfor it-sikkerhetsansvarlig. IPR/FoU-virksomheter har i noe større gradegen it-sikkerhetsansvarlig enn øvrigevirksomheter,mendetforklarerikkedetdifferansen.

Undersøkelsen viser derfor at FoU- ogIPR-virksomheter er mer utsatt fordatahendelser enn andre virksom-heter.Deterderforgrunnlagforåantaat målrettet informasjonsinnhenting(informasjonsspionasje) foregår motFoU- og IPR-virksomheter i størregrad enn for virksomheter uten denneaktivitetenogrettigheter.

72.9%

74.8%

56.3%

27.1%

45.9%

43.7%

Har ikke opplevd uønskede hendelser

Inneharvirksomheten IPR?

JA

NEI

VET IKKE

Har opplevd uønskede hendelser

73.9%

33.3%

53.9%

26.1%

66.7%

46.1%

Har ikke opplevd uønskede hendelser

Driver din virksomheten FoU?

JA

NEI

VET IKKE

Har opplevd uønskede hendelser

Tabell 11: Innehar virksomheten IPR? Uønskede hendelser:

Tabell 12: Driver din virksomheten FoU? Uønskede hendelser:

forsknIng og uTVIklIng og ImmaTerIelle reTTIgheTer7Undersøkelsen viser at FoU- og IPR-virksomheter er mer utsatt for datahendelser enn andre virksomheter.

Page 17: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

17

7.2 DatatyveriUndersøkelsen viser at 30,5 % av FoU-virksomhetene har blitt frastjåletdatautstyr,mot15,3%fordemsomikkedriver FoU, og 28,5 % av IPR-virksom-hetene har blitt frastjålet datautstyrmot17,4%fordemutenIPR.Forunder-søkelsens totalt er det 18,4 % som harfåttfrastjåletdatautstyr.

Se tabell 13 og tabell 14

Kontrollert for de samme faktorer somunder datahendelser, opprettholdesdifferansen mellom de virksomhetenesom driver FoU og de som ikkedriver FoU. Størrelse, it-sikkerhets-ansvarlig,etc,forklarerikkehvorforFoU-virksomheterermerutsattfortyveriavdatautstyr.ForklaringenmåliggeiFoU-aktiviteten.

For virksomheter som innehar immate-rielle rettigheter kan differansenmuligens forklares ved størrelse påvirksomhetene. Det er således ikkegrunnlag i våre tall for å si at IPR-virksomheterermerutsattfortyveriavdatautstyrpågrunnavsineimmateriellerettigheteralene.

7.3 Tyveri av informasjon2 % av virksomhetene oppgir at dehar opplevd tyveri av informasjon. Deter utelukkende virksomheter i privatsektor som oppgir at de har hatt tyveriav informasjon. Antall respondenter erforlavttilatvidereanalyseerforsvarlig.

7.4 Oppsummering FoU og IPRVirksomhetene som driver FoU er ca77 % (20 prosentpoeng) mer utsatt foruønsket dataaktivitet (datahendelser)og har dobbelt så stor risiko (15,7prosentpoeng) for å for å få frastjåletdatautstyrsomdesomikkedriverFoU.

Virksomhetersominneharimmateriellerettighetererca60%(16prosentpoeng)mer utsatt for uønsket dataaktivitetenn dem som ikke har immateriellerettigheter. De er også mer utsatt fortyveriavdatautstyrennandrevirksom-heter,mendettekanmuligensforklaresvedandrefaktorer.

Undersøkelsens andre deler viser atFoU-ogIPR-virksomheterikkeerbedretil å sikre seg enn andre virksomheter iNorge.Detteerbetenkelig.

84.7%

50%

69.5%

15.3%

50%

30.5%

Tyveri av IT-utstyrNEI

Driver din virksomheten FoU?

JA

NEI

VET IKKE

Tyveri av IT-utstyrJA

82.6%

86.4%

71.5%

17.4%

13.6%

28.5%

Tyveri av IT-utstyrNEI

Innehar virksomheten IPR?

JA

NEI

VET IKKE

Tyveri av IT-utstyrJA

Tabell 13: Innehar virksomheten IPR? Tyveri av IT-utstyr:

Tabell 14: Driver din virksomheten FoU? Tyveri av IT-utstyr:

Page 18: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

18

Utvalgetharderforvalgtåkommenterekundestoreendringene.

8.1 Organisatoriske tiltak - AnalyseSom nevnt innledningsvis er storebedrifterflinkereennsmåtilåtaibruken bredde av sikkerhetstiltak, men deterlikevelingenforskjellnårdetgjelderåhapektutenIT-ansvarligellerikke.VelhalvpartenavbedrifteneharpektutenIT-ansvarlig.DatakrimutvalgetmeneratdeterensvakhetatikkeallebedrifteneharpektutenIT-ansvarlig.

Formelle tiltak som planer og rutiner/retningslinjer har større utbredelse enntiltaksomgårpåevnenåværeforberedtdersom en krisesituasjon skulle oppstå.Mens hver fjerde bedrift har planer forå håndtere et brudd, er det bare én avti bedrifter som faktisk gjennomførersystematiske øvelser, noe som er viktigfor å teste og oppdatere kriseplanene.Omlagannenhverbedriftgirsineansatteopplæring.

Virksomheterinnenundervisning,helse/sosialogpersonligtjenesteytingerbestpååhatiltakrettetmotåøkeansattesbevissthet i forhold til informasjons-sikkerhet.ByggogAnleggersvakestpååinnføreorganisatoriskesikkerhetstiltak,mens 8 av 10 bedrifter innen helse/

sosial/personlig tjenesteyting har ret-ningslinjerforansattesbrukavvirksom-hetens IT-systemer, gjelder dette barehverfjerdebedriftinnenbyggoganlegg.

Se Tabell 15

RetningslinjerBlant 70 % av bedriftene som harretningslinjer for ansattes bruk av IT, harca.40%retningslinjerforbrukaveksternelagringsmedier og mobiltelefon, mensca. 30 % har retningslinjer for bruk avnettsamfunn. Retningslinjer for nettsam-funn har hatt en økning, opp fra 21 % i2008.Offentligadministrasjonerdårligstpåspesielleretningslinjerfornettsamfunn,kun17%avorganisasjoneneherharslikeretningslinjer.

Se tabell 16

59%avbedriftenehargenerelleretnings-linjer for behandling av informasjongenerelt, og 46 % har retningslinjer foromtaleavvirksomheten.Menbevissthetenrundt den mest verdifulle informasjonener svært mangelfull. Dette vises vedat kun 20 % av bedriftene klassifisererinformasjon og gjør verdivurderinger.Kun hver tiende bedrift har retning-slinjer for behandling av informas-jon i forbindelse med forskning og

utvikling og beskyttelse av immateriellerettigheter. Industrien er best, her har 21% av bedriftene retningslinjer for FoUprosjekter. Til sammenligning er det bare2 % av bedriftene i bygg og anlegg ogoffentligsektorsomharretningslinjerforFoU-prosjekter.

Dette spørsmålet er nytt, og det erderforingensammenligningsmulighetermedtidligereundersøkelser.

Se Tabell 17Oppfølging av retningslinjene Retningslinjerharlitenverdiomdeikkefølges opp. De kan følges opp gjennomulike tiltak, alene eller i kombinasjon.Hvertredjebedriftharrapportertatdeikke følger opp retningslinjene. Her erdet ingen forskjeller mellom bransjene.59%avbedriftenefølgeroppretnings-linjene gjennom interne kontroller, 39% gjennom rapportering til ledelse og24%avbedriftenefølgeroppretnings-linjenegjennomeksternkontroll.

Se tabell 18

TIlTak8Det er en klar sammenheng mellom bruk av sikkerhetstiltak og bedriftens størrelse. Små bedrifter er underrepresentert i forhold til å ta i bruk en rekke sikkerhetstiltak sammenlignet med store bedrifter. Denne tendensen er den samme i datamaterialet for 2010 som i 2008.

Tabell 15: Oversikt over organisatoriske tiltak – prosentandel ja-svar:

Virksomheten har følgende organisatoriske tiltak 2006 2008 2010

RetningslinjerforansattesbrukavvirksomhetensIT-systemer 65% 67% 71%

Retningslinjerforsikkerdrift 82% 77%

PlanerforhåndteringavIT-sikkerhetsbrudd 26% 40% 40%

GjennomførersystematiskeøvelserknyttettilIT-beredskap 9% 12% 11%

KanhåndtereIT-sikkerhetsbruddutenforarbeidstiden 39% 47% 48%

HarIT-sikkerhetsansvarlig 57%

Ansatteundertegnertaushetserklæring 43% 59% 66%

Giropplæringvedansattelse 40% 43% 42%

Gisregelmessigopplæringetteransettelse 31%

MåundertegneretningslinjerforIT-bruk 34%

Verdivurdering,beskyttelseavFoUogimmaterielleretningslinjer

Page 19: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

19

Tabell 16: Retningslinjer – prosendandel ja-svar:(Verdivurdering,beskyttelseavFoUogimmaterielleretningslinjer)

Tabell 17: Immaterielle rettigheter og forskning – prosentandel ja-svar:Harvirksomheteni2010utarbeidetretningslinjeriforholdtil...

Tabell 18: Oppfølging av retningslinjene – andel ja-svar blant dem som har retningslinjer:

Har rettningslinjer for nettsamfunn:

Har rettningslinjer for mobiltelefon:

Har rettningslinjer for eksterne lagr. medier:

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

2008 Offentlig2010 Offentlig

21%

39%

30%

41%

34%

40%

Identifisering og klassifisering av

informasjonOmtale av

virskomhetenBeskyttelse

av IPR

Behandling av informasjon

generelt

Behandling av informasjon i

FoU

20% 59% 10% 9% 46%

Intern revisjon:

Ekstern revisjon:

Rapportering til ledelsen:

Liten/ingen oppfølging:

Annet:

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

200620082010

52%38%

59%

26%14%

24%

68%14%

39%

32%33%

30%

4%2%

Page 20: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

20

Virksomheter innen kritisk infrastruk-tur er best på organisatoriske tiltak

Virksomheterinnenkritiskinfrastrukturharistørregradennandrevirksomhetertatt i bruk ulike organisatoriske tiltak,foreksempelretningslinjerforansattesbruk av IT (82 % mot 67 %), følger oppdisse via intern kontroll (68 % mot 56%) og ekstern kontroll (33 % mot 22%) og gir sine nyansatte opplæring iinformasjonssikkerhet (50 % mot 39%).Deteringenforskjellnårdetgjelderretningslinjer for sikker IT-drift(patching, oppdatering av programvareetc.) og evne til å håndtere IT-sikrings-bruddutenforarbeidstiden,eihellernoenforskjell når det gjelder sikring av FoUogIPR.

Anbefalinger:

• Utarbeideretningslinjerforbrukerneidebransjerhvordetteikkebenyttet

• Opplæringogholdningsskapendearbeid

• Bedreoppfølgingavretningslinjerforåsikreetterlevelse

8.2 TeknologiDet er stort sett en økning i bruken av

tekniske sikringstiltak i virksomhetene.Økningen er størst blant de mindrevirksomhetene, mens det er de storevirksomhetene som har implementertflest tiltak. Som eksempel kan nevnesoppdelingavnettetiulikesikkerhetssoner.

8.2.1 SikringstiltakAndelenvirksomhetersomdelernettetisikkerhetssonererdobbeltsåstorblantde største virksomhetene som blantde minste (79 % kontra 40 %). Det erfortsattveldigfåvirksomhetersomhartattibrukbiometriskautentisering,detvilsibrukavforeksempelfingeravtrykk.

Se tabell 19

Det er, naturlig nok vil nok mange si, deenkleste og rimeligste tiltakene som hardenstørsteøkningenfra2008.Eksemplerpå dette er bruken av filter mot uønsketweb-trafikkogbrukenavpersonligbrann-mur.Dissetotiltakeneharhattenøkningpå henholdsvis 18 og 13 prosentpoengsidenforrigeundersøkelse.Detanbefalesimidlertid å gjennomføre risikoanalyserførstogderetterbestemmesikringstiltakutfradisse.

Svarene på både dette og andrespørsmålkantydepåatdeterforlitenkunnskap om informasjonssikkerhetblant daglig leder, økonomiansvarlig ogandrerollersomikkehar informasjons-sikkerhet som sin primære arbeids-oppgave. Det er en gjennomgåendetrend at Sikkerhetsansvarlig gir flerepositive og færre vet ikke-svar bådenår det gjelder tiltak og registrertehendelser.

Anbefaling:

• Risikoanalyserførsikringstiltak implementeres

• Opplæring

8.2.2 Oppdatering av programvareDetersmåendringerfra2008til2010,men resultatene kan tyde på at det erfærresomaldrioppdaterersinprogram-vareellergjørdetpåtilfeldigbasis.

Det anbefales at all programvare opp-dateres automatisk eller umiddelbartså snart en patch eller en ny versjon ertilgjengelig og tilfredsstillende testeti virksomhetens miljø. Hvis vi slårsammen disse to gruppene så blir

Tabell 19: Sikringstiltak 2008 2010 Endring i %

Fysiskeautentiseringsmekanismer 19% 26% 37%

Biometriskautentisering 6% 4% -33%

Personligbrannmur 50% 64% 28%

IDS 27% 30% 11%

VPN 61% 61% 0%

Ulikesikkerhetssoner 54% 63% 17%

Avlåstdatarom 69% 72% 4%

Krypteringavbærbaremedia 19% 23% 21%

Dupliseringavkritiskekomponenter 50% 53% 6%

UPS 76% 71% -7%

Digitalsignatur 12% 20% 67%

Filtermotuønsketweb-trafikk 52% 70% 35%

Admin-rettigheterpåPCerfjernet - 41% -

IT-systemeneherdes - 54% -

Page 21: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

21

tallene 85 %, 56 %, 41 % og 26 % forhenholdsvis anti-virus, OS, annen SWog rutere. De aller fleste oppdatereranti-virus programvaren sin, og overhalvparten oppdaterer også operativ-systemet. Men når det gjelder annenprogramvare og nettverkskomponenterer situasjonen mye dårligere. Og det erdisse programmene som i stadig størregrad brukes av uvedkommende for å fåtilgangtilinformasjonellerressurser.

Det blir mer vanlig at sårbarheter iprogrammer som Flash Player, AdobeReaderog Microsoft Office utnyttes avkriminelle. Da er det ikke bra at 12 %av de som har svart på undersøkelsensier at denne typen programvare aldrioppdatereselleratdetkunskjertilfeldig.

Anbefaling:I tillegg til at all programvare børholdesoppdaterttilenhvertid,børalleprogrammer som ikke lenger er i brukavinstalleresforåhindreatsvakheteridissekanutnyttesavkriminelle.

8.3 Prosesser og rutiner

8.3.1 Gjennomgang av loggerDeterdeminstevirksomhetenesomerdårligsttilålogge.Hererdet16%somsieratdeikkelogger,ogdeterkun18%som gjennomgår loggene regelmessig.Hererdetogsåhele28%somikkevetnoe om dette temaet. Av de størstevirksomheteneerdetkun3%somikkelogger, mens 10% ikke gjennomgårloggeneellerikkevetomdegjørdet.

70%gjennomgårloggeneenellerannengang. Dette er det samme som i 2008.Men det er kun 29 % som gjennomgårloggene sine regelmessig. Virksom-hetene lever tydeligvis i god tro ogsetter sin lit til at eventuelle uønskedehendelser oppdages på andre måter.Dette er sannsynligvis en av hoved-årsakene til at virksomhetene rapport-ereromsåfåuønskedehendelserisinenettverk. Når man ikke går gjennomloggene sine, vet man heller ikke hvasomskjerpånettverket.

AnbefalingGjennomgang av loggene er nødvendigfor å oppdage uønskede hendelser, og

det anbefales at loggene gjennomgåsregelmessigogsystematisk.

8.3.2 Risikovurderinger 70 % sier de gjennomfører risiko-vurdering løpende eller regelmessigpå eksisterende systemer. Bare 23 %gjennomførervurderingenesjelden.

I utvalget er det små variasjoner, ogforskjellene avhenger i stor grad avvirksomhetenes størrelse. Blant småvirksomheter gjennomføres risiko-vurderingerløpende/regelmessigi61%,mens for store virksomheter gjennom-føresdeti77%.

AnbefalingI henhold til god sikkerhetspraksis, børalle virksomheter gjennomføre risiko-vurdering ved endringer i organisasjonog ved større teknologiske endring-er. Dette er et godt virkemiddel til åbevisstgjøre lederne og ansatte omverdier og sikkerhetsaspekter sombør vurderes i virksomheten. Vi dereanbefaler det at virksomhetenegjennomfører en verdivurdering forå kartlegge kritisk informasjon medtilhørendesikkerhetsbehov.

Andelenvirksomhetersomdelernettetisikkerhetssonererdobbeltsåstorblantdestørstevirksomhetenesomblantdeminste(79%kontra40%).

Page 22: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

22

PersonoPPlysnIngsloVen9

9.1 Datainnsamling

Datainnsamling og analyseDet er 80 % som bekrefter at person-opplysningsloven er kjent i under-søkelsen.Blantdevirksomhetersomharensikkerhetsansvarligersvarprosenten94 % i motsetning til virksomheterhvor daglig leder og andre funksjonerhar sikkerhetsansvaret i virksomheten,der svarene er henholdsvis 78 %(dagligleder)og77%(andre)somkjennerpersonopplysningsloven.

Se tabell 20

På dette området finner vi forskjellerinnenfor sektorene privat, offentligvirksomhet. Datakrimutvalget antar atinformasjonskampanjer og fokus fradatatilsynet innefor offentlig virksom-hetvisereneffektpå2og3.AnalyseDatakrimutvalget finner det uro-vekkende at nesten halvparten av virk-somhetene ikke har utarbeidet over-sikt over personopplysningene som debehandlerivirksomheten.Endringenfra2008viserimidlertidensvakøkningpå17 %. Det er liten forskjell på svarene

blant virksomhetene innenfor de ulikestørrelseskategoriene.

Se tabell 21

Som tabellen viser er det forskjellmellom offentlig virksomhet ogprivat sektor innenfor behandling avpersonopplysningene i virksomhetene.Offentligsektorharenklarfremgangpåetableringavrutinerogkontroller. Detoffentlige har vært gjenstand for øktfokus og kampanjer innenfor person-opplysningsloven, svarene i under-søkelsen indikerer at kampanjene harvirket.

Det er imidlertid stor spredning blantde ulike funksjonene i virksomhetensom svarene bekreftende på å hakjennskap til personopplysningsloven,fra51%blantIT-ansvarligtil67%blantsikkerhetsansvarlig. Her får vi ulikesvar avhengig av hvem som svarer påundersøkelsen. Utvalget tror dette harsammenheng med kunnskap og hvaledernefåravrapporter.

Det er 67 % som sier de har etablertformelle rutiner for behandling avpersonopplysninger.

Det er også her overraskende storforskjell på svarene fra de ulikefunksjonene i virksomhetene. Blantøkonomiansvarlig svarer 55 % ja til åha etablert rutiner, mens daglig ledereleveridentroatdeharetablertrutiner,da 75 % svarer ja. Sikkerhetsansvarligbekrefter i75%avtilfellene,mensdetblantdesomharIT-ansvarlige,erdet64% som svarer ja, noe som er nærmestgjennomsnittetiundersøkelsen.

Medformellerutinerburdedetværeennær knytning til oppfølging eller internkontroll blant virksomhetene. Svareneviseratdetbareer51%somharinternkontroll med knytning til behandling avpersonopplysningersomer16%lavereenndesomharformellerutineretablert.Avdetteleserviatdetikkeerfokuspåintern kontroll i virksomhetene, utoverdesomblirtestet.

Tabell 20: (Det er 20 % i utvalget som ikke har fått spørsmålet)

JA: 48%NEI: 38%VET IKKE: 14%

JA: 65%NEI: 23%VET IKKE: 11%

JA: 49%NEI: 34%VET IKKE: 18%

JA: 56%NEI: 33%VET IKKE: 11%

JA: 67%NEI: 23%VET IKKE: 10%

JA: 52%NEI: 34%VET IKKE: 14%

2008Personopplysningsloven

Utarbeidet oversikt over personopplysninger

som behandles? (Prosentvis av antallet virksomheter)

Etabler formelle rutiner for POL?

(Prosentvis av antallet virksomheter)

Etablert Intern Kontroll for håndtering av

Personopplysninger? (Prosentvis av antallet virksomheter)

2010 Endring i prosent

17%

3%

6%

Page 23: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

23

AnbefalingerDet bør gjennomføres opplæring ogytterligere informasjonskampanjer motansvarlige for at personopplysnings-lovenskalblikjentogenkleeksemplerpåtiltakihenholdtilkravenebørgjennom-gåsmedansvarligeivirksomhetene.

• Utarbeidetenoversiktoveralle personopplysningersombehandlesi virksomheten?

• Etablertformellerutinerfor personopplysninger?

• Etablerrutinerforbehandlingav personopplysningerpåensikker måteihht.retningslinjenemed internkontrolltiltakforoppfølgingav atetablerterutinerfungerer.

• Utarbeideoversiktoverhvilke personopplysningersom behandlesivirksomheten.

• Settekravtilanmeldelseavalle hendelsertilpolitiethvor personopplysningererinvolvert.

Tabell 21: tabellen nedenfor viser offentlig sektor som svarer bekreftende på å ha etablert oversikt og rutiner i hht personopplysningsloven.

Oversikt over personopplysninger:

Etablert formelle rutiner:

Etablert intern kontroll:

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

2008 Offentlig2010 OffentligEndring offentlig i prosent

57%

5%

19%

17%

80%

60%

56%

67%

48%

Page 24: InforMasjonssIkkerhet og datakrIMInalItet · gang av logger medfører manglende oversikt og rapportering av sikkerhets- hendelser til ledelsen. Dette reduserer muligheten til å iverksette

24

Med støtte fra:


ELEKTRISK TELETRUK 30‑19E · 18 ELEKTRISK ELETRUK 30‑19E Den helsveisede rammekonstruksjonen i ett stykke maksimerer styrken og reduserer vekten til et minimum. For økt strukturell

Produksjon av pensjon - Pensjonsforum · Bjørn Skogstad Aamo, Kredittilsynet, januar 2003 … og hva gjør så myndighetene …. Reduserer grunnlagsrenten til 3% på ny opptjening…

Rengjøring og desinfeksjon ved covid-19 - FHI...Rengjøring Et subjektivt begrep uten mikrobiologisk korrelat •Innebærer ikke direkte mikrobedrap •Reduserer forurensningen rent

Slik reduserer du risikoen for å falle

SPANIAPOSTEN · SPANIAPOSTEN 26. NOVEMBER 2011 UTGAVE 23-2011 3 Altea Nytt tiltak for å spare mer penger A ltea reduserer antall av-delinger fra syv til tre kommunale områder. )

Nye Troms og Finnmark fylkeskommune · Web viewidentifisere tegn og symptomer på sykdommer og skader, forklare utvikling i kroppen som kan true barns vitale livsfunksjoner, og iverksette

STYROFOAM Løsninger Isolering av mark- og anleggsarbeider · baseres på varmemagasinet i jorda fra sommerhalvåret. Isolasjonslaget reduserer varmetapet i vinterhalvåret slik at

effektive tiltak gjøre/iverksette/treffe de nødvendige tiltak · PDF file2 lji i ið a na par ti ɔ] / tiltale noen for medvirkning έ ά

ROLLEBESKRIVELSER - Gossen ILgossen-il.no/wp-content/uploads/2018/10/Rollebeskrivelser.pdfGILs lov § 18 (2) a) Iverksette årsmøtets og overordnede organisasjonsledds regelverk og

Stainless Steel 20 EXT Utvendig Innvendig · 2020. 6. 3. · Ideell både i hjem og kontorer Prisgunstig vindusfilm UV-stopp: reduserer bleking av interiøret 5 års fabrikkgaranti

KOMPETANSE I BARNEHAGEN - Regjeringen.no · 2014-12-01 · kompetanse som kan lede, iverksette og vurdere de tiltakene som settes i gang. Etter- og videreutdanning i barnehagesektoren

venesykdommer fysio 07.PPTAnatomi Anatomi. 1/22/2010 2 Varicer dilaterte, slyngede, forlengede vener i subcutant vev Venøs insuffisiens dysfunksjon som reduserer venøs retur til

Fastkammer rundballepresser - Lely · Alltid skarpe kniver Konsekvent skarpe kniver sikrer et riktig kutt og reduserer drivstoffforbruk. Xtracut-alternativet tilbyr operatøren fleksibilitet

T Børve Barn og Ungdom på flukt forståelse og hjelp · § Gutter vansker i samme grad som jenter ... delte erfaringer og kultur som reduserer risikoen for psykiske helseproblemer

SIKKERHETSFAGLIGE ANBEFALINGER VED ......ANBEFALING #2 SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING 1 Tilbakeføring og/eller overføring: Iverksette plan for å tilbakeføre

Ernæringsterapi ved sårbehandling Suffisient proteininntak + nok energi forbedrer sårtilheling og immunforsvar Reduserer katabolisme og proteintap og nitrogenbalansen gjenopprettes

Cautivo de Til Til

SLUTTRAPPORT - Oslo Metropolitan Area · idemyldring om hvilke tiltak det er mulig å iverksette på Lysaker for å skape utviklingstro i et område preget av omfattende offentlige

REGIONALPLAN FOR KLIMATILPASNING I ROGALAND 2020-2050€¦ · Klimatilpasning: Klimatilpasning innebærer å forstå konsekvensene av at klimaet endrer seg, og iverksette tiltak for

1. RUNDSKRIVETS FORMÅL OG BAKGRUNN · Ved mistanke om vold og overgrep mot barn fra foresatte, vil barneverntjenesten allerede i forkant av eller under etterforskingen måtte iverksette

Klimaendringene en utfordring for kommunene · 2020. 3. 12. · Bruk av landstrøm kutter utslipp og reduserer støy når skip ligger ved kai. ... Enova tilbyr også støtte ved innkjøp

POLITILOVEN § 9 Politiets adgang til å iverksette tiltak

Grunneieren og eiendomsinngrep og... · oppmerksom på følgende: Ingen har lov til å iverksette tekniske inngrep eller vern på annen manns eiendom uten at vedkommende har gitt

Bandyidretter og idrettsskaderskadefri.no/globalassets/documents/trener-2---ressursene/... · 2019. 2. 26. · 5.1 Nevromuskulær trening reduserer skader s.20 5.2 Nevromuskulær

2015 Monobank årsrapport final - MicrosoftDisponering av årsresultatet Årsresultatet for 2015 etter skatt foreslås i sin helhet dek-ket av annen egenkapital. Disponeringen reduserer

Slanger for havbruksnæringen - Microsoft · 2015. 6. 10. · Vibrasjon og støydemping. Slanger reduserer vibrasjon og støy. Slangene tar ikke med seg vibrasjon og støy fra en

Kulturrom · Tildelinger Hva Utstyr til fremføring Utstyr til wing Agder Utstyr til fremføring Utstyr til fremføring Utstyr til fremføring Utstyr til fremføring Utstyr til

Annonsørinnhold Norske datasentre reduserer verdens CO2 … · 2018. 3. 26. · Regjeringens nye datasenterstrategi vil gjøre Norge til en enda mer attraktivt destinasjon for datasentere

Udkast til Forslag til LP362b og Forslag til KPT23b

Plaststrategi · 2020-07-10 · • Leggje til rette for å reduserer bruk av ulike typar plast. • Leggje til rette for å auke resirkulering og gjevingsgraden av den plast som

1940 Luftwaffe inntar Trøndelaghistoriefortelleren.no/wp-content/uploads/PDF/2.verdensk... · 2016-02-16 · 1940 Luftwaffe inntar Trøndelag Da tyskerne skulle iverksette operasjon

Smittevernveileder - Virke › globalassets › 1.-dokumenter › virke... · Vi presiserer at hver enkelt virksomhet/avdeling må gjøre egne vurderinger og iverksette de tiltak

  · Web viewHele styret skal ha tilgang på styrets dokumenter, e-post mm. Det gir uavhengighet av enkeltpersoner med isolert informasjon, og reduserer dermed sårbarhet ved f

Ernæringsterapi - runereiersen.comrunereiersen.com/ALTERNATIV/26 Vitaminer.pdf · Reduserer Lp(a) – en viktig risikofaktor ... rektum, ovarier 1986: ... Ca, P, Zn . Ernæringsterapi

ER106 Kursmateriell 190819 - Apokus · reduserer kvalmen, med ikke oppkast. Bruk kun etter anbefaling fra lege/jordmor fordi alvorlig svangerskapskvalme krever opptlging av lege/jordmor