Cyberangreb er blevet en allestedsnærværende faktor for de fleste virksomheders it-afdelinger, og med de sidste par års angreb mod bl.a. DLA Piper og Mærsk er der for alvor kommet fokus på, hvordan virksomhederne ruster sig til at komme disse cyberangreb til livs.
En ny rapport fra revisionskæmpen PWC viser, at omkostningerne til udbedring og forebyggelse af cyberangreb er steget fra 2017 til 2018. Og det på trods af, at antallet af angreb er faldet. Undersøgelsen Cybercrime Survey 2018 har undersøgt forholdene blandt 251 danske og 111 norske virksomhedsledere, it-chefer og sikkerhedsspecialister, og rapporten konkluderer, at mens andelen af virksomheder, som har oplevet et angreb er faldet fra 55% i 2017 til 44% i 2018, så angiver 49%, at de har øgede udgifter til deres it-sikkerhedsmæssige procedurer mod 41% sidste år.
"Vi kan glæde os over, at der er færre virksomheder, der er blevet ramt af et cyberangreb i det forgangne år, men vi må samtidig konstatere, at det bliver væsentligt dyrere for virksomhederne, når de bliver ramt. En del af forklaringen ligger i, at angrebene er blevet mere målrettede de enkelte virksomheder," fortæller Mads Nørgaard Madsen, partner i PwC og ekspert i it-sikkerhed i en pressemeddelelse.
Mere målrettede angreb udnytter de ansattes manglende kompetencer
En af de helt store tendenser var sidste år det såkaldte ransomware, hvor virksomheder fik taget deres data som gidsel, og hvor det først var muligt at få adgang til disse data igen mod betaling til de cyberkriminelle. Angreb som dette var det, som ramte DLA Piper og Mærsk tilbage i foråret 2017. Ifølge rapporten er denne type angreb faldet fra 58% til 24% i 2018.
Årsagen til faldet kan skyldes, at virksomhederne er blevet bedre sikret mod denne type angreb, selvom de fortsat i høj grad bliver ramt af phisingangreb, der typisk er døråbner for ransomware
"Denne type cyberangreb er finansielt motiveret, da angriberen tager virksomhedens data som gidsel ved at kryptere virksomhedens data og efterfølgende afpresse virksomheden ved at tilbyde krypteringsnøglen mod betaling. Årsagen til faldet kan skyldes, at virksomhederne er blevet bedre sikret mod denne type angreb, selvom de fortsat i høj grad bliver ramt af phisingangreb, der typisk er døråbner for ransomware," forklarer Mads Nørgaard Madsen.
Til gengæld er andelen af virksomheder, som har oplevet de såkaldte phising-angreb uændret siden sidste år. Årsagen skal ifølge rapporten findes i det faktum, at hackerne målrettet går efter at udnytte de medarbejdernes uvidenhed og virksomhedernes manglende sikkerhedskompetencer, da phising-angreb er mails, der i form og indhold ligner officielle beskeder fra kollegaer eller samarbejdspartnere, men som i virkeligheden er kamuflerede angreb, der misbruger den ansattes persondata.
Ifølge rapporten har 21% af de adspurgte virksomheder ansat en CISO (Chief Information Security Officer), mens 62% af de adspurgte topchefer udtrykker bekymring for den manglende adgang til medarbejder, der har de rigtige sikkerhedskompetencer.
"At hackerne ofte finder vej ind i virksomhedernes systemer via phising-angreb, afspejles i erhvervsledernes største bekymring, der netop er de ansattes ubevidste handlinger. Derfor må virksomhederne sørge for at klæde medarbejderne på med bl.a. awareness-træning, så de undgår at falde i phising-fælden, ligesom man kan opfordre til, at medarbejderne advarer it-afdelingen, hvis de modtager en mail, der giver grund til mistanke," lyder opfordringen fra Mads Nørggard Madsen.