Cyberangrep brer om seg

Illustrasjonsbilde: Getty Images

Trend Micros Cyber Risk Index fremhever økt risiko som følge av begrenset oversikt. Andelen utsatte virksomheter har vokst med 40 prosent i løpet av de to siste årene.

Publisert: 22 Nov 2022

Cybersikkerhetsselskapet Trend Micro avslørte nylig at så mange som 32 prosent av virksomheter verden over har opplevd å få sine kunderegister kompromitter flere ganger i løpet av de siste 12 månedene. Det er en økning på 39 prosent sammenlignet med 2020.

De mange vellykkede cyberangrep skjer i en tid hvor virksomhetene sliter med å få oversikt og kontroll over en stadig ekspanderende angrepsoverflate.

Funnene kommer fra Trend Micros Cyber Risk Index-rapport (CRI) som publiseres to ganger i året. Rapporten er satt sammen av Ponemon Institute og er basert på intervjuer av over 4100 virksomheter over hele Nord-Amerika, Europa, Latin- og Sør-Amerika, og Asia.

- 2022 er ikke noe annerledes enn årene før. Vi blokkerer stadig flere cyberangrep, men fortsatt er det dessverre mange som ikke beskytter seg godt nok. Og årsakene til det kan være mange. Blant annet har cyberkriminelle blitt svært sofistikerte, samtidig som angrepsoverflatene har blitt flere. I løpet av pandemien har ikke minst den hybride hverdagen introdusert en ny æra av komplekse og distribuerte teknologi-miljøer. For allerede overarbeidede, utbrente og deprimerte IT-medarbeidere, hjelper det derfor fint lite at nesten alle ansatte bruker sine private enheter til å jobbe med. Skal virksomheter i dag lykkes med å ta kontroll over angrepsoverflatene, er det avgjørende at ikke-autoriserte enheter nektes tilgang, i tillegg til at man får på plass en cybersikkertsplattform som kan håndtere alt fra oppdagelse, respons og rapportering, oppfordrer Karianne Myrvold, kommunikasjonssjef i Trend Micro.

Cyber Risk Index-en beregner avstanden mellom sannsynligheten for å bli utsatt for et cyberangrep og hvor godt forberedt virksomhetene er. Med -10 som det høyeste risikonivået, indikerer bevegelsen fra -0,04 i andre halvår av 2021 til -0,15 i første halvår 2022, et økende risikonivå i løpet av de siste seks månedene.

Trenden kommer også tydelig frem andre steder i rapporten. Antall virksomheter som opplever vellykkede cyberangrep økte fra 84 til 90 prosent i løpet av samme periode. Samtidig svarer 85 prosent at de forventer å bli kompromittert i løpet av det kommende året. Det er opp fra 76 prosent seks måneder tidligere.

Blant de største risikoene som fremheves av CRI-rapporten, er virksomhetenes evne til å oppdage cyberangrepene mot infrastrukturen. Det er tidvis svært utfordrende for cybersikkerhetsekspertene, og IT-avdelingene som sådan, å identifisere den fysiske plasseringen av forretningskritiske dataressurser og applikasjoner. Fra et forretningsperspektiv er risikoforståelsen mellom ledelsen og IT-avdelingene den største bekymringen. På spørsmålet om «min virksomhets IT-sikkerhetsmål er på linje med forretningsmålene» er poengsummen kun 4,79 av 10 som er maksimalt.

- Over halvparten av norske IT-medarbeidere er allerede demotiverte, utslitte og utbrente. Behovet for cybersikkerhetsekspertise vokser mye raskere enn tilgangen. Derfor er det ekstra trist og bekymringsfullt at regjeringen i sitt forslag til neste års statsbudsjett legger opp til et kutt, i stedet for en kraftig vekst i antall øremerkede IT-studieplasser. Det er ikke bare dårlig nytt for virksomheters evne til å redusere egen sårbarhet mot cyberangrep, men det betyr også dårlig nytt for norske virksomheters evne til å innovere og konkurrere på den globale arenaen, mener Myrvold.

Disse cybertruslene fryktet virksomhetene mest av alt i første halvår av 2022:

1. Direktørsvindel – Også kjent som Business Email Compromise (BEC)
2. Clickjacking – Cyberkriminelle som fanger opp hva det er du skriver på tastaturet
3. Filløse angrep
4. Løsepengevirus
5. Tyveri av brukernavn og passord

- Cyber Risk Index-rapporten fortsetter å gi et fascinerende øyeblikksbilde av hvordan virksomheter verden over oppfatter deres egen evne til å stå imot cyberangrep og sannsynligheten for å bli angrepet. I møtet med den sterke makroøkonomiske motvinden, kan ikke risikoen bli særlig større. Derfor er også respondentene i rapporten tydelige på at de høye kostnadene relatert til å hente inn ekstern ekspertise, skade på kritisk infrastruktur og tapt produktivitet, som de viktigste negative konsekvensene av et vellykket cyberangrep, uttaler Dr. Larry Ponemon, styreleder og grunnlegger av Ponemon Institute.