Mads Nørgaard Madsen, partner og ekspert i it-sikkerhed, PWC. Foto/PWC.

Af Redaktionen 12. december 2018 10:27

Ifølge PWC's Cybercrime Survey 2018 er de økonomiske omkostninger som følge af cyberangreb steget til nye højder. Halvdelen af it- og erhvervslederne angiver i 2018 (mod 41 pct. i 2017), at de har haft øgede udgifter til udbedring og efterforskning af sikkerhedshændelser i forhold til sidste år. Til gengæld er der sket et fald i andelen af virksomheder, der er blevet angrebet i samme periode (55 pct. i 2017 til 44 pct. i 2018).

- Vi kan glæde os over, at der er færre virksomheder, der er blevet ramt af et cyberangreb i det forgangne år, men vi må samtidig konstatere, at det bliver væsentligt dyrere for virksomhederne, når de bliver ramt. En del af forklaringen ligger i, at angrebene er blevet mere målrettede de enkelte virksomheder, fortæller Mads Nørgaard Madsen, partner i PWC og ekspert i it-sikkerhed i en pressemeddelelse.

Færre, men flere alvorlige hændelser
Han henviser til, at 59 pct. af respondenterne har oplevet en eller flere sikkerhedshændelser, der var målrettet deres virksomhed. Til sammenligning var dette tal 44 pct. i 2017.

Undersøgelsen viser også et skift i de angrebstyper, som respondenterne tilkendegiver, at virksomhederne har oplevet. Ransomware eller afpresning, der tidligere har været en af de hyppigst oplevede angrebstyper, er faldet markant. Således svarer blot 24 pct., at de har oplevet denne type angreb i 2018 mod hele 58 pct. i 2017.

- Denne type cyberangreb er finansielt motiveret, da angriberen tager virksomhedens data som gidsel ved at kryptere virksomhedens data og efterfølgende afpresse virksomheden ved at tilbyde krypteringsnøglen mod betaling. Årsagen til faldet kan skyldes, at virksomhederne er blevet bedre sikret mod denne type angreb, selvom de fortsat i høj grad bliver ramt af phisingangreb, der typisk er døråbner for ransomware, forklarer Mads Nørgaard Madsen.

Virksomheder bliver oftest ramt af phising-angreb
Undersøgelsen viser således, at det fortsat er phising-angreb, som virksomhederne oftest bliver ramt af (76 pct. i 2018 og 77 pct. i 2017). Et phising-angreb består ofte af en mail, der er forsøgt kamufleret som en reel henvendelse, der har til formål at få modtageren til at klikke på et link og afgive personoplysninger, som angriberen siden hen kan misbruge.

- At hackerne ofte finder vej ind i virksomhedernes systemer via phising-angreb, afspejles i erhvervsledernes største bekymring, der netop er de ansattes ubevidste handlinger. Derfor må virksomhederne sørge for at klæde medarbejderne på med blandt andet awareness-træning, så de undgår at falde i phising-fælden, ligesom man kan opfordre til, at medarbejderne advarer it-afdelingen, hvis de modtager en mail, der giver grund til mistanke, lyder opfordringen fra Mads Nørggard Madsen.

Undersøgelsen viser dog, at antallet af respondenter, der peger på awareness-træning som investeringsområde, er faldet fra 53 pct. i 2017 til 45 pct. i 2018.

- Det står i kontrast til den stigende bekymring for ansattes og insideres ubevidste handlinger, der aldrig har været højere. Til gengæld kan vi se, at en del af investeringerne inden for it-sikkerhed er drevet af den nye persondataforordning, herunder awareness-træning og privilegeret adgangsstyring, hvilket indikerer, at EU-persondataforordningen for alvor har sat sit præg på danske virksomheder i 2018, set i forhold til deres planlagte investeringer, siger Mads Nørgaard Madsen.