Årets Cisco-rapport ble publisert for en tid tilbake. Den indikerer at virksomhetsledere har en tendens til å vurdere den digitale sikkerheten i egen virksomhet som betydelig bedre enn hva det er saklig grunnlag for.
Rapporten baserer seg på en spørreundersøkelse gjennomført blant over 8100 virksomhetsledere verden over. I undersøkelsen ble det blant annet stilt spørsmål om (i) digitale sikkerhetshendelser virksomhetene har vært utsatt for det siste året, (ii) hvor tilfredse lederne er med arbeidet innen digital sikkerhet i egen virksomhet og (iii) hvilke sikringstiltak de samme virksomhetene har iverksatt innenfor viktige sikkerhetsområder.
Hendelser og ressurser
Av rapporten fremgår det at over halvparten av lederne oppga at deres virksomheter hadde vært utsatt for digitale sikkerhetshendelser i 2023 som enten medførte forstyrrelser i driften eller andre negative konsekvenser. De tre vanligste årsakene til sikkerhetshendelser var skadevare, nettfiske og bruk av stjålne innloggingsdata («credential stuffing»). De økonomiske tapene som hendelsene førte til, ble oppgitt å være høyere i 2023 enn i 2022 og tidligere år. Flertallet av lederne i undersøkelsen – omkring 75 % – regnet med å bli rammet av alvorlige digitale sikkerhetshendelser i løpet av de neste to årene.
Et enda større flertall – ni av 10 – oppga at de har planer om å øke ressursbruken innen digital sikkerhet. Over halvparten rapporterte at 10 % eller mer av IT-budsjettet allerede går til arbeidet med digital sikkerhet. Mangel på tilgang til sikkerhetsekspertise ble vurdert som den største utfordringen i det videre forbedringsarbeidet.
Optimisme og modenhet
Det mest interessante i Cisco-rapporten, er likevel at virksomhetslederne har et meget godt selvbilde når det gjelder digital sikkerhet: 80 % av dem er meget eller ganske sikre på at sikkerheten i egen virksomhet er god og robust. Deltakerne i undersøkelsen er altså av den oppfatning at deres virksomheter har brukt knappe ressurser riktig og iverksatt nødvendige og hensiktsmessige sikringstiltak. De er derfor er i stand til å forebygge, oppdage og håndtere digitale sikkerhetshendelser på en tilfredsstillende måte.
Denne selvoppfatningen står imidlertid i kontrast til Cisco sin vurdering av modenheten innen digital sikkerhet hos de samme virksomhetene. Ifølge Cisco, er det et betydelig og bekymringsfullt gap mellom omfanget og kvaliteten på det digitale sikkerhetsarbeid og hva lederne tror og mener om sikkerhetstilstanden i egen virksomhet. Av rapporten fremgår det for eksempel at bare 3 % av virksomhetene ble vurdert som modne. Med modenhet menes at de har iverksatt tilfredsstillende tiltak for å forebygge, oppdage og håndtere uønskede hendelser innen områdene identitets- og tilgangsstyring, endepunktsikkerhet, nettverkssikkerhet, bruk av skytjenester og kunstig intelligens.
Motsatt finner Cisco at over 70 % av virksomhetene befinner seg på de to laveste nivåene i selskapets modenhetsmodell. Disse virksomhetene er derfor enten på nybegynnerstadiet eller har iverksatt enkelte sikringstiltak innen områdene nettopp nevnt, men har fortsatt en lengre vei å gå før sikkerhetstilstanden er tilfredsstillende.
Videre finner Cisco at sikkerhetstilstanden er mer bekymringsfull i enkelte bransjer og sektorer enn andre. Spesielt utdanning beskrives som en sektor hvor sikkerhetstilstanden er særlig bekymringsfull. Stor angrepsflate (mange systemer, tjenester og brukere), lav sikkerhetsbevissthet og begrensede ressurser pekes på som de viktigste årsakene til dette.
Bedre i Norge?
Funn og konklusjoner i Cisco-rapporten baserer seg på en internasjonal undersøkelse, men ser vi de samme tendensene også i Norge? Tror norske virksomheter, for eksempel i kommunesektoren, at den digitale sikkerheten er bedre enn hva den faktisk er? Hvordan påvirker det i så fall viljen til å avsette ressurser til det digitale sikkerhetsarbeidet?
Datavakten er ikke kjent med at tilsvarende undersøkelser er gjennomført i norsk kommunesektor. Det er likevel gjort undersøkelser i andre sektorer som – når vi sammenstiller dem – indikerer at heller ikke her til lands er overdreven optimisme og godt selvbilde helt ukjente fenomener. Det gode selvbildet kommer blant annet til syne i en undersøkelse gjennomført av Direktoratet for høyere utdanning og kompetanse (HK-dir) av arbeidet med digital omstilling hos 21 statlige universiteter og høgskoler. Undersøkelsen ble gjennomført i september-november 2023.
I undersøkelsen ble universitetene og høgskolene spurt om kvaliteten på arbeidet med informasjonssikkerhet og personvern. Av rapporten fra HK-dir fremgår det at 18 av de 21 institusjonene svarte at dette arbeidet enten er svært godt eller ganske godt. Ingen av dem mente at eget arbeid med informasjonssikkerhet og personvern er lite eller svært lite tilfredsstillende.
Samtidig – i januar i år – offentliggjorde Riksrevisjonen sin rapport fra en omfattende revisjon av informasjonssikkerheten hos 10 av de samme universitetene og høgskolene som også inngikk i HK-dir sin undersøkelse. Her konkluderer Riksrevisjonen med at informasjonssikkerheten hos nesten samtlige institusjoner er lite eller svært lite tilfredsstillende. Det pekes for eksempel på viktige mangler når det gjelder oversikt over informasjonsverdier, identitets- og tilgangsstyring, nettverkssikkerhet, sårbarhetsstyring, sikkerhetsorganisering og ledelsens styring og kontroll.
Ikke bevisst
Verken i Cisco eller HK-dir sine undersøkelser virker det naturlig å anta at det gode selvbilde skyldes at virksomhetene bevisst feilinformerer, altså at de kjenner den faktiske sikkerhetstilstanden, men velger når de blir spurt å «pynte brura». Fremfor bevisst feilinformering, virker det mer sannsynlig at det skyldes en kombinasjon av mangelfull kjennskap til den faktiske tilstanden, manglende kompetanse om hva som kreves for å oppnå tilfredsstillende sikkerhet og begrensede ressurser til å gjøre noe med situasjonen.
Kan det være grunn til å anta at den samme problematikken gjør seg gjeldende også blant norske kommuner og fylkeskommuner?
Rapporten til Cisco er tilgjengelig her: https://newsroom.cisco.com/c/r/newsroom/en/us/a/y2024/m03/cybersecurity-readiness-index-2024.html