­Hver tredje virksomhet har blitt utsatt for syv vellykkede cyberangrep i løpet av det siste året

Cybersikkerhetsselskapet Trend Micro avslørte nylig at så mange som 32 prosent av virksomheter verden over har opplevd å få sine kunderegister kompromittert flere ganger i løpet av de siste 12 månedene. Det er en økning på 39 prosent sammenlignet med 2020.

De mange vellykkede cyberangrepene skjer i en tid hvor virksomhetene sliter med å få oversikt og kontroll over en stadig ekspanderende angrepsoverflate, skriver de i en pressemelding. 

Funnene kommer fra Trend Micros Cyber Risk Index-rapport (CRI) som publiseres to ganger i året. Rapporten er satt sammen av Ponemon Institute og er basert på intervjuer av over 4100 virksomheter over hele Nord-Amerika, Europa, Latin- og Sør-Amerika, og Asia.

– 2022 er ikke noe annerledes enn årene før. Vi blokkerer stadig flere cyberangrep, men fortsatt er det dessverre mange som ikke beskytter seg godt nok. Og årsakene til det kan være mange, sier Karianne Myrvold, kommunikasjonssjef i Trend Micro.

Blant annet har cyberkriminelle blitt svært sofistikerte, samtidig som angrepsoverflatene har blitt flere. I løpet av pandemien har ikke minst den hybride hverdagen introdusert en ny æra av komplekse og distribuerte teknologi-miljøer.

For allerede overarbeidede, utbrente og deprimerte IT-medarbeidere, hjelper det derfor fint lite at nesten alle ansatte bruker sine private enheter til å jobbe med.

– Skal virksomheter i dag lykkes med å ta kontroll over angrepsoverflatene, er det avgjørende at ikke-autoriserte enheter nektes tilgang, i tillegg til at man får på plass en cybersikkertsplattform som kan håndtere alt fra oppdagelse, respons og rapportering, sier hun.

Økende risiko

I Cyber Risk Index beregnes avstanden mellom sannsynligheten for å bli utsatt for et cyberangrep og hvor godt forberedt virksomhetene er. Med -10 som det høyeste risikonivået, indikerer bevegelsen fra -0,04 i andre halvår av 2021 til -0,15 i første halvår 2022, et økende risikonivå i løpet av de siste seks månedene.

Trenden kommer også tydelig frem andre steder i rapporten. Antall virksomheter som opplever vellykkede cyberangrep økte fra 84 til 90 prosent i løpet av samme periode.

Samtidig svarer 85 prosent at de forventer å bli kompromittert i løpet av det kommende året. Det er opp fra 76 prosent seks måneder tidligere.

Blant de største risikoene som fremheves av CRI-rapporten, er virksomhetenes evne til å oppdage cyberangrepene mot infrastrukturen. Det er tidvis svært utfordrende for cybersikkerhetsekspertene, og IT-avdelingene som sådan, å identifisere den fysiske plasseringen av forretningskritiske dataressurser og applikasjoner.

Fra et forretningsperspektiv er risikoforståelsen mellom ledelsen og IT-avdelingene den største bekymringen. På spørsmålet om «min virksomhets IT-sikkerhetsmål er på linje med forretningsmålene» er poengsummen kun 4,79 av 10 som er maksimalt.

– Over halvparten av norske IT-medarbeidere er allerede demotiverte, utslitte og utbrente. Behovet for cybersikkerhetsekspertise vokser mye raskere enn tilgangen. Derfor er det ekstra trist og bekymringsfullt at regjeringen i sitt forslag til neste års statsbudsjett legger opp til et kutt, i stedet for en kraftig vekst i antall øremerkede IT-studieplasser, sier Myrvold.

– Det er ikke bare dårlig nytt for virksomheters evne til å redusere egen sårbarhet mot cyberangrep, men det betyr også dårlig nytt for norske virksomheters evne til å innovere og konkurrere på den globale arenaen