Hovedfunn Cybercrime Survey 2023
Norge står overfor en økende og mer kompleks cybertrussel; det er flere og mer kompetente trusselaktører, og virksomhetenes verdikjeder blir stadig lengre. Virksomheter står overfor økt regulering med fokus på å gjøre infrastrukturen mer motstandsdyktig, samt at forbrukernes rettigheter er godt ivaretatt.
Årets Cybercrime Survey er besvart av 106 personer innen IT og ledelse i Norge. Bekymringsverdig nok, viser undersøkelsen at 33 % av respondentene mener at ledelsens manglende forståelse utgjør en risiko for virksomhetens cybersikkerhet. Dette er spesielt relevant når 6 av 10 respondenter sier at de har opplevd angrep mot tredjeparter og underleverandør, en trend vi har sett har økt de senere år.
Toppledelsens manglende forståelse utgjør en cyberrisiko
2022
2023
målrettede angrep er mot tredjeparter
Bekymringen rundt cybersikkerhet har økt. 50 % av respondentene er dobbelt så bekymret som for ett år siden. Interessant nok er respondentenes bekymring tilknyttet konflikten mellom Russland og Vesten tilnærmet lik som i fjor. Dette kan henge sammen med at Norge ikke har blitt rammet av “cyberkrigen” som ble fryktet i kjølvannet av Russlands invasjon av Ukraina. Investeringsviljen innen cybersikkerhet ser ut til å være uendret, justert for siste års inflasjon, som kan henge sammen med mer målrettede og tilpassede investeringer.
De fire mest bekymringsverdige konsekvensene og deres rekkefølge er uendret fra 2022:
Hva er din virksomhet mest urolig for når det kommer til konsekvenser av cyberhendelser?
At kritiske systemer blir utilgjengelige i lengre tid
At fortrolig informasjon blir kompromittert eller stjålet
At uvedkommende har tilgang til personopplysninger
At virksomhetens merkevare eller omdømme skades
For tredje år på rad er respondentene mest urolige for at systemer skal bli utilgjengelige over lengre tid, som kan skje gjennom digital utpressing (ransomware). Selv om koblingen mellom digital utpressing og utilgjengelige systemer kan virke uklar for flere respondenter, er det vanligvis en sammenheng mellom denne type angrep og konsekvens. Et vellykket phishing-angrep kan være et ledd i et større angrep som kan sette kritiske systemer ut av spill, eksempelvis ved at en ansatt klikker på en infisert lenke eller åpner et vedlegg med ondsinnet kode. Angriperen kan i prosessen få tilgang til personopplysninger og sensitiv data. Systemene kan da være utilgjengelige frem til virksomheten lykkes med å gjenopprette systemene, eller eventuelt betaler løsepenger for å gjenopprette tilgang.
Selv om viljen til å investere er uendret, fortsetter norske virksomheter å bli angrepet. I løpet av det siste året har 80 % av respondentenes virksomheter opplevd phishing-angrep. PwC vurderer at det reelle tallet høyst sannsynlig er nærmere 100 %. Virksomhetene som representerer mørketallene i dette tilfellet har enten ikke merket det vellykkede angrepet, eller hatt mekanismer som har håndtert angrepsforsøket før det har fått konsekvenser. I tillegg har 43 % opplevd tjenestenektangrep (Denial of Service - DoS), 33 % har stått overfor finansiell svindel eller uautorisert tilgang/bruk, og 29 % har hatt hendelser forårsaket av leverandørfeil.
Hvilke hendelser har din virksomhet opplevd de siste 12 månedene som et resultat av cyberkriminalitet eller annen informasjonssikkerhetshendelse?
Phishing
DoS-angrep (tjenestenektangrep) som er rettet mot din virksomhet
Finansiell svindel
Uautorisert tilgang til/bruk av informasjon, systemer eller nettverk
Hendelser forårsaket av leverandørfeil
Med dette bakteppet ser vi at særlig to tiltak prioriteres av respondentene i året som kommer: Awareness-trening (47 %) og Identity and Access Management (IAM) (38 %). Tiltakene vurderes å være prioritert av to ulike grunner. Awareness-trening prioriteres sannsynligvis for å redusere risikoen for vellykkede phishing-angrep, mens IAM sannsynligvis prioriteres på grunn av vesentlige investeringer i skyløsninger de siste årene. Sistnevnte krever en annen tilnærming til forvaltning og sikring av digitale identiteter.
Hva er din virksomhets høyeste prioriterte investering innen cybersikkerhet de neste 12 månedene?
Awareness-trening
Identity and Access Management (IAM)
2023 er året hvor kunstig intelligens (AI) har blitt et mye omtalt tema. Feltet bringer transformative muligheter for virksomheter både i verdiskapning og for å avverge angrep gjennom bedre sikkerhetsteknologi. Flere av de store teknologiselskapene jobber med å integrere generativ AI-teknologi i sine sikkerhetsprodukter. Samtidig vil teknologien sannsynligvis utnyttes av trusselaktører i økende grad for å effektivisere cyberangrep. Dette resulterer i et nytt kappløp.
Anvender din virksomhet AI i arbeidet med cybersikkerhet?
Ja
Nei, men har planer om det
Nei, og vi har ingen planer om det
Vet ikke
Når vi beveger oss fremover, er det viktig å merke seg at tilliten til finanssektoren er høy. Årsaken kan trolig pekes tilbake på sektorens lange historie rundt cyber-samarbeid og et modent regulatorisk landskap. Tilliten til kommunal sektor er lavest. Med et skiftende trusselbilde og rask teknologisk utvikling, vil det være avgjørende for alle sektorer å øke deres sikkerhetsarbeid og følge finanssektorens eksempel.
Rapportens hovedfunn fokuserer på ledelsens manglende forståelse, angrep mot underleverandører og økt bekymring for cyberangrep. For det første mener 1 av 3 respondenter at ledelsens manglende forståelse utgjør en trussel for virksomhetens cybersikkerhet. For det andre svarer 6 av 10 at de har opplevd målrettede angrep mot tredjepart og underleverandør. For det tredje ser vi en økende bekymring for cyberangrep, hvor 50 % av respondentene er dobbelt så bekymret som for ett år siden.
© 2015 - 2023 PwC. PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.