Ny rapport fra Næringslivets Sikkerhetsråd viser at mange norske virksomheter fortsatt står uten beskyttelse mot alvorlige digitale trusler. Næringslivet må styrke beredskapen – og samarbeidet.
Seks av ti har sikkerhetsrammeverk – men mange aner ikke hva det bygger på
Mørketallsundersøkelsen 2024 gir et oppdatert innblikk i hvordan norske virksomheter arbeider med digital sikkerhet. Seks av ti bedrifter har et styringssystem for informasjonssikkerhet – omtrent det samme som i 2020, men en forbedring fra 2022.
Bekymringsverdig er det imidlertid at 61 % ikke vet hvilke standarder sikkerhetsrammeverket bygger på. Det svekker tilliten til at tiltakene faktisk fungerer. Kun 13 % bruker NSMs grunnprinsipper – og én av fire vet ikke om tiltakene i det hele tatt etterleves i praksis.
Små virksomheter og privat sektor henger etter
Offentlige virksomheter er langt mer systematiske: Hele 88 % har et sikkerhetsrammeverk, mot bare 57 % i privat sektor. Bedriftsstørrelse er også avgjørende: Mens 89 % av store virksomheter har et system på plass, gjelder det kun 56 % av de minste.
For SMB-markedet bør dette være et varsko. I en tid der digital kriminalitet vokser raskere enn mange klarer å oppdage, er det ikke lenger nok å «satse på flaks».
Kun 8 % rapporterer hendelser – men mørketallene er store
Undersøkelsen viser at 8 % av norske virksomheter har opplevd en eller flere alvorlige sikkerhetshendelser i løpet av 2024. Blant store selskaper (100+ ansatte) gjelder det hele 18 %.
Blant de vanligste truslene er bedrageri, hacktivisme og tjenestenektangrep. Det er likevel grunn til å anta at mørketallene er langt høyere, da mange hendelser ikke oppdages – eller ikke rapporteres.
Bare 24–26 % av tilfellene anmeldes til politiet. Mange lar det være fordi de ikke tror det nytter, eller fordi tapene oppleves som «ubetydelige».
Tjenester på nett er de største risikopunktene
Trenden er klar: Trusselaktører går stadig oftere etter tjenester og enheter som er direkte eksponert mot internett. Det gjelder alt fra VPN- og e-postservere til samarbeidstjenester og skybaserte systemer.
Mange bedrifter vet ikke engang hva de eksponerer – og enda færre har robuste rutiner for oppdateringer og patching. Tidspunktet fra en sårbarhet blir kjent til den utnyttes, har i enkelte tilfeller falt til bare timer.
Angrep kan kjøpes som tjenester
Digital kriminalitet er blitt industri. Gjennom såkalt «Cybercrime as a Service» kan hvem som helst kjøpe tilgang til verktøy, skadevare og ferdige angrepspakker – ofte gjennom lukkede kanaler som Telegram.
Rapporten beskriver også hvordan KI-assisterte angrep er på fremmarsj: Kriminelle bruker kunstig intelligens for å generere phishing-kampanjer, målrette angrep eller forsterke desinformasjonskampanjer.
SMB-markedet er særlig utsatt
Ifølge Netsecurity og Abelia er små og mellomstore bedrifter både underregulert og underbeskyttet. Mange har verken dedikert sikkerhetspersonell eller oversikt over egne sårbarheter. Når enkeltpersoner med nøkkelkompetanse slutter, kan hele sikkerhetsarbeidet rakne.
Selv om ikke alle virksomheter omfattes av lov om digital sikkerhet, anbefales det at alle følger kravene som om de var underlagt loven. Det styrker både eget vern – og samfunnet som helhet.
Samarbeid og beredskap er avgjørende
En av de mest inspirerende delene i rapporten er Coops suksesshistorie med å avverge svindel. Gjennom tidlig varsling, dokumentasjon og tett samarbeid med politiet, ble gjerningspersonen pågrepet i løpet av én uke.
Telenor melder at de i 2024 håndterte i snitt 20 alvorlige hendelser og 140 DDoS-angrep hver måned. De beskriver hvordan angripere nå stjeler ansattes legitimasjon, ikke bare ved klassisk phishing, men også via skadevare som samler inn passord, cookies og tokens.
Næringslivets ansvar
Som Abelia påpeker: Norske bedrifter forvalter en stor del av landets kritiske infrastruktur – fra bank og energi til helse og mobilnett. Når cyberkriminalitet i 2024 er den tredje største økonomien i verden, bak USA og Kina, er tiden inne for handling.
Råd til virksomheter:
-
Ta sikkerhet inn i styrerommene.
-
Prioriter opplæring og risikovurdering.
-
Samarbeid med myndigheter og politi.
-
Vurder sikkerhetstiltak selv uten lovpålegg.
