Magma topp logo Til forsiden Econa

Elisabeth G. Myhre er partner i KPMG AS. Hun er nasjonal tjenesteleder for Information Risk Management og er utdannet siviløkonom fra Handelshøyskolen BI.

Informasjonssikkerhet -- det svakeste leddet i din virksomhet?

Hvorfor bør temaet informasjonssikkerhet være sentralt for de fleste bedrifter? Fordi stadig flere høyt profilerte virksomheter, både nasjonalt og internasjonalt, har store utfordringer med å håndtere informasjonssikkerhet. For mange virksomheter kan dette være en forretningskritisk suksessfaktor. Resultatet oppleverer vi gjennom medienes oppmerksomhet rundt området.

Vi vil her belyse noen av resultatene fra KPMGs internasjonale og nasjonale sikkerhetsundersøkelser i 2002. Artikkelen er ikke ment å være uttømmende om temaet, men er ment å bidra til en bevisstgjøring om hvilken trussel manglende informasjonssikkerhet kan utgjøre for selskapets verdier og fremtidige inntjening.

Noen eksempler fra mediene og næringslivet:

  • EDB Business Partner har brukt mellom 60 og 70 millioner kroner på forbedringer etter datahavariet høsten 2001, men de indirekte kostnadene er ikke målt. Vi tenker på slike forhold som tap av fremtidige kunder, forhandlingsstyrke, troverdighet i markedet og endringer i rammebetingelser som innebærer åpning for nye konkurrenter.
  • «Industrispioner tatt hos svenske Ericsson» (Aftenposten 7. november 2002). De spionmistenkte er «ansatte eller tidligere ansatte i selskapet». Og vi kan stille spørsmålet: Hva vil dette kunne koste Ericsson, som allerede leverer svake resultater?
  • «Trådløst nettverk kan gi alle tilgang til ditt system» (Dagbladet 10. november 2002). En journalist og en nettverksspesialist kunne koble seg på nettverket til en virksomhet direkte fra gaten fordi styreenheten til nettet var synlig og var skrudd på. Her er det også snakk om kostnader som tap av fremtidige kunder, forhandlingsstyrke, troverdighet i markedet (verdi av merkevare, renommé osv.).

STYRETS OG LEDELSENS ANSVAR

I den siste tiden er det satt stadig større fokus på styrets og ledelsens ansvar for virksomhetsstyring, og dette er nedfelt i lovverket. De viktigste bestemmelsene finner vi i aksjelovene, IT-forskriften og internkontrollforskriften. Reglene er klare på ett punkt: Ansvaret ligger hos styret og ledelsen.

Styring for en virksomhet krever at det finnes mål å styre mot. Det er målene som er utgangspunktet for hvilke mulige utfordringer virksomheten står overfor, og hvilke tiltak som bør iverksettes for å møte disse på en hensiktsmessig måte. Dette betyr at identifisering av mulige utfordringer og en konsekvensvurdering av disse må foretas av styre og ledelse.

Vi ser at styret og ledelsen i norske virksomheter stadig møter nye utfordringer som må løses i forsøket på å nå virksomhetens mål. Økt konkurranse, mer krevende kunder, regulatoriske endringer, dereguleringer og svingninger i markeder, press på marginer og lignende krever økt fokus og bevisstgjøring rundt prioritering av hvilke kritiske suksessfaktorer som påvirker forretningsmålene. I tillegg skal styret eller ledelsen være opptatt av å etablere et rammeverk -- nettopp for å unngå at informasjonssikkerhet blir det svakeste leddet i kjeden -- der dette kan ha en klart definert konsekvens for virksomheten.

Hvilken prioritering eller rangering informasjonssikkerhet skal ha i din virksomhet, vil variere avhengig av hvilke forretningskritiske verdier som må sikres spesielt. Det sentrale spørsmålet som styret og ledelsen bør stille seg for å få en oversikt over sitt «verdibilde», er dette:

Har vi informasjon i vår virksomhet som ikke må komme på avveie, fordi det vil kunne påvirke oss økonomisk, eller har vi informasjon som til enhver tid må være tilgjengelig?

Styret og ledelsen bør være i stand til å definere den driftskritiske informasjonen for virksomheten som en eiendel. Dette kan i utgangspunktet virke banalt, men hvorfor er det så få norske virksomheter som har identifisert sitt informasjonsbilde og verdsatt sine eiendeler?

Vår oppfatning er at det er de færreste som er klar over at dette er en del av formuesforvaltningen i en virksomhet. Og de som er det, mener gjerne at dette har noe med IT-sikkerhet å gjøre, og at IT-avdelingen nok tar seg av det. Men hvordan kan IT-avdelingen ta seg av det uten å vite hvilke eiendeler som skal sikres?

Vår erfaring fra norske virksomheter viser at de sikkerhetstiltak som implementeres, ofte bærer preg av å være revet ut av den totale forretningsmessige sammenhengen. Det er sjelden en sammenheng mellom virksomhetens informasjonsbilde, vurderinger av hva som er driftskritisk informasjon, og de tiltakene som er iverksatt. KPMGs sikkerhetsundersøkelser i 2002 underbygger de samme påstandene.

KPMGS SIKKERHETSUNDERSØKELSE 2002

Tidlig i 2002 gjennomførte KPMG en internasjonal sikkerhetsundersøkelse som et viktig bidrag til kunnskap og forståelse av informasjonssikkerhetsproblemene som møter alle organisasjoner i dag, uavhengig av organisasjonens størrelse eller geografiske tilhørighet.

Den internasjonale undersøkelsen baserer seg på utfyllende telefonintervjuer med toppledere og ansvarlige for informasjonssikkerheten i et stort utvalg organisasjoner med en årlig omsetning på mer enn 50 millioner dollar. Respondentene representerer alle sentrale bransjer, inklusive offentlig sektor.

KPMG i Norge fulgte opp den internasjonale sikkerhetsundersøkelsen og intervjuet ledere med ansvar for informasjonssikkerhet i 150 norske virksomheter. Målet var å sammenligne norske forhold med internasjonale og etablere et grundigere trusselbilde som gjaldt for norske bransjer. I den norske undersøkelsen valgte vi å fokusere på følgende bransjer: bank og finans, informasjon/teknologi/kommunikasjon, industri/produksjon og varehandel.

Hovedkonklusjonen i begge undersøkelsene kan summeres med én setning:

Se alltid etter det svakeste leddet!

Hvorfor blir det svakeste leddet så sentralt for mange virksomheter? Ett eksempel: For en virksomhet som benytter e-handel som salgskanal, finnes det ingen effektive geografiske eller organisatoriske grenser. Hvis likt nivå av Internett-sikkerhet ikke er implementert i hele kjeden, vil det svakeste leddet være en trussel for alle de andre leddene ved et eventuelt angrep.

Det svakeste leddet kan være

  • at virksomheter ikke er så godt beskyttet som de tror de er
  • at tiltakene som er iverksatt, er generelle og ikke er tilpasset virksomhetens trusselbilde
  • at det oppstår store variasjoner i det etablerte nivået for informasjonssikkerhet
  • at svært få har etablert målesystemer for rapportering av brudd relatert til informasjonssikkerhet

Resultatet er at virksomheter taper store beløp hvert år. Samtidig mister man kundens tillit, andre alliansers tillit og forretningsmuligheter som aldri kommer tilbake.

RESULTATER FRA UNDERSØKELSEN

Nedenfor har vi valgt å fokusere på noen av resultatene fra de to KPMG-undersøkelsene. Det er god korrelasjon mellom våre erfaringer og resultatene fra undersøkelsene. De områdene som blir belyst, vil være sentrale ved etableringen av et rammeverk for informasjonssikkerhet i en virksomhet. Her følger beskrivelser av noen resultater fra undersøkelsene etterfulgt av våre kommentarer.

  • Mange av respondentene har opplevd vesentlige hendelser/brudd med til dels store økonomiske tap det siste året. De internasjonale resultatene var som følger:
figur

Figur 1

Kommentar:

Den internasjonale sikkerhetsundersøkelsen viste et direkte tap på USD 108 000 for hvert sikkerhetsbrudd som oppsto. Samtidig viste den norske at det i gjennomsnitt ble brukt 519 timer på å rette opp feil relatert til IT-sikkerhetsområdet.

Virksomheter bør iverksette målrettede tiltak ut fra sitt eget trusselbilde før hendelsen inntreffer, fremfor å basere seg på å utbedre skaden i etterkant. Tapet kan være uopprettelig. På lang sikt kan ikke et effektivt og målrettet informasjonssikkerhetssystem måles bare i kroner og øre; dette blir for de aller fleste en sentral del av virksomhetens renommé.

Respondentene ble spurt om å vurdere hvorvidt de var tilstrekkelig sikret mot IT-sikkerhetsrelaterte trusler. Ikke overraskende vurderte nesten alle (96 prosent) av de spurte at de hadde iverksatt nødvendige tiltak for å sikre seg (58 prosent var svært enige, 38 prosent enige, 2 prosent til dels enige, 1 prosent noe uenig, 1 prosent helt uenig). Men når dette ble sammenlignet med de tiltakene som faktisk var iverksatt, ble det avdekket at virksomhetene ikke er så godt sikret som de faktisk trodde. De som sa seg svært enige (38 prosent) i at de var tilstrekkelig sikret, svarte videre:

  • 10 prosent tester ikke de iverksatte tiltakene og kan av den grunn ikke vite om de fungerer og er effektive i praksis. I Norge var det hele 40 prosent som ikke testet regelmessig!
  • 52 prosent har ikke noen løsning for å oppdage inntrengere i systemet (intrusion detection system).
  • 87 prosent hadde opplevd en eller annen form for sikkerhetsbrudd det siste året, hvorav
  • 61 prosent virusangrep
  • 28 prosent uønsket e-postinntrenging
  • 15 prosent tjenestenektangrep (denial of service attack)
  • 13 prosent tap av programvare
  • 12 prosent angrep via websider (hacking)

Kommentar:

Resultatet viser at mange tror mye bedre om seg selv enn hva som er realiteten, når de riktige spørsmålene blir spurt. Som tidligere nevnt: Virksomheter investerer i tiltak, men det er et gap mellom tiltak/investering og trusselbilde. Den beste måloppnåelsen vil en virksomhet få ved å etablere en modell for informasjonssikkerhet som bygger på en lagvis inndeling med ett sett av kontroller som også kan være overlappende. Hver kontroll alene er kanskje bare 50 prosent effektiv, men når tre eller fire kontroller er satt sammen i et system, kan resultatet være at man dekker en større andel av sitt trusselbilde. Målet bør være å ha et effektivt og kostnadsoptimalt kontrollmiljø som gjenspeiler truslene som skal være ivaretatt.

I den internasjonale undersøkelsen valgte vi også å analysere hvor virksomheten er basert, og om den opererer nasjonalt, regionalt eller globalt. Resultatet av ett sett med spørsmål ble analysert for å avdekke hvilke grader av tiltak som var iverksatt i ulike virksomheter i verden innenfor ulike bransjer. Resultatet er vist i figuren nedenfor.

Virksomheter som opererer i Asia/ Australia og Europa/Midtøsten/Afrika, hadde flere tilfeller av virusangrep enn de som opererer i Amerika. Men samtidig er det færre virksomheter i Asia/ Australia som har rutiner som ivaretar virustilfeller, og som tester at tiltakene som er iverksatt, fungerer effektivt.

Bank- og finansbransjen er fortsatt best i klassen og kunne vise til følgende fra den internasjonale undersøkelsen:

figur

Figur 2

  • Har implementert ISO 17799, som er en internasjonal standard for informasjonssikkerhet (bank og finans 25 prosent mot andre sektorer 16 prosent)
  • Har etablert system for å håndtere eksterne angrep (bank og finans 44 prosent mot andre 38 prosent)
  • Har etablert målesystemer for informasjonssikkerhet (bank og finans 42 prosent mot andre 33 prosent)

Det viste seg at bank- og finansbransjen hadde færre tilfeller av sikkerhetsbrudd enn alle de andre bransjene, for eksempel virusangrep (bank og finans 53 prosent, andre 63 prosent) og websideangrep/hacking (bank og finans 9 prosent, andre 13 prosent).

Kommentar:

Trusselbilde relatert til informasjonssikkerhet har ikke bare med interne forhold og rammevilkår å gjøre. Dagens trusselbilde er bredt. Hackere benytter automatiske verktøy som kan lese (skanne) alle mulige IP-adresser -- uansett geografi og bransje -- for å finne muligheter for et angrep. Når mulighetene er avdekket, vurderer de hvorvidt det er av interesse å bryte seg inn i din virksomhet. Jo mer profilert virksomheten er, og jo større skade det er mulig å utrette, desto større kan trusselen være. Hackerne vil også kunne gjennomføre et mer omfattende angrep der de skjuler sporene etter seg ved å gå omveien via virksomheten din. Vi snakker med andre ord om en global trussel.

I den norske undersøkelsen svarte 64 prosent av dem som ble spurt, at de ikke har noen formening om omfanget av de årlige kostnadene for tiltak som er iverksatt, og kun 50 prosent hadde formelle rutiner for rapportering av sikkerhetsbrudd.

Kommentar:

At virksomheter ikke etablerer målesystemer for å forvalte informasjonssikkerhet på en tilfredsstillende måte, er bekymringsverdig:

  • Hvordan vet virksomheten at ting blir håndtert på en effektiv måte, dersom den ikke kan måle noe?
  • Hvordan vet styret og ledelsen i virksomheten at det investeres tilstrekkelig i å sikre de verdiene som er forretningskritiske og har en betydelig renommérisiko?
  • Hvordan vet virksomheten at tiltakene og investeringene gir en nytteverdi?

Å etablere konkrete mål og systemer for måling er sentralt for å kunne vite om virksomheter håndterer sitt trusselbilde på en effektiv og optimal måte. Uten et etablert rammeverk vil det være umulig for styret og ledelsen i en virksomhet å vite om de verdiene detror de har sikret, virkeligblir sikret.

figur

Figur 3: Her ser vi at risikoene A, C, D og E er driftskritiske, mens risikoene B, F og G krever nærmere vurdering. Risiko I er uten betydning for virksomheten.

HVOR STERKT ER DET SVAKESTE LEDDET I KJEDEN?

Etter at ledelsen har dannet seg en oppfatning av de forretningskritiske eiendelene i virksomheten og sett dette i lys av de samlede identifiserte utfordringene, må det foretas en prioritering av driftskritisk informasjon for å oppnå målrettet og kostnadseffektiv drift.

For å vurdere dette er det to forhold styret og ledelsen må ha et bevisst forhold til. Det ene er sannsynligheten for at en hendelse inntreffer, og det andre er konsekvensenom den inntreffer. Dette kan en plotte inn i en matrise som vist ovenfor.

Styret og ledelsen må på et overordnet nivå ha et forhold til dette risikobildet, uten påvirkning av etablerte kontroller og hvordan bildet er som et resultat av etablerte kontroller.

Dersom styret og ledelsen definerer at virksomheten har driftskritisk informasjon, blir det videre viktig å vurdere følgende:

  • Dersom ingen kontroller -- hva er sannsynligheten for at informasjonen kommer på avveie?
  • Hvilken konsekvens har dette for virksomheten og dens konkurransefortrinn?

Når en har et forhold til konsekvensene, er det lettere å fastslå nivået på nødvendige kontroller og hvor mye økonomiske ressurser som skal anvendes for å møte utfordringen. Med andre ord en bevisst vurdering av kost--nytte.

For de fleste norske virksomheter er veien videre mye kortere enn det man tror. Tiden er nå inne for å sette informasjonssikkerhet på dagsorden og diskutere konsekvenser fordin virksomhet.


© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS