Evaluating applied information security measures - an analysis of the data from the Norwegian Computer Crime Survey 2006

Forfatteren deltok i arbeidet med Mørketallsundersøkelsen sammen med Datakrimutvalget i Næringslivets sikkerhetsråd (NSR) fra januar 2006 frem til arbeidet ble presentert på Sikkerhetskonferansen i september 2006. Etter dette har forfatteren jobbet videre med analyse av datamaterialet. Rapporten gir en oversikt over dette arbeidet og presenterer resultatet av analysen. Hvor sårbare er norske virksomheter for bortfall av Internettbaserte tjenester og hvor alvorlige er konsekvensene av de rapporterte hendelsene? Analysen bekrefter at norske bedrifter er sterkt avhengig av IT og Internett, men de som har erfart datakriminalitet, rapporterer at konsekvensene er små. Dette samsvarer med lave anmeldelsestall og lave rapporterte økonomiske tap. Hvilke sikkerhetstiltak har norske bedrifter implementert for å imøtegå datakriminalitet og hvordan samsvarer praksisen med gode sikkerhetsprinsipper? En taksonomi basert på gode sikkerhetsprinsipper (forsvar i dybden og forsvar i bredden) er utviklet for å besvare dette spørsmålet. Studien adresserer mange sikkerhetstiltak, og to viktige tendenser bør kommenteres: Bruken av forebyggende tiltak synes mer utbredt enn bruken av tiltak som har til formål å beskytte bak ”forsvarsmuren” og redusere konsekvenser av hendelser. Vi ser samme tendens i forbindelse med outsourcing av IT-kontrakter der økonomisk ansvar og erstatning i liten grad er inkludert i kontraktene. Funnene samsvarer også med at en liten andel av bedriftene har rutiner for faktisk å beregne tapene. Dessuten, noen organisatoriske tiltak er undersøkt, og disse synes å være brukt i mye mindre utstrekning enn tekniske modne sikkerhetsteknologier. Det er ingen forskjell på bedriftsstørrelse her, selv om store bedrifter jevnt over har flere sikkerhetstiltak implementert. Sammenholdt med prinsipper for god sikkerhet, er dette en klar svakhet i norske bedrifter. Rapporterer bedrifter som har implementert sikkerhetstiltak færre hendelser, lavere økonomisk tap og høyere økonomisk avkastning på kapitalen enn dem som ikke har implementert sikkerhetstiltak? Statistisk korrelasjonsanalyse viser at de som har mange tiltak implementert oftere rapporterer hendelser. Vår tolkning er at disse bedriftene er mer sikkerhetsbevisst og har dermed bedre deteksjonsevne. Korrelasjonsanalyser av datamaterialet viser også en signifikant, men meget svak korrelasjon mellom økonomisk avkastning og sikkerhetstiltak. En mulig forklaring ligger at økonomisk resultat avhenger mer av andre variabler enn sikkerhet. Sikkerhet er en bi-innsatsfaktor. Korrelasjonsanalyser av sikkerhetstiltak og rapporterte økonomiske tap viser ingen signifikante sammenhenger, men validiteten på rapporterte tap er lav. Hva er styrken og svakheten ved undersøkelsen? Den norske Mørketallsundersøkelsen gir verdifull informasjon til både myndigheter og bedrifter fordi det ikke blir innhentet systematisk statistikk på dette feltet. Den kan styrke sin posisjon ved flere tiltak som for eksempel vektlegge tidsseriestudier, høyere kvalitet på spørsmål og mer samarbeid med forskning. På sikt kan den ha et potensial som et informasjonssikkerhetsbarometer som sier noe om trender og nivå.