Redo? Eller inte? Balansera framtida möjligheter med framtida risker. En global utvärdering av attityder och synpunkter på IT-säkerhet Be Ready for What s Next. kaspersky.com/se/beready
Innehåll 0.1 INTRODUKTION OCH SAMMANFATTNING 3 1.0 IT-SÄKERHET OCH DEN UPPLEVDA RISKEN FÖR FÖRETAGET 4 2.0 RISKEN MED ENHETER SOM DU INTE KAN KONTROLLERA 5 3.0 ATTACKER FRÅN CYBERBROTTSLINGAR OCH DÅLIGT FÖRBEREDDA SYSTEM 6 4.0 UTSATTA FÖRETAG 7 5.0 RISKERNA MED NYA MEDIER 8 6.0 SÅ HÄR SKADAS FÖRETAGET 9 7.0 HUR FÖRETAG SVARAR PÅ HOTEN 10 7.1 ÄR DU REDO FÖR FRAMTIDEN? 11 2
INTRODUKTION OCH SAMMANFATTNING 0.1 Utvärderingens huvudpunkter: 91 % har blivit påverkade av attacker under det senaste året 45 % är inte tillräckligt förberedda på attacker 17% har förlorat finansiell information 57% har förbjudit åtkomst till sociala nätverk på grund av potentiella säkerhetsrisker 30% har ännu inte gjort en fullständig implementering av program mot skadlig programvara I takt med att tekniken utvecklas står företag och deras ITavdelningar inför ett allt större hot mot säkerheten i form av en rad olika cyberhot. Detta är märkbart på företag världen över nästan hälften anser att cyberhot kommer att bli en av de högst prioriterade frågorna under de två kommande åren och ändå känner hela 45 % att de inte är tillräckligt förberedda. För att identifiera svårigheterna med de här problemen och ge en tydlig överblick över de konsekvenser företag världen över upplever idag, har vi utfört en omfattande utvärdering där 1 300 erfarna IT-proffs har fått komma till tals. De kommer från både små företag och stora organisationer i 11 länder. Utvärderingen, som utvecklats av B2B International, har genomförts både på mogna marknader såsom Storbritannien, USA och Japan och på marknader med utvecklingspotential som Brasilien, Kina och Indien. De som deltagit i utvärderingen har varit delaktiga i formuleringen av ITsäkerhetspolicyer, har god kunskap om IT-säkerhetsproblem och bred kunskap om det företag de arbetar för. Resultaten talar sitt tydliga språk: cybersäkerheten blir en allt viktigare policyfråga eftersom man upplever en ökning av virus och dataintrång. Dessutom blir berörda enheter och människor allt svårare att kontrollera och skydda i takt med att de blir allt mer mobila. Egen teknik används istället för teknik som tillhandahålls av företagets IT-avdelning. Är företag verkligen redo för framtiden? Utvärderade länder Mogna marknader: (n=800) USA 200 Tyskland 100 Storbritannien 100 Frankrike 100 Spanien 100 Italien 100 Japan 100 Marknader med utvecklingspotential: (n=500) Brasilien 100 Indien 100 Kina 200 Ryssland 100 3
IT-säkerhet och den upplevda risken för företaget 1.0 Endast 14 % anser att cyberhot är en av de 3 största riskerna Företag och den teknik de använder genomgår idag en förändring. IT-säkerhet är idag en av de viktigaste strategiska frågorna för företag. Idag måste företagsledare överväga och planera för kommande hot som de kan utsättas för. Trots det anser endast 14 % att cyberhot är en av de tre största riskerna för ett företag. Det tyder på att företag i allmänhet har en bristande medvetenhet om säkerhet. Intressant nog hamnar minskning av ett varumärkes anseende, industrispionage och stöld av immateriell egendom på listan över de tre största företagshoten samtliga skulle kunna bli en konsekvens av ett intrång i IT-säkerheten. Omvänt skulle man dock kunna säga att potentiell skada på ett varumärkes anseende är en av de största anledningarna till att attacker inte rapporteras. 9 % av de företag som utsatts av en målinriktad attack tror att antalet förmodligen är högre, men att många inte är medvetna än Costin Raiu Faran för företag världen över är att man i de allra flesta fall inte märker att man blivit utsatt för en attack eller att man är en intressant måltavla för brottslingar. IT-avdelningar måste tänka på att dessa hot inte bara är en potentiell fara; frågan är inte OM du kommer bli utsatt för intrång, utan NÄR du blir det och hur illa det slutar. IT-säkerhet och den upplevda risken för företaget: % Minskning av varumärkets anseende 30 13 13 56% Industrispionage (inifrån företaget och utifrån) 21 17 17 55% Stöld av immateriell egendom 10 16 16 42% Sabotage (av anställd eller tidigare anställd) 11 17 11 30% Terrorism 6 9 9 24% Ekonomisk osäkerhet (lågkonjunktur, efterfrågan) 6 8 8 22% Naturkatastrofer (översvämningar, jordskalv, oväder o.s.v.) 5 8 8 21% Politisk oro Cyberhot (elektroniska hot mot IT-säkerheten och informationssystem) Bedrägeri 4 6 6 4 5 5 3 5 5 16% 14% 13% Kriminell aktivitet (stöld av egendom, mordbrand, vandalism, skadegörelse) 3 2 2 7% Rankat 1st 2nd 3rd 4
Risken med enheter som du inte kan kontrollera 2.0 Tre fjärdedelar av världens alla företag förväntar sig en ökning av antalet enheter under de kommande 12 månaderna På små företag kan det finnas 50 enheter som är anslutna till internet, och i större organisationer kan det finnas tusentals Slutpunkten är inte längre bara en PC, det kan vara vilken enhet som helst så länge den är tillräckligt smart och har en bra anslutning Stefan Tanase För inte så länge sen hade varje anställd en dator på sitt skrivbord och en fast telefon bredvid den. Även om cyberhot existerade var slutpunktsenheterna universella och enkla att kontrollera. Idag ser det annorlunda ut: kostnaden för smartphones och bredbandsanslutningar sjunker hela tiden och definitionen av en slutpunktsenhet ändras från en dator till en enhet som är smart nog och ansluten till ett nätverk. I ett litet företag kan det finnas 50 eller fler sådana enheter som är anslutna till internet, och i större organisationer kan det finnas tusentals. Ännu mer oroväckande för IT-avdelningar är att tre fjärdedelar av världens företag förväntar sig en ökning av dessa siffror under de kommande 12 månaderna. För företag världen över innebär ett ökande antal enheter som används av en mobil personalstyrka ett växande antal hot. Dessa enheter, exempelvis ipad, är inte bara svårare att kontrollera jämfört med datorer, utan många av dessa enheter har ofta heller inga säkerhetsprogram installerade, vilket betyder att de är de nya måltavlorna för cyberbrottslingar. Förändring av slutanvändarenheter 100%+ ökning 50 99%+ ökning 11 49%+ ökning 2% 7% 32% 2% 6% 26% 76% har sett en ökning 75% förväntar sig en ökning 1 10%+ ökning 35% 85% på marknader med utvecklingspotential 41% 85% på marknader med utvecklingspotential Ingen förändring 18% 19% Minskning 6% 6% De senaste 12 månaderna De kommande 12 månaderna 5
Attacker från cyberbrottslingar och dåligt förberedda system 3.0 Nästan hälften av alla företag ser cyberattacker som en av de tre risker som ökar mest 45 % är inte väl förberedda på cyberattacker Nästan hälften av alla företag uppger att de inte är tillräckligt förberedda på cyberattacker. Speglar det här verkligheten eller är det ett tecken på att de inte får tillräckligt stor budget? Roel Schouwenberg Medan företag börjar bli medvetna om framtida hot från potentiella säkerhetsintrång slår cyberbrottslingar till nu och deras måltavlor är företag med bristande kapacitet att svara på deras hot. Nästan hälften av alla företag anser att cyberhot kommer att spela en mycket större roll om två år och att högsta prioritet för IT-avdelningar i alla regioner kommer att vara att förstå hur man förhindrar intrång i IT-säkerheten. Trots detta känner sig endast hälften av företagen väl rustade för att klara av dessa överhängande problem och bland dessa kan definitionen av väl förberedd variera från ett företag till ett annat, vilket betyder att en del är mer utsatta än andra. Problemet är ännu större i små företag. 45 % anser inte att de är väl förberedda på cyberattacker och små företag implementerar åtgärder, som exempelvis schemalagda programfixar för att skydda företagets tillgångar, i mycket mindre utsträckning än större företag. Detta beror ofta på brist på IT-resurser, medan många stora företag har råd att ha en ständigt närvarande IT-avdelning. Bristen på förberedelser i företag av alla storlekar beror också på nedskärningar i budgeten. Om frågorna inte är högst upp på företagets dagordning finns pengarna helt enkelt inte där för att få bukt med problemen. Ökad risk inom två år Nästan hälften av alla företag ser cyberattacker som en av de tre risker som ökar mest % Cyberhot (elektroniska hot mot IT-säkerheten och informationssystem) Ekonomisk osäkerhet (lågkonjunktur, efterfrågan) 46% 37% Minskning av varumärkets eller företagets anseende 22% Stöld av immateriell egendom Industrispionage (inifrån företaget eller utifrån) Kriminell aktivitet (stöld av egendom, mordbrand, vandalism, skadegörelse) Bedrägeri 18% 18% 16% 15% Politisk oro 15% Naturkatastrofer (översvämningar, jordskalv, oväder o.s.v.) 15% Sabotage (av anställd eller tidigare anställd) Terrorism 12% 10% % identifierar risken som mycket större om 2 år 6
Utsatta företag 4.0 48 % av företagen uppger att de har märkt en ökning av antalet cyberattacker det senaste året 40 % av företagen uttrycker en oro för att regeringen ska göra intrång i deras informationssystem Trots att IT-avdelningar och andra delar av företagen inte förbereder sig mot de hot de står inför, känner företag av problematiken. 48 % av företagen uppger att de har märkt en ökning av antalet cyberattacker det senaste året och mer än hälften är oroliga över att gäng inom den organiserade brottsligheten är involverade i dessa attacker. Än viktigare är att 30 % av företagen upplevt att de blivit specifikt attackerade, dessa siffror kan dock vara lägre än förväntat eftersom attackerna ofta går obemärkta förbi tills man blir bestulen på något. Men det är inte bara cybergäng som är under IT-säkerhetsexperternas lupp. 40 % av företagen uttrycker en oro för att regeringen ska göra intrång i deras informationssystem. Det här betyder att kryptografi i slutändan måste bli allmänt utbredd och att redan befintliga lösningar, inklusive kryptering av hela diskar och VPN-nätverk, måste implementeras för att säkerställa högre säkerhet. I allmänhet märker man sällan en riktad attack förrän man blir bestulen på något Costin Raiu Trots att en majoritet av hoten (61 %) kommer från skadliga program och nätverksintrång, kommer hot mot företag inte bara från externa källor. Internt är den största sårbarheten brister i den befintliga programvaran. 44 % av företagen har haft en sådan incident under de senaste 12 månaderna. Anställda utgör också ett internt hot för dataförlust 10 % av företagen har utsatts för bedrägeri eller sabotage från den egna personalen och 16 % av företagen uppger avsiktliga dataläckor som deras största datahot i framtiden. Antal upplevda cyberhot 48 % upplevde en ökning av antalet hot de senaste 12 månaderna Nettominskning 8 % Nettotal för cyberhot: +40 % Nettoökning 48 % 43% 39% 2% 9% 2% En avsevärd minskning (50 % färre) En liten minskning (-49 % färre) Ingen förändring En liten ökning (1-49 %) En avsevärd ökning av antalet händelser (50 % eller mer) 7
Riskerna med nya medier 5.0 53 % av företagen har begränsat åtkomsten till sociala nätverksplatser för slutanvändarna i någon utsträckning Webbplatser för peer-to-peerfildelning förblir den största orsaken till oro i företagsmiljöer och bör förbjudas i alla organisationer som tycker säkerheten är viktig Costin Raiu Den risk som personalen utgör är inte alltid avsiktliga, skadliga attacker. Onlineverktyg som personalen använder både på jobbet och hemma kan ha en direkt inverkan på säkerheten. Virus och skadliga program som i synnerhet sprids via sociala nätverk och webbplatser för fildelning kan orsaka problem för IT-avdelningar, oavsett hur stor organisationen är. Sociala nätverk till exempel är nu det andra största hotet mot IT-säkerheten, och 57 % av företagen anser att personalens användning av sociala medier är en avsevärd risk för företaget. Ansvariga har agerat genom att neka åtkomst till dessa nätverk. Mer än hälften av företagen har nu förbjudit sociala nätverksplatser och ytterligare 19 % begränsar åtkomsten på något sätt, vilket gör sociala nätverk den andra mest begränsade aktiviteten inom företag världen över. Vi har emellertid märkt att det här inte fungerar i praktiken eftersom personalen alltid hittar ett sätt att besöka dessa nätverk vare sig det sker hemma eller på egna enheter. För att kunna skydda sig mot detta hot i framtiden är det ett måste att öka personalstyrkans medvetenhet om vilka risker dessa nätverk medför. Peer-to-Peer-fildelning toppar fortfarande säkerhetsavdelningarnas blockeringslista. 55 % av företagen ser fortfarande fildelning som den aktivitet som utgör det största hotet mot säkerheten. Fildelning är en aktivitet som borde förbjudas på nätverk och enheter om företaget alls bryr sig om säkerheten. Företag som identifierar ett program/en aktivitet som ett av de största hoten Aktivitet/Program Totalt Marknader med utvecklingspotential Mogna marknader USA Ryssland Kina Brasilien Fildelning/P2P 55% 46% 61% 62% 50% 44% 50% Sociala nätverk 35% 36% 35% 44% 52% 26% 41% Filuppladdning, filöverföring, FTP 34% 33% 34% 33% 44% 28% 38% Webbplatsåtkomst 32% 30% 33% 35% 42% 29% 19% Personlig e-post/webbmejl 31% 29% 32% 36% 22% 28% 32% Snabbmeddelandetjänster 23% 32% 18% 20% 19% 36% 35% Onlinespel 21% 21% 21% 19% 16% 21% 32% Videostreaming/internet-tv 13% 18% 10% 8% 12% 21% 14% Affärsnätverkande 11% 15% 9% 5% 4% 24% 7% IP-telefoni 10% 14% 8% 5% 9% 17% 9% Skuggade celler står för länder/grupper där det upplevda hotet är avsevärt mycket större 8
Så här skadas företaget 6.0 91 % av företagen har utsatts för minst en attack under de senaste 12 månaderna 16 % av företagen har utsatts för hårdvarustöld från sina lokaler Tyvärr är de här hoten inte något som hör framtiden till, utan är redan faktiska problem som påverkar verksamheten varje dag. Förra året utsattes 91 % av företagen för minst en attack, oftast i form av någon skadlig programvara, följt av skräppostoch nätfiskeattacker. Av dessa drabbades 24 % av intrång i nätverket på något sätt och 7 % blev på så sätt av med känslig företagsinformation, till ett högt pris för verksamheten. Fler och fler attacker är specifikt riktade. 9 % av företagen som tillfrågades har under det senaste året utsatts för en riktad attack och många förlorade någon typ av immateriell egendom i processen. Vi tror att den här siffran kan vara högre än så, eftersom många företag som utsatts för en riktad attack ännu inte är medvetna om det. Dessa hot ser också olika ut på olika marknader. I utvecklingsländer är exempelvis mängden data som går förlorad mycket högre till följd av okunskap om hur man bygger och försvarar infrastruktur mot moderna attacker på ett korrekt sätt. 17% har förlorat finansiell information. Detta ger en fingervisning om att den huvudsakliga drivkraften bakom cyberbrott är pengar Costin Raiu Det är tydligt att hoten mot företag idag är omfattande och att de kan se ut på många olika sätt. Exempelvis är hot inte bara webbaserade, 16 % av företagen har drabbats av hårdvarustöld från sina lokaler, vilket är ett av de enklaste sätten att få personuppgifter och information för senare attacker. Slutsatsen är att företag måste införliva en djupgående strategi, med skydd på flera nivåer, inklusive program mot skadlig programvara och kryptering av hela diskar, för att garantera en säkerhet som är så nära 100 % som möjligt. Så här skadas företaget % % av företagen har drabbats av Virus, maskar, spionprogram och annan skadlig programvara Skräppost Nätfiskeattacker Intrång i nätverk/hackning 10 21 30 6 13 37 5 11 19 7 9 9 61% 56% 36% 24% Överbelastningsattacker (DoS/DDoS) 5 6 7 19% Stöld av hårdvara från lokaler 4 7 5 16% Företagsspionage Stöld av hårdvara utanför egna lokaler Specifikt riktade attacker mot ditt företag/varumärke Skadegörelse (inklusive brand/mordbrand) 4 7 3 4 6 4 2 3 4 2 2 14% 14% 9% 4% Ledde det till dataförlust? Ja känslig företagsinformation Ja icke-känslig företagsinformation Nej 9
Hur företag svarar på hoten 7.0 30 % har ännu inte genomfört en fullständig implementering av program mot skadlig programvara Det är förvånansvärt att så många företag inte förstår betydelsen av en sådan grundläggande säkerhetsåtgärd som program mot skadlig programvara. Även om det bara är en av många pusselbitar, borde den vara en självklarhet att ha Tim Armstrong Dessa trender fortsätter att utvecklas, vilket får företag världen över att inse att IT-säkerhet och de överhängande hoten blir allt viktigare företagsfrågor. För dagens ITavdelningar är nätverksintrång och hackning det största framtida hotet, medan brister i den befintliga programvaran är det största interna hotet. Klokt nog börjar IT-avdelningar nu vidta åtgärder för att eliminera dessa säkerhetsrisker. Skydd mot skadlig programvara toppar listan över de fyra kärnåtgärder som företag vidtar för att skydda sina data, följt av klientbrandväggar, säkerhetskopiering av data och regelbundna programfix- och programuppdateringar. Det är viktigt att observera att både de största interna och externa hoten handlar om programfixar. Att se till att alla program är uppdaterade och reparerade gör det utan tvekan svårare för obehöriga att ta sig in i nätverken. Ett av de mest oroväckande resultaten är att hela 30 % av företagen ännu inte genomfört en fullständig implementering av program mot skadlig programvara. Med tanke på alla hot som finns och de potentiella konsekvenserna för drabbade företag, är det rent chockerande att så många inte förstår betydelsen av en sådan grundläggande säkerhetsåtgärd som program mot skadlig programvara. Det borde vara en självklarhet att implementera. Företag har genomfört en fullständig implementering av olika säkerhetsåtgärder % % Skydd mot skadlig programvara (antivirus, spionprogram) 70% Implementering av behörighetsnivåer i olika IT-system 44% Klientbrandväggar Säkerhetskopiering och återställning av datadata 64% 63% Fysisk säkerhet för viktiga ITsystem (t.ex. brand, stöld) Nätverksstrukturer (t.ex. delning av affärskritiska nätverk) 42% 42% Regelbunden uppdatering av programfixar/programvara 63% Policy för katastrofåterställning och förberedelse 37% Fyra kärnåtgärder Policy för hantering av IT-säkerhet vid filialer 36% Kryptering av mycket känslig information Revision/verifiering av IT-säkerheten hos tredjepartsleverantörer Kryptering av företagskommunikation Separata säkerhetspolicyer för mobila/bärbara enheter Kryptering av data på mobila enheter 36% 32% 31% 30% 27% Övriga åtgärder 10
Är du redo för framtiden? 7.1 Idag, och i framtiden, kommer cyberbrottslingar fortsätta att utgöra ett hot mot företag världen över. Det råder ingen tvekan om att många företag är medvetna om de potentiella problem de står inför och att de är redo att skydda sin verksamhet, men många är ännu inte tillräckligt väl förberedda. Du kanske har en personalstyrka som är på resande fot och som använder en rad olika enheter som öppnar upp för hot från cyberbrottslingar. Oavsett om du blivit utsatt för en attack det senaste året eller om du förbereder dig för vad som väntar, är det mycket viktigt för företaget att IT-systemen och företagsenheterna är redo för framtiden. Vi på Kaspersky Lab garanterar att du ligger steget före, så att du med tillförsikt kan anta nya utmaningar och föra verksamheten framåt - och alltid vara redo för framtiden. Fler vitböcker, videoklipp och inblickar hittar du på: kaspersky.com/se/beready Kaspersky Labs expertkommentatorer Costin Raiu Director of Global Research & Analysis Kaspersky Lab Stefan Tanase Senior Security Researcher Kaspersky Lab Roel Schouwenberg Senior Security Researcher Kaspersky Lab Tim Armstrong Security Researcher Kaspersky Lab 11