Mørketallsundersøkelsen er gjennomført av Opinion for Næringslivets Sikkerhetsråd, og kartlegger IT-sikkerhetstilstanden i privat og offentlig næringsliv. Undersøkelsen omfatter 1500 respondenter og har som formål å bidra til økt sikkerhetsforståelse, større oppdagelsesevne og godt forebyggende sikkerhetsarbeid i næringslivet.

Mørketallsundersøkelsen 2018 viser at virksomhetene har liten oversikt over kostnadene knyttet til sikkerhetshendelser, kostnader som er estimert til et titalls milliarder kroner årlig. Virus- og malwareinfeksjon er den sikkerhetshendelsen som rammer flest. 21 prosent av virksomhetene oppgir å ha blitt utsatt for dette i løpet av 2017. Sammenlignet med Mørketallsundersøkelsen 2016, er det en klar økning i antall virksomheter som utsettes for phishing, forsøk på hacking og faktisk hacking, DDoS-angrep eller trusler om det, og bedrageri. 

Ole Kristian Dommerud, IT-sjef i Thommessen, er av den oppfatning at mange ledere er naive og tror at sin virksomhet ikke er interessant for hackere eller angrep.
- I utgangspunktet vil alle kunne være et mål for angrep. En del ledere er nok mer opptatt av tilgjengelighet enn sikkerhet, og kan bli irritert over at det for eksempel tar for lang tid å sikkerhetsscanne mail. Hos oss i Thommessen er IT-sikkerhet dypt forankret i ledelsen, sier Dommerud.

Av de virksomhetene som ble utsatt for sikkerhetsbrudd i 2017, mener 67 prosent at hendelsen skyltes tilfeldigheter eller uflaks, mens 55 prosent oppgir menneskelig feil som årsak.

En av de positive funnene i Mørketallsundersøkelsen er at styringssystemer og det å drive systematisk forebyggende sikkerhetsarbeid gir virksomhetene bedre forutsetninger for å oppdage hendelser. De virksomhetene som har et styringssystem opplever i mindre grad tilfeldigheter og uflaks som årsak til hendelsene.

Også når det gjelder årsakene til at sikkerhetsbruddene blir oppdaget er det forskjell på virksomheter med og uten sikkerhetssystem. Blant de virksomhetene som ikke har et styringssystem er det 50 prosent som oppdager hendelsen ved en tilfeldighet, mens tallet er 37 prosent i virksomheter med styringssystem. Bedrifter med styringssystem oppdager hendelsene også i større grad ved rutinekontroller, og ikke ved tilfeldighet (44 vs. 28 prosent).

IT-avdelingen i Thommessen stopper regelmessig ondsinnet virus, malware og trojanere. Heldigvis har Thommessen foreløpig ikke vært utsatt for målrettet angrep – mye takket være gode rutiner.
- Alle vår dokumenter som omhandler klienter skal alltid lagres på sak i henhold til vår IT-policy. Derfor vil det ikke ligge klientrelaterte dokumenter på PCer eller andre kilder som er lett tilgjengelige. I tillegg er alle dokumentene som er lagret på saker kryptert, forteller Dommerud.

I tillegg til gode rutiner er det viktig å ha en handlingsplan for dataangrep. Christopher Sparre-Enger Clausen er partner i Thommessen, og leder Thommessens faggruppe for Teknologi og Personvern. Clausen mener at en god handlingsplan er helt avgjørende for å kunne håndtere cyberrisiko, og bør være på agendaen hos styret og ledelsen i enhver virksomhet:
- Dataangrep er ikke bare et teknisk problem som berører IT-avdelingen – det er et problem for hele virksomheten. I verste fall vil et dataangrep kunne eksponere virksomheten for et betydelig juridisk og økonomisk ansvar. En handlingsplan bør involvere alle sentrale deler av organisasjonen, slik at ledelsen har trygghet rundt hvordan organisasjonen som helhet responderer ved angrep eller uhell.

Thommessen jobber kontinuerlig med å forbedre sine planer for dataangrep, og gjennomførte et "friendly" angrep fra et anerkjent sikkerhetsselskap i januar 2017. Oppdraget var å finne definert informasjon på en åpen og en sensitiv sak, noe de ikke klarte.

Fra 25. mai 2018 trådte den nye personvernforordningen GDPR i kraft i Norge og EU. GDPR setter strenge krav til virksomhetenes IT-sikkerhet, men likevel viser Mørketallsundersøkelsen at det bare er nær halvparten (48 prosent) av virksomhetene som har gjort endringer eller forbedringer i arbeidet med personvern og informasjonssikkerhet som følge av GDPR.
- Med GDPR får næringslivets håndtering av informasjonssikkerhet og av dataangrep en ny dimensjon, nemlig ved at manglende etterlevelse av reglene kan føre til store bøter fra Datatilsynet. Ikke bare må sikkerheten i systemene være god nok – man må også ha gode rutiner for hvordan sikkerhetsbrudd kommuniseres til Datatilsynet og berørte personer i tråd med kravene i GDPR, påpeker Clausen.