Næringslivets sikkerhetsråd (NSR) har kartlagt sikkerhetstilstanden hos over 1600 virksomheter i privat og offentlig sektor. Mørketallsundersøkelsen gir et innblikk i norske virksomheters holdninger knyttet til digital sikkerhet, kunnskap, forebygging og beredskap.
Mørketallsundersøkelsen kartlegger IT-tilstanden i privat og offentlig næringsliv. Årets undersøkelse er den 12. undersøkelsen om den digitale sikkerhetstilstanden i næringslivet og noen virksomheter i offentlig sektor. Undersøkelsen har i år blitt utvidet til også å beskrive digital sikkerhet under Covid-19 pandemien.
- Analysen viser at den administrative ledelsen i stor grad blir involvert når virksomheten utsettes for en sikkerhetshendelse. Selve styret blir i midlertid i mindre grad involvert, forteller fagdirektør i Datatilsynet, Veronica Jarnskjold Buer.
Buer, som selv har vært involvert i undersøkelsen på vegne av Datatilsynet, forteller at halvparten av hendelsene som håndteres fører til endringer i virksomhetens egne policyer og rutiner, og i noen grad også en sterkere kontroll med leverandører og konsulenter.
Videre viser analysen at 77 prosent av virksomhetene i løpet av det siste året har gjennomført aktiviteter som øker de ansattes bevissthet rundt sikkerhet. Interne foredrag er det mest vanlige bevissthetsaktiviteten.
Med personopplysningsloven og den nye personvernforordningen (GDPR) har det kommet en del nye plikter for virksomheter og styrkede rettigheter for borgerne. I årets undersøkelse ble det derfor spurt om virksomhetene har gjort endringer i arbeidet med personvern og informasjonssikkerhet.
Det er en doblet økning i antall virksomheter (84 prosent av de spurte) som sier at de har gjort endringer og forbedringer i arbeidet med personvern og informasjonssikkerhet etter at loven trådte i kraft.
- Det er gledelig å se at det er en økning i virksomheter som har etablert styringssystem for informasjonssikkerhet. Dette viser at virksomhetens ledelse tar ansvar, sier Buer.
47 prosent av virksomhetene som har etablert et styringssystem for informasjonssikkerhet sier at hendelser ble oppdaget rutinemessig ved sikkerhetsmonitorering. Videre svarer 10 prosent at de i løpet av det siste året har opplevd brudd på personopplysningssikkerheten. Av disse er det bare 34 prosent som har rapportert avvik til Datatilsynet.
- Dette er oppsiktsvekkende lave tall siden det er en plikt for virksomheter som behandler personopplysninger å melde fra til Datatilsynet om brudd på personopplysningssikkerheten, både konfidensialitets-, integritets-, og tilgjengelighetsbrudd. Hvorfor det er slik kan det være mange årsaker til. For eksempel mangel på kunnskap om denne plikten, eller om bruddene vurderes å være uten risiko for de registrerte og at meldeplikten til Datatilsynet derfor bortfaller, avslutter Buer.
Les mer og last ned Mørketallsundersøkelsen 2020 (nsr-org.no).