Sikkerhetsmåneden 2022

Med høsten kommer sikkerhetsmåneden, og de fleste virksomheter har for lengst planlagt interne arrangementer der informasjonssikkerhet har fokus.

- Mange av oss som jobber med personvern og informasjonssikkerhet gleder oss til sikkerhetsmåneden, som i år har digital hverdag som tema, sier avdelingsdirektør for teknologi, analyse og sikkerhet, Veronica Jarnskjold Buer.

Sikkerhetsmåneden er en del av EUs informasjonssikkerhetsorgan ENISAs årlige europeiske sikkerhetsmåned. Årets tema for sikkerhetsmåneden vil være «Sammen for en trygg digital hverdag», med fokus på løsepengeangrep og phishing.

Øking i løsepengeangrep

Datatilsynet har sett en økning løsepengeangrep og phishing i meldinger om brudd på personopplysningssikkerheten det siste året. I statistikken vår definerer vi hacking, phishing og skadevare i ulike kategorier. I praksis har disse kategoriene mye overlapp. Angripere bruker ofte phishing som inngangsdør til systemer i en virksomhet. På den måten kan de legge igjen programvare som gjør at de for eksempel kan gjennomføre større operasjoner senere, eller kryptere systemene deres for å fremme løsepengekrav.

- Noen ganger kan imidlertid ikke virksomhetene bekrefte at de har vært rammet av phishing, og da sorterer vi meldingen i én av de andre kategoriene i vår statistikk, forteller Buer.

I 2020 mottok vi 2009 meldinger om brudd på personopplysningssikkerheten, hvorav 9 % utgjorde eksterne angrep. I 2021 økte mengden meldinger til 2255, og andelen eksterne angrep økte til 13 %. Til og med juli 2022 har vi mottatt 1214 meldinger, og den foreløpige andelen eksterne angrep er på 6 %. Vår statistikk synes dermed å samsvare med funnene i mørketallsundersøkelsen 2022.

Mørketall

Når det gjelder rapportering av brudd til Datatilsynet antar vi at det finnes betydelige mørketall, hvilket også samsvarer med mørketallsundersøkelsen for 2022.

- Vi tror det er langt flere som opplever meldepliktige brudd på personopplysningssikkerheten enn de som melder fra til oss Mørketallsundersøkelsen viser at fire av ti bedrifter sier at hendelser oppdages tilfeldig, og at noen hendelser oppdages gjennom medieoppslag. Det kan tyde på at sikkerhetsarbeidet er hendelsesstyrt og i så fall er det alvorlig, sier Buer.

Mørketallsundersøkelsen for 2022 viser videre at 12% av bedriftene som har hatt sikkerhetshendelser, rapporterte til politiet. 8% rapporterte til Datatilsynet. Administrator av systemet det gjelder, er den som mottar flest rapporter om hendelser.

Én grunn til at virksomheter ikke melder fra om hendelsen, kan være uvitenhet om plikten i personvernregelverket. En annen grunn kan være at virksomheten ikke har etablert et styringssystemer for personvern og informasjonssikkerhet. Et slikt styringssystem skal også omfatte hendelseshåndtering.

- Det er urovekkende at mørketallsundersøkelsen for 2022 viser funn som sier at andelen bedrifter som har et styringssystem eller rammeverk for informasjonssikkerhet har gått ned. Vi vet at bedrifter som har et operativt styringssystem, oppdager hendelser i mye større grad, sier Buer.

Her er noen av arrangementene som Datatilsynets deltar på i sikkerhetsmåneden oktober:

  • 14.oktober: AHUS fagdag sikkerhetsmåneden: Fremtidens pasientbehandling og hvilke personvernutfordringer
  • 18.oktober: KLPs arrangement om Hvordan kjennes det ut å bli svindlet?
  • 19.oktober. Digi Rogaland: Løsepengeangrep og ulike former for sosial manipulering.
  • 19.oktober: Kommunerevisjon Nord: Status GDPR - sett i lys av de mange dataangrepene bl.a. i kommunal sektor den siste tiden
  • 25-27. oktober: NOKIOS – deltar vi blant annet i Våre data – sett i lys av Schrems og i Skytjenester i offentlig sektor – felles bruk av plattformer og sikring av nasjonale verdier.

Jeg ønsker alle lykke til med sikkerhetsmåneden! La sikkerhetsmåneden bidra til at vi alle både forstår at trusselbildet er alvorlig og at vi er nødt til å jobbe mer systematisk med informasjonssikkerhet. Selv vil vi fokusere på avviksrapportering, i tillegg til øvelser på ulike scenarioer, avslutter Datatilsynets avdelingsdirektør.