Skip to main content Skip to main navigation

Cyberkriminalitet - Tendenser og trusler

29 januar · 2019

Cyberkriminalitet rammer danske virksomheder på tværs af brancher og størrelse som aldrig før. Der er derfor ingen tvivl om, at cyberkriminalitet er kommet for at blive. Så hvilke tendenser kan vi så forvente os af året 2019? Det giver jeg mit bud på her.

Som Head of Special Risk i Söderberg & Partners rådgiver jeg mange danske og udenlandske virksomheder i, hvordan man sikrer sig bedst mod de økonomiske følger forårsaget af cyberkriminalitet. Her oplever jeg en tydelig tendens for, hvordan den digitale og teknologiske udvikling bliver en stadig mere integreret og nødvendig del af deres hverdag. En samfundsudvikling som IT-kriminelle nyder godt af. Derfor kommer det heller ikke som en overraskelse, når PWC i deres cybercrime undersøgelse for 2018 konkluderer, at 70% af respondenterne indenfor den private sektor bekymrer sig mere om cybertrusler mod deres virksomhed nu end for 12 måneder siden.

Men først skal vi kigge nærmere på, hvilken indflydelse cyberkriminalitet og herunder især GDPR havde i 2018.

Databrud og bødestraffe

2018 blev året, hvor mange virksomheder for alvor stiftede bekendtskab med GDPR, underretningspligten ved eventuelle databrud og hvilke økonomiske konsekvenser, det kan have, hvis man ikke overholder retningslinjerne for håndtering af persondata.

Mange virksomheder havde frygtet de økonomiske konsekvenser. Frygten var muligvis ikke helt velbegrundet, for indtil videre er der kun udstedt fire bøder.

  1. Den første bøde blev udstedt af det østrigske datatilsyn til en iværksættervirksomhed for at videoovervåge en del af det offentlige fortov foran virksomheden, hvilket er i strid med TV-overvågningsloven. Bøden lød på EUR 4.800,-
  2. Den anden bøde gik til et offentligt hospital i Portugal, som fik i alt tre bøder for ikke at leve op til deres ansvar som datakontroller og herved sikre deres patienters data. Det kom samlet til koste dem EUR 400.000,-
  3. Den tredje bøde blev udstedt til en tysk social medie platform, som i sommeren 2018 var udsat for et hackerangreb. Her blev 808.000 e-mailadresser lækket sammen med 1.800.000 brugernavne og passwords. Virksomheden blev påbudt at betale en bøde på EUR 20.000,-
  4. Fjerde bøde blev udstedt til Google af det franske datatilsyn i starten af 2019 for løbende at have forbrudt sig mod GDPR. Bøden er den hidtil største og lyder på svimlende DKK 370 millioner.

Til trods for det hidtil lave antal bødestraffe er det min vurdering, at vi fremover kommer til at opleve en markant stigning i både Danmark og resten af verden. Det skyldes, at der i øjeblikket er flere igangværende sager. Derudover forventes det, at datatilsyn i flere lande, herunder også det danske, agter at sende flere sager om brud på persondata til politi- og anklagemyndigheder inden længe.

Danske virksomheder i højrisiko for IT-kriminalitet

Derudover var 2018 også året, hvor adskillige virksomheder verden over blev udsat for datalæk. Værst gik det udover hotelkæden Marriott, som fik lækket personfølsomme oplysninger på vegne af en halv milliard kunder. Facebook havde ligeledes et hårdt år med to større databrud med henholdsvis 50 mio. og 29 mio. brugerdata, mens 5 mio. kunder blev ofre for hackeres cyberangreb mod Amazon.

I deres 2018-rapport om cybertruslen mod Danmark vurderer Center for Cybersikkerhed, at risikoen for cyber spionage mod danske virksomheder og myndigheder er høj. Den samme høje vurdering giver de risikoen for, at danske virksomheder og myndigheder udsættes for IT-kriminalitet som eksempelvis ransomware og CEO fraud, hvor den økonomiske vinding er formålet. Den udmelding støttes ligeledes op af World Economic Forum, som i deres Global Risk report 2019 angiver cyberangreb, datatyveri og bedrageri i top 5 over de mest sandsynlige risici for virksomheder.

Der er dog forskel på deres vurderinger og antallet af reelle angreb. Således viser en 2018 cyber undersøgelse foretaget af PwC blandt danske og norske virksomheder, at 38 % af de adspurgte respondenter havde været udsat for finansiel IT-kriminalitet som eksempelvis CEO fraud. 48 % har oplevet virusangreb, hvorimod 71 % har været offer for phising angreb.

Analysen angiver samtidig et væsentligt fald i antallet af ransomware angreb sammenlignet med 2017. Således var der i 2018 24% ransomware angreb sammenlignet med 58% året før. Faldet kan skyldes, at virksomhederne er blevet bedre til at sikre sig mod denne type angreb.

Det klarer vores IT-afdeling…

Sådan er der desværre stadig mange virksomheder, der tænker om deres interne håndtering af cybertrusler. Eksempelvis viser PwC’s egen cyber undersøgelse for 2018, at 66 % af respondenterne har tillid til, at topledelsen i deres respektive virksomheder har fokus på balancen mellem cybertrusler og investeringer i cybersikkerhed. Året før var det tal oppe på 72 %.

I den forbindelse vurderer PwC da også, at ”de virksomheder, vi ser, som håndterer cybertrusler bedst, har involveret ledelsen i at få risikovurderet virksomhedens aktiver som grundlagt for en prioritering af de nødvendige sikkerhedstiltag”. Den udmelding kan jeg som forsikringsspecialist på cyberområdet kun bakke op omkring. En proaktiv dialog mellem topledelsen og IT-afdelingen er alfa omega for, hvor godt man som virksomhed formår at beskytte sig mod eventuelle cyberrisici. Desuden er det i øvrigt virksomhedens ledelse, der sidder med det overordnede ansvar for, at virksomheden overholder de gældende direktiver inden for bl.a. GDPR.

Disse undersøgelser gør det svært at anfægte, at trusselsbilledet og frygten for at blive en del af statistikken om cyberkriminalitet fylder stadig mere blandt danske virksomheder og myndigheder. Myndighedernes vurdering af trusselsniveauet understreger ligeledes behovet for forebyggende IT-sikkerhed, IT-politikker og især kontrolprocedurer i forbindelse med pengeoverførsler.

Kilder: PwC Cyber Survey 2018, World Economic Forum & Center for Cybersikkerhed

Er din virksomhed forsikret korrekt mod cyberkriminalitet?

Er du i tvivl, om din virksomhed er korrekt og bedst muligt forsikret mod hackere, databrud og it-kriminalitet? Så kontakt vores Head of Special Risk Carsten Scharff på tlf. 20607343 eller mail carsten.scharff@soderbergpartners.dk