Det viser den såkalte Mørketallsundersøkelsen 2010, der 745 norske bedrifter har deltatt.

Undersøkelsen viser også at bare 88 av 9.800 registrerte tilfellene av datainnbrudd i Norge ble anmeldt i 2009.

Elendig sikkerhet

– Øk kompetansen og innfør obligatoriske sikkerhetskurs for ledere, er rådet fra administrerende direktør Knut Øyvind Blystad-Dammen i det norske IT-sikkerhetsselskapet Protego.

Han mener sikkerheten i små og mellomstore norske bedrifter er elendig.

Daglige innbrudd

– Private selskaper og offentlige etater i Norge utsettes for daglige forsøk på datainnbrudd, fastslår Blystad-Dammen.

– Mange bedrifter fokuserer kun på å beskytte seg mot eksterne trusler, mens det blir utvist en nærmest utillatelig naivitet i forhold til egne medarbeidere, sier han.

Rapporten avdekker at 56 prosent av norske virksomheter helt eller delvis setter ut IT-driften, men at det stilles svært få krav til leverandørene.

Inkompetente sjefer

– Mange sjefer har kunstig høy tillit til IT-leverandørenes håndtering av sikkerheten. Selv om trusselbildet og sårbarheten er blitt tydelig forverret de siste årene, stiller bedrifter faktisk færre krav til sine IT-driftere, sier Blystad-Dammen til Pressenytt.

Han tror blåøydheten blant norske virksomhetsledere skyldes uvitenhet og manglende kompetanse.

– Datasikkerhet og sikkerhet generelt kan virke vanskelig og komplisert. Det ser vi spesielt når vi jobber med bedrifter uten egen it-avdeling, sier Blystad-Dammen.

Sikkerhetskurs

Protegos sikkerhetsekspert Rune Rokke forteller at små og mellomstore bedrifter, som det er flest av i Norge, er generelt dårlige til å jobbe strukturert med datasikkerhet og ta i bruk nye sikkerhetstiltak.

– Kompetansen må økes og det bør innføres obligatoriske IT-sikkerhetskurs for bedriftsledere. I tillegg bør det komme på plass en sertifiseringsordning for IT-driftsleverandører på sikkerhet. Datasikring på arbeidsplassen må tas mer alvorlig, mener han.

I egne rekker

Hver tredje virksomhet som deltok i Mørketallsundersøkelsen. oppgir at de har vært utsatt for datakriminalitet, men bare én prosent av tilfellene ble anmeldt.

I nesten halvparten av tilfellene (48 prosent) anslås det at gjerningsmannen var ansatt eller innleid i selskapet.

Ulovlighetene som begås er hovedsakelig tyveri av informasjon, uautorisert endring eller sletting av data samt spredning av ulovlig opphavsrettet materiale.

Interne rutiner

Rokke mener systematiske og gode internrutiner, grundig bakgrunnsjekk ved ansettelser og streng kontroll ved bruk av innleid arbeidskraft kan bidra til å senke risikoen for at selskapet utsettes for datakriminalitet.

– I tillegg kan man begrense ansattes tilgang til ulike internettsider og kontrollere deres tilgang til sensitiv informasjon. Det skal ikke mer til enn én utro tjener med en minnepinne for å lekke ut sensitiv informasjon, sier Rokke. (ANB)