Stort set alle virksomheder udsættes for IT-angreb. Men af frygt for at miste kunder skjuler de omfanget af hackerangreb og læk af personfølsomme oplysninger, vurderer eksperter.
Vi giver CPR-numre og kontooplysninger til virksomheder i den tro, at de er beskyttede for uvedkommende. Men den stigende digitalisering i erhvervslivet gør, at virksomheders oplysninger om egne produkter, kunder og medarbejdere er lagret forskellige steder på internettet. Det medfører en spredning af værdier og viden, som IT-kriminelle har øje for. Praktisk talt aner vi ikke, om vores personlige oplysninger har været i hænderne på uvedkommende. Det skriver Berlingske.
- IT-angreb på virksomheder er et spørgsmål om tid. I dag handler det ikke om, hvorvidt de bliver ramt. Det handler om, hvornår de bliver ramt, siger Shehzad Ahmad, chefkonsulent og daglig leder af DK-CERT, der overvåger IT-sikkerheden på internettet for private og forbrugere, til Berlingske.
De seneste tal fra Danmarks Statistik viser, at syv procent af danske virksomheder i 2010 blev ramt af ødelæggelse på grund af virus eller anden uautoriseret adgang. Men tallene er meget usikre. Omfanget af IT-kriminalitet og hacking er svært at kortlægge, fordi virksomheder angiveligt holder kortene tæt ind til kroppen af frygt for deres image i kampen om kunder. Hvis virksomheder taber ansigt i pressen i forhold til deres IT-sikkerhed, mister de omsætning ifølge Shehzad Ahmad.
- Spørgsmålet er, om vi har det sande billede af, hvor stort problemet er. Jeg tror, der bliver holdt IT-angreb skjult, som burde komme ud til offentligheden, siger han.
Den manglende åbenhed kan have konsekvenser for den generelle sikkerhed i Danmark.
- Virksomhederne forsøger at tone det ned, for det er pinligt, hvis de ikke har styr på deres IT-sikkerhed. Men når der ikke er en åben kommunikation om sikkerhedshændelser, bliver vi ikke klogere som fagfolk, siger Lars Neupart, der er direktør i IT-sikkerhedsfirmaet Neupart.
Også andre kilder i IT-sikkerhedsbranchen bekræfter, at problemet med IT-kriminalitet er markant større, end statistikkerne viser.
Lovgivningen omkring behandling af personoplysninger har ofte været i mediernes søgelys. Kort fortalt er danske virksomheder kun forpligtet til at informere om læk af personfølsomme oplysninger, hvis virksomheden selv vurderer, at der er et behov. I USA har de pligt til at informere både personen og offentligheden om læk og erstatte eventuelle tabte personomkostninger såsom et nyt kørekort.
Men selv om der kom mere åbenhed omkring problemet, ville vi med al sandsynlighed stadig ikke kende omfanget af IT-kriminaliteten. For mange virksomheder ved ikke nødvendigvis, om et hackerangreb har fundet sted.
- Der er to typer af virksomheder. De, der ved, de er blevet hacket, og de, der ikke ved, de er blevet hacket, sagde formanden for den amerikanske efterretningskomite i Repræsentanternes Hus, Mike Rogers, sidste efterår til Washington Post.
I Danmark er vi generelt sluppet billigt i forhold til større lækagesager, siger Lars Neupart.
- Der har været relativt få sager med læk af personfølsomme data i Danmark, men det er nok mere held end forstand. I Sverige har større websites mistet hundredtusinder af svenskeres login-informationer, og vi er ikke bedre end dem til IT-sikkerhed, siger han.
Sidste år blev i alt over 400.000 svenske brugerkonti fra cirka 60 hjemmesider lækket efter en række forskellige hackerangreb.
Seneste rapport fra DK-CERT, der giver en status på IT-sikkerhed hvert kvartal, viser, at Danmark er bedre stillet end gennemsnittet i forhold til resten af verden. Men i maj og juni 2012 voksede antallet af IT-angreb med 25 procent.
Rådet for Større IT-sikkerhed siger, at der ikke forefindes statistik om antal af læk af personfølsomme sager i Danmark, men at de arbejder på sagen.
