Hvor meget koster cyberkriminalitet egentlig britiske virksomheder?
Indholdsfortegnelse:
- 1) De fem bedste cyberkriminaliteter, der påvirker britiske virksomheder
- 2) Samlede erhvervsmæssige økonomiske tab til cyberafhængige kriminalitet
- 3) Hvor meget taber den gennemsnitlige britiske virksomhed om året?
- 4) Forebyggelse af cyberangreb med ISO 27001
- 5) Tag et opgør med kostbar cyberkriminalitet
Cyberkriminalitet udgør en vedvarende trussel mod britiske virksomheder. Med mange organisationer, der er afhængige af en digital forsyningskæde og bruger cloud-baserede platforme til at lagre deres data, vokser mulighederne for trusselsaktører til at udnytte sårbarheder, og virksomheder kæmper for at følge med.
Faktisk 100% af vores globale Status for informationssikkerhedsrapport respondenter – over 1,500 professionelle inden for informationssikkerhed – siger, at deres organisation har oplevet en cybersikkerheds- eller informationssikkerhedshændelse inden for de sidste 12 måneder. Ud over eventuelle potentielle økonomiske tab fra disse hændelser modtog 99 % af de britiske respondenter lovmæssige bøder for et databrud eller en overtrædelse af databeskyttelsesreglerne.
Ved at bruge data, der er rapporteret til Action Fraud og fra vores State of Information Security Report, ser Christie Rae på de økonomiske konsekvenser af cyberkriminalitet på britiske* virksomheder, og hvordan organisationer kan forbedre deres beskyttelse af informationssikkerhed.
De fem bedste cyberkriminaliteter, der påvirker britiske virksomheder
Action Fraud oplister flere forskellige forbrydelser i kategorien cyberafhængig kriminalitet. Disse er:
- NFIB50A – Computervirus/Malware/Spyware
- NFIB51A – Denial of Service-angreb
- NFIB51B – Denial of Service Attack – Afpresning
- NFIB52A – Hacking – Server
- NFIB52B – Hacking – Personlig
- NFIB52C – Hacking – Sociale medier og e-mail
- NFIB52D – Hacking – PBX/Dial through
- NFIB52E – Hacking – Afpresning.
Nedenfor er de fem største cyberkriminaliteter, der påvirker britiske organisationer.
| Bedrageritype (Top 5) | Rapportvolumen | Økonomisk tab | Gennemsnitligt tab pr. rapport** |
| NFIB50A – Computervirus \ Malware \ Spyware | 274 | £908,196 | £3,315 |
| NFIB52C – Hacking – Sociale medier og e-mail | 1,944 | £783,704 | £403 |
| NFIB52E – Hacking afpresning | 411 | £401,923 | £978 |
| NFIB52B – Hacking – Personlig | 199 | £98,565 | £495 |
| NFIB52A – Hacking – Server | 398 | £0 | £0 |
| I alt | 3,226 | £2,192,388 | £680 |
1. NFIB50A – Computervirus / Malware / Spyware
National Fraud Intelligence Bureau (NFIB) kriminalitetsbeskrivelse[1]: Forbrydelser skal registreres under dette afsnit indtil det punkt, hvor gerningsmanden rent faktisk bruger malwaren. Når gerningsmanden bruger malwaren, bliver det en bevidst målretning mod den pågældende computer.
Hvor malware bruges til at indhente detaljer for at begå bedrageri eller andre overtrædelser af computermisbrug, er bedrageri eller computermisbrug den primære forbrydelse og bør registreres. Malwaren er blevet brugt til at gøre det muligt at begå en anden lovovertrædelse, og ingen lovovertrædelse bør registreres under dette afsnit, hvis det rapporteres på samme tid.
Eksempel: Hr. A rapporterer til Action Fraud, at han har klikket på et link, der har downloadet et program. Han har kørt et anti-spyware-program og fået at vide, at programmet er et keylogger-program og er blevet fjernet. Én forbrydelse af uautoriseret ændring af computermateriale (klasse NFIB50A). En uge senere kontakter han Action Fraud for at rapportere, at hans online bankkonto i dag er blevet ulovligt tilgået, og at £2000 er blevet stjålet fra den ved at ændre en stående ordre om at betale hans realkreditlån. En yderligere forbrydelse af mandatsvig (NFIB5D) bør registreres.
Samlet rapportvolumen: 274
Samlet økonomisk tab: £908,196
Gennemsnitligt tab pr. rapport: £3,315
Mellem januar 2023 og juni 2024 mistede britiske virksomheder over 900,000 £ på grund af computervirus, malware eller spyware i kun 274 rapporter - hvilket betyder, at en enkelt malware-hændelse koster virksomheder over 3,300 £ i gennemsnit. Malware var den mest rapporterede cybersikkerhedshændelse i vores State of Information Security Report, hvor over en tredjedel (35 %) af organisationerne har oplevet en malware-hændelse inden for de sidste 12 måneder.
2. NFIB52C – Hacking – Sociale medier og e-mail
NFIB-kriminalitetsbeskrivelse: Denne forbrydelse omfatter alle former for individuelle e-mail-konti og alle former for individuelle sociale medier, for eksempel X og Facebook. Det omfatter personlige konti såvel som virksomheders eller organisationers individuelle konti. Denne svindel bør ikke ses som begrænset til stationære eller bærbare computere. Det kan omfatte enhver enhed, der bruger operativ software tilgængelig online, for eksempel spilkonsoller og smartphones.
Samlet rapportvolumen: 1,944
Samlet økonomisk tab: £783,704
Gennemsnitligt tab pr. rapport: £403
Sociale medier og e-mail-hacking har kostet virksomheder over 780,000 £ i de sidste 18 måneder. Vores State of Information Security Report fandt, at social engineering var den næstmest almindelige cybersikkerhedshændelse, som 32 % af de adspurgte oplevede.
3. NFIB52E – Hacking – Afpresning
NFIB-kriminalitetsbeskrivelse: Dette sker, hvor der er en uberettiget efterspørgsel med trusler (afpresning) knyttet til enhver computerhacking eller trussel om computerhacking. Afpresningen kan være i forhold til enhver NFIB-klasse under NFIB52 Computer Hacking.
Eksempel: ABC Ltd rapporterer, at de har modtaget et krav om at betale £100,000, ellers vil en kopi af koden til deres nye computerspil blive lagt på world wide web. De er yderst bekymrede, for i sidste uge modtog de en memory stick med en del af koden fra deres server kopieret på. Én kriminel computer Hacking (afpresning) (klasse NFIB52E).
Samlet rapportvolumen: 411
Samlet økonomisk tab: £401,923
Gennemsnitligt tab pr. rapport: £978
Vores rapport viste, at i de sidste 12 måneder har 29 % af organisationerne – næsten hver tredje – oplevet et ransomware-angreb. Sager om hacking-afpresning har forårsaget over £400,000 i tab for britiske virksomheder i de sidste 12 måneder, med £180,000 af disse tab i 2024 på trods af betydeligt færre rapporter.
4. NFIB52B – Hacking – Personlig
NFIB-kriminalitetsbeskrivelse: Uautoriseret adgang til computermateriale med den hensigt at begå eller lette begåelsen af yderligere lovovertrædelser. Hvor hackerens handlinger kun er forberedende, og der ikke er begået nogen væsentlig lovovertrædelse under nogen anden svigforbrydelse, skal en lovovertrædelse registreres under dette afsnit.
Rapportvolumen: 199
Økonomisk tab: £98,565
Gennemsnitligt tab pr. rapport: £495
Organisationer har mistet næsten 100,000 pund på grund af hacking af personlige enheder, såsom en bærbar computer eller mobiltelefon. Robuste sikkerhedsforanstaltninger for arbejdsenheder og medarbejderuddannelse og opmærksomhed er nøglen til at bekæmpe denne type angreb. 35 % af organisationerne sagde, at deres medarbejdere havde brugt personlige enheder til arbejdsformål uden ordentlige sikkerhedsforanstaltninger i vores rapport, hvilket gør dette til den største cybersikkerhedsfejl begået af medarbejdere.
5. NFIB52A Hacking – Server
NFIB-kriminalitetsbeskrivelse: For at forbrydelser skal registreres under dette afsnit, skal de ændrede filer eller tjenester være på serveren og ikke på en computers lokale harddisk.
Eksempel: En medarbejder efterlader sin stationære computer logget på, når han forlader kontoret. En kollega får derefter adgang til sine ansættelsesregistre på serveren og ændrer nogle af de oplysninger, der er registreret på hans fil, ved at bruge den loggede computer. En forbrydelse af Hacking-Server (klasse NFIB52A).
Samlet rapportvolumen: 398
Økonomisk tab: £0
Gennemsnitligt tab pr. rapport: £0
Organisationer har ikke ledt økonomiske tab til serverhackingforbrydelser i de sidste 18 måneder. Dette skyldes dog sandsynligvis NFIB-forbrydelsesregistreringsreglerne, som siger, at "hvor den uautoriserede adgang direkte har muliggjort begåelsen af en anden svigforbrydelse, vil hovedforbrydelsen være den anden svigforbrydelse."
Samlede erhvervsmæssige økonomiske tab til cyberafhængige kriminalitet
Mellem januar 2023 og juni 2024 rapporterede virksomheder næsten 3,500 cyberkriminalitet med økonomiske tab på £2,234,788 til Action Fraud. 2,377 af rapporterne og £1,367,477 i tab blev foretaget i de sidste 12 måneder.
Januar 2023 oplevede de højeste økonomiske tab med 179 rapporter, £580,734 økonomiske tab og £3,244 estimeret gennemsnitlige tab pr. rapport. Juni 2023 oplevede de laveste økonomiske tab med 191 rapporter, men ingen økonomiske tab.
| Måned | Rapportvolumen | Økonomisk tab | Gennemsnitligt tab pr. rapport |
| Jan-23 | 179 | £580,734 | £3,244 |
| Feb-23 | 194 | £196,743 | £1,014 |
| Mar-23 | 216 | £40,862 | £189 |
| Apr-23 | 176 | £30,067 | £170 |
| Maj-23 | 166 | £18,905 | £113 |
| Jun-23 | 191 | £0 | £0 |
| Jul-23 | 196 | £95,963 | £489 |
| Aug-23 | 208 | £160,237 | £770 |
| September-23 | 215 | £254,252 | £1,182 |
| Oct-23 | 214 | £2,956 | £13 |
| November-23 | 222 | £74,249 | £334 |
| Dec-23 | 177 | £114,920 | £649 |
| Jan-24 | 196 | £423,500 | £2,160 |
| Feb-24 | 200 | £89,000 | £445 |
| Mar-24 | 191 | £2,200 | £11 |
| Apr-24 | 179 | £24,000 | £134 |
| Maj-24 | 173 | £120,400 | £695 |
| Jun-24 | 206 | £5,800 | £28 |
| I alt | 3,499 | £2,234,788 | £638 |
Tabellen nedenfor viser det samlede antal cyberafhængige kriminalitetsrapporter og økonomiske tab rapporteret af virksomheder og enkeltpersoner mellem januar 2023 og juni 2024. Kun 5.7 % af de indberettede cyberafhængige forbrydelser blev rapporteret af virksomheder, men de udgjorde 30 % af samlede økonomiske tab.
| Samlet cyberafhængig kriminalitet januar 2023-juni 2024 | ||
| Dato | Rapportvolumen | Økonomisk tab |
| Jan-23 | 2,176 | £670,752 |
| Feb-23 | 1,972 | £442,071 |
| Mar-23 | 2,517 | £659,304 |
| Apr-23 | 2,267 | £253,575 |
| Maj-23 | 2,965 | £547,045 |
| Jun-23 | 2,874 | £310,386 |
| Jul-23 | 3,952 | £718,226 |
| Aug-23 | 3,313 | £332,210 |
| September-23 | 3,224 | £500,528 |
| Oct-23 | 3,670 | £363,292 |
| November-23 | 3,957 | £264,566 |
| Dec-23 | 3,439 | £490,098 |
| Jan-24 | 4,028 | £890,500 |
| Feb-24 | 3,777 | £215,300 |
| Mar-24 | 4,101 | £242,700 |
| Apr-24 | 3,849 | £187,100 |
| Maj-24 | 4,461 | £257,600 |
| Jun-24 | 4,436 | £219,400 |
| I alt | 60,978 | £7,564,652 |
Hvor meget taber den gennemsnitlige britiske virksomhed om året?
Vores State of Information Security Report viste, at 99 % af britiske virksomheder har modtaget bøder for et databrud eller overtrædelse af databeskyttelsesreglerne inden for de sidste 12 måneder. Respondenterne afslørede det samlede beløb i bøder, som deres organisationer modtog:
| Bøde beløb | Respondent tæller |
| Op til £ 50,000 | 36 |
| £ 50,001- £ 100,000 | 101 |
| £ 101,000- £ 250,000 | 177 |
| £ 250,001- £ 500,000 | 133 |
| £ 500,001- £ 1,000,000 | 51 |
| Mere end £1,000,000, angiv venligst | 0 |
| Vi har ikke modtaget en bøde for databrud eller overtrædelse af databeskyttelsesregler inden for de seneste 12 måneder | 4 |
Det gennemsnitlige samlede antal bøder, virksomheder modtog, er £366,475***, mens det gennemsnitlige økonomiske tab fra en enkelt cyberafhængig kriminalitetsrapport fra organisationer til Action Fraud i samme tidsrum (april 2023-marts 2024) var £538.37. Organisationer kunne have tabt så meget som £367,013 fra en enkelt hændelse.
Forebyggelse af cyberangreb med ISO 27001
De største cyberafhængige forbrydelser rapporteret til Action Fraud viser, at udnyttelse af menneskelige fejl er et centralt mål for trusselsaktører. Som svar fokuserer organisationer på uddannelse i medarbejderinformationssikkerhed. Næsten halvdelen (45 %) af respondenterne i vores State of Information Security Report siger, at deres organisation har taget et større fokus på medarbejderuddannelse og bevidsthed, og 35 % siger, at læringsstyringsplatforme har vist sig at være den mest effektive metode.
Certificering til informationssikkerhedsstandarder som ISO 27001 hjælper virksomheder med at tage en grundig tilgang til at styrke deres sikkerhedsforsvar, hvilket reducerer risikoen for cyberhændelser. For at opnå ISO 27001-certificering skal virksomheder bygge, vedligeholde og løbende forbedre et ISO 27001-kompatibelt informationssikkerhedsstyringssystem (ISMS) og gennemføre en ekstern revision.
Risk Management
Kontinuerlig styring af informationssikkerhedsrisiko er et krav i ISO 27001-standarden paragraf 6.1, handlinger til at håndtere risici og muligheder. Din organisation bør identificere de risici, der er forbundet med hvert informationsaktiv inden for rammerne af dit ISMS, og vælge den passende risikobehandling for hver risiko – behandle, overføre, tolerere eller afslutte.
ISO 27001 Annex A skitserer de 93 kontroller, din organisation skal overveje, når de udfører risikostyring, og der skal gives begrundelse for beslutningen om at anvende eller ikke anvende en kontrol i din Statement of Applicability (SoA). Denne grundige tilgang til risikostyring og behandling gør det muligt for din organisation at identificere, behandle og afbøde risici gennem hele deres livscyklus, hvilket reducerer sandsynligheden for en hændelse og reducerer påvirkningen, hvis en hændelse skulle opstå.
Continuous Improvement
ISO 27001-standarden fremmer løbende forbedringer af informationssikkerhed, herunder løbende informationssikkerhedsbevidsthed i hele organisationen. Bevidsthed spiller en nøglerolle i overholdelse af ISO 27001; Bilag A.6.3 informationssikkerhed og privatlivsbevidsthed, uddannelse og træning er en af standardens 93 kontroller. Kontrollen sikrer medarbejdernes bevidsthed og opfyldelse af deres informationssikkerhedsansvar.
Tag et opgør med kostbar cyberkriminalitet
Statistikken fra Action Fraud og ISMS.online's State of Information Security Report afslører, at cyberkriminalitet udgør en vedvarende og voksende udfordring for britiske virksomheder. Rapporter om cyberafhængige forbrydelser stiger år for år, og organisationer, der bliver ofre for databrud eller ikke overholder lovkravene, får betydelige bøder.
Nu er tiden inde til, at virksomheder øger deres indsats for informationssikkerhed.
Forbedring af personalet og interessenternes bevidsthed er afgørende for at reducere risikoen for hændelser forårsaget af menneskelige fejl. Opbygning af et robust ISMS, der er i overensstemmelse med ISO 27001-kravene, vil tilføje yderligere lag af forsvar. ISO 27001-certificering øger organisatorisk modstandskraft og giver en konkurrencefordel i forhold til virksomheder, der har mindre fokus på deres sikkerhedsposition.
-
Data kilder:
- ISMS.online State of Information Security 2024-data, undersøgelse udført af det uafhængige markedsundersøgelsesfirma Censuswide.
- 2023 Action Fraud-data fra anmodningen om informationsfrihed FOI2024/00990, City of London Police, modtaget 25/7/2024.
- 2024 Action Fraud-data fra National Fraud Intelligence Bureau Dashboard, indsamlet 25/7/24.
*Disse data inkluderer ikke oplysninger fra Police Scotland, som er ansvarlig for indsamling og håndhævelse af svigagtig aktivitet, der påvirker skotske ofre. Dataene leveret af Action Fraud vedrører svigagtig aktivitet i England, Wales, Nordirland og svigagtig aktivitet rapporteret direkte til Action Fraud af skotske organisationer og enkeltpersoner.
**Gennemsnitligt tab pr. rapport beregnet ved at dividere økonomisk tab med rapportvolumen
***Gennemsnitsbøde beregnet ved at dividere middelbøde med respondentantal
[1] https://assets.publishing.service.gov.uk/media/645b7b87479612000fc29318/nfib-fraud-april-2023.pdf
