De mest skadelige datainnbruddene kan forebygges: Slik gjør du det

Av Phil Muncaster • 17 juli 2025

Vi vet alle at mange organisasjoner kunne blitt bedre på databeskyttelse. Den britiske regjeringens Cyber Security Breaches Survey 2025 fremhever en hel liste med mangler – fra bevisstgjøringstrening til hendelsesrespons – som indirekte utsetter dem for cyberrisiko. Selv eksistensen av et strengt rammeverk for databeskyttelse (GDPR/databeskyttelsesloven 2018) de siste syv årene har ikke bidratt til å demme opp for utviklingen. myndighetenes krav Over to femtedeler (43 %) av britiske bedrifter har opplevd et angrep eller sikkerhetsbrudd de siste 12 månedene.

Det er imidlertid gode muligheter for raske gevinster, noe som fremheves av en ny rapport fra Huntsman SecurityDen bemerker at 30 % av hendelsene som ble rapportert til databeskyttelsesmyndighetene i Storbritannia og Australia i fjor, var ansvarlige for 90 % av ofrene for sikkerhetsbrudd. Rapportens funn kan dermed gi et nyttig sted for organisasjoner med knappe pengestyrker å fokusere sin umiddelbare innsats på.

Hvordan Storbritannia og Australia skiller seg

Huntsman Security sendte inn en forespørsel om informasjonsfrihet (FOI) til både det britiske informasjonskommisjonærens kontor (ICO) og det australske informasjonskommisjonæren (OAIC). Resultatene gir et litt ulikt bilde av det regulatoriske og sikkerhetsmessige landskapet for bedrifter i hvert land.

UK: Av de 9,654 datasikkerhetshendelsene som ble rapportert av britiske firmaer til ICO i fjor, var 2,817 (29 %) knyttet til brute-force-angrep, skadelig programvare, phishing, ransomware og systemfeilkonfigurasjoner. Likevel utgjorde disse hendelsene nesten 80 % av ofrene for sikkerhetsbruddet: 13.9 millioner av 17.6 millioner.

Huntsman Security hevdet at disse også representerte 90 % av cyberrelaterte datasikkerhetshendelser, noe som betyr at et fokus på sikkerhetskontroller kan være en effektiv måte å redusere dem på. Mange var tilsynelatende svært målrettede og derfor utformet for å resultere i tyveri av verdifulle data som helsejournaler, økonomisk informasjon og identitetsdokumenter.

Australia: Totalt 1,188 hendelser (32 % av det totale antallet rapporterte hendelser mellom 2022/24) involverte brute-force-angrep, skadelig programvare, phishing, ransomware, hacking og uautorisert tilgang. Disse var ansvarlige for 77 % av alle kompromitterte dokumenter. Rapporten avslører også at kriminelle angrep (i motsetning til utilsiktede sikkerhetsbrudd) sto for 62 % av alle sikkerhetsbrudd, men 98 % av alle ofre.

Rapporten fremhever også at det i Australia tok organisasjoner 48 dager å identifisere disse bruddene og 86 dager før de ble rapportert til OAIC. Det er rett og slett ikke tillatt i henhold til GDPR, der varsling i de fleste tilfeller må skje innen 72 timer.

Der Storbritannia mislykkes

Disse funnene stemmer noe overens med den britiske regjeringens rapport om brudd på regelverket. Som tidligere rapportert av ISMS.online, Den fremhever en rekke problemer som bidrar til en økning i forebyggbare datainnbrudd, inkludert en generell mangel på:

Opplæringsprogrammer for ansatte, hvor opptaksraten ikke hadde endret seg fra fjorårets rapport
Risikovurderinger av tredjepartsleverandører, som bare ble utført av 32 % av mellomstore og 45 % av store bedrifter
Ulykkesplaner, som bare ble brukt av halvparten (53 %) av mellomstore bedrifter og tre fjerdedeler (75 %) av store bedrifter
Strategi for nettsikkerhet: bare 57 % av mellomstore bedrifter og 70 % av større firmaer hadde engang en
Styrerepresentasjon for cyber: Bare halvparten (951 %) av mellomstore bedrifter og to tredjedeler (66 %) av store bedrifter hadde noen ved toppbordet med ansvar for cyberstrategi – et tall som er så godt som uendret på tre år.
Månedlige cyberoppdateringer for bedriftsledere, noe bare 39 % av mellomstore og 55 % av store bedrifter gjør

Samsvarer beste praksis med standarder

Det er ett forbehold knyttet til tallene fra Huntsman Security. De teller bare hendelser der en årsak kunne identifiseres for hvert brudd. Mange flere har kanskje ikke tildelt en på grunn av dårlig etterforskning eller hendelsesrespons. Imidlertid fremhever de fortsatt et viktig budskap. Ved å fokusere på hendelsestypene og truslene ovenfor, samt beste praksis for cybersikkerhetsprosesser som er kjent for å redusere disse risikoene, kan sikkerhetsteam oppnå noen nyttige raske gevinster.

Morten Mjels, administrerende direktør i konsulentfirmaet Grønn ravn, argumenterer for at kultur er nøkkelen til å sikre at beste praksis følges.

«Endringen må komme ovenfra og ned, og du kan endre kulturen ved ganske enkelt å implementere flere fremgangsmåter samtidig», sier han til ISMS.online. «Hvis du ikke aner hva din potensielle eksponering er, få en risikovurdering utført profesjonelt. De vil kunne finne hullene i veggene dine og kan hjelpe deg med å fikse dem. Ikke stol på at IT-folkene dine fikser alt; de er ikke allvitende mirakelarbeidere.»

Piers Wilson, sjef for produktledelse i Huntsman, forteller ISMS.online at standarder og rammeverk som ISO 27001 og ISO 27701 «kan være en viktig del av å redusere cyberrisikoer ved å sikre at organisasjoner forstår risikoene sine, følger beste praksis og definerer passende kontroller».

Han legger til: «Det viktigste er å velge hvilket rammeverk du bruker: enten ISO, NIST eller mindre, mer fokuserte standarder og ordninger som Cyber Essentials eller Australias Essential Eight.»

Målet gjennomgående bør være å etablere et sett med kontroller som er allment forstått og anerkjent, og som deretter anvendes universelt, legger han til.

«I de fleste tilfeller er ikke intensjonen eller policyen problemet; det er utførelsen. Overholdelse av standarder kan risikere å bli en avkrysningsøvelse, og tempoet i revisjon og rapportering er kanskje ikke hyppig nok for moderne, skiftende cybertrusler», argumenterer Wilson.

«En årlig revisjon eller kvartalsrapport vil ikke gi den sanntidsoversikten og forståelsen av sårbarheter som det moderne trussellandskapet krever. Mellom disse revisjonene kan organisasjonens holdning svinge og være i stor grad usikker.»

Derfor krever ISO 27001 at organisasjoner gjennomfører regelmessige interne revisjoner og kontinuerlig overvåking for å drive kontinuerlig forbedring.

Wilson bemerker at effektiv kommunikasjon er avgjørende for å oppnå samsvar.

«Alle interessenter i en organisasjon, fra sikkerhetsanalytikere til risikostyringsteam og ledere, må raskt forstå om god, avtalt praksis følges, hvilke statlige kontroller som faktisk finnes, og hvem som er ansvarlig for å løse problemer», avslutter han.

«Det er avgjørende å sikre denne kontinuerlige synligheten og kommunikasjonen for at disse standardene skal ha den ønskede effekten.»

Phil Muncaster

Phil Muncaster har vært IT-journalist i 20 år. Han startet som reporter på IT-bedriftstittelen IT Week i 2005 og gikk videre til rollen som nyhetsredaktør før han dro for å satse på en frilanskarriere. Siden den gang har Phil skrevet for titler inkludert The Register, hvor han jobbet som Asia-korrespondent mens han hadde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Les mer fra Phil Muncaster

Cyber sikkerhet 3 februar 2026

WEF-rapport: Svindel er nå administrerende direktørers største cyberbekymring, men det er ikke den eneste

Fem år er lang tid innen cybersikkerhet. Likevel er det så lenge Verdens økonomiske forum (WEF) har spurt administrerende direktører om sin globale cybersikkerhetsrapport...

Phil Muncaster

Cyber sikkerhet 27 januar 2026

personvern betyr noe hva compliance-team kan forvente i 2026 banner

Personvern er viktig: Hva samsvarsteam kan forvente i 2026

28. januar er den globale personvernedagen – en anledning til å feire retten til personvern og databeskyttelse som mange av oss tar for gitt i dag. Det var...

Phil Muncaster

Cyber sikkerhet 20 januar 2026

Å lukke gapet i styring av kunstig intelligens med ISO 42001

Storbritannia har et problem med styring av kunstig intelligens. Dette var kanskje ikke et problem for noen år siden, da prosjekter var spredte i de fleste organisasjoner. Men i dag...

Phil Muncaster