Evaluating applied information security measures - an analysis of the data from the Norwegian Computer Crime Survey 2006

Date Issued
2007
Keywords
Kritisk infrastruktur
Informasjonssikkerhet
Datasikring
Project number
2007/02558
Permalink
http://hdl.handle.net/20.500.12242/2080
Collection
Rapporter
07-02558.pdf
Size: 470k
Abstract
Forfatteren deltok i arbeidet med Mørketallsundersøkelsen sammen med Datakrimutvalget i Næringslivets sikkerhetsråd (NSR) fra januar 2006 frem til arbeidet ble presentert på Sikkerhetskonferansen i september 2006. Etter dette har forfatteren jobbet videre med analyse av datamaterialet. Rapporten gir en oversikt over dette arbeidet og presenterer resultatet av analysen. Hvor sårbare er norske virksomheter for bortfall av Internettbaserte tjenester og hvor alvorlige er konsekvensene av de rapporterte hendelsene? Analysen bekrefter at norske bedrifter er sterkt avhengig av IT og Internett, men de som har erfart datakriminalitet, rapporterer at konsekvensene er små. Dette samsvarer med lave anmeldelsestall og lave rapporterte økonomiske tap. Hvilke sikkerhetstiltak har norske bedrifter implementert for å imøtegå datakriminalitet og hvordan samsvarer praksisen med gode sikkerhetsprinsipper? En taksonomi basert på gode sikkerhetsprinsipper (forsvar i dybden og forsvar i bredden) er utviklet for å besvare dette spørsmålet. Studien adresserer mange sikkerhetstiltak, og to viktige tendenser bør kommenteres: Bruken av forebyggende tiltak synes mer utbredt enn bruken av tiltak som har til formål å beskytte bak ”forsvarsmuren” og redusere konsekvenser av hendelser. Vi ser samme tendens i forbindelse med outsourcing av IT-kontrakter der økonomisk ansvar og erstatning i liten grad er inkludert i kontraktene. Funnene samsvarer også med at en liten andel av bedriftene har rutiner for faktisk å beregne tapene. Dessuten, noen organisatoriske tiltak er undersøkt, og disse synes å være brukt i mye mindre utstrekning enn tekniske modne sikkerhetsteknologier. Det er ingen forskjell på bedriftsstørrelse her, selv om store bedrifter jevnt over har flere sikkerhetstiltak implementert. Sammenholdt med prinsipper for god sikkerhet, er dette en klar svakhet i norske bedrifter. Rapporterer bedrifter som har implementert sikkerhetstiltak færre hendelser, lavere økonomisk tap og høyere økonomisk avkastning på kapitalen enn dem som ikke har implementert sikkerhetstiltak? Statistisk korrelasjonsanalyse viser at de som har mange tiltak implementert oftere rapporterer hendelser. Vår tolkning er at disse bedriftene er mer sikkerhetsbevisst og har dermed bedre deteksjonsevne. Korrelasjonsanalyser av datamaterialet viser også en signifikant, men meget svak korrelasjon mellom økonomisk avkastning og sikkerhetstiltak. En mulig forklaring ligger at økonomisk resultat avhenger mer av andre variabler enn sikkerhet. Sikkerhet er en bi-innsatsfaktor. Korrelasjonsanalyser av sikkerhetstiltak og rapporterte økonomiske tap viser ingen signifikante sammenhenger, men validiteten på rapporterte tap er lav. Hva er styrken og svakheten ved undersøkelsen? Den norske Mørketallsundersøkelsen gir verdifull informasjon til både myndigheter og bedrifter fordi det ikke blir innhentet systematisk statistikk på dette feltet. Den kan styrke sin posisjon ved flere tiltak som for eksempel vektlegge tidsseriestudier, høyere kvalitet på spørsmål og mer samarbeid med forskning. På sikt kan den ha et potensial som et informasjonssikkerhetsbarometer som sier noe om trender og nivå.
The author was engaged in the work with the Norwegian Computer Crime Survey from January 2006 and participated in the work with the design of the survey and the subsequent data analysis. The report gives a brief overview of the work. How vulnerable are Norwegian enterprises for outages in Internet services and how serious are the consequences of the reported computer crime incidents? The analysis confirms that Norwegian enterprises strongly depend on IT and Internet, but when they experience computer crime the respondents report the real consequences to be small or hardly notable. This result is in line with the marginal reporting of incidents to the police and the reported low/minor losses. Which security measures have Norwegian enterprises implemented to mitigate computer crime and how does this practice correspond with good security principles? Taxonomies based on good security principles have been developed to answer this question. The survey addresses many security measures, and it is worth noting two important tendencies: first, the use of mature preventive measures is more widespread compared to measures that intend to detect and react if incidents occur; second, when outsourcing IT operations, liability and sanction are rarely included in outsourcing contracts. These findings can also be connected with the low percentage of enterprises that have routines for calculating the economic losses of computer crime. Moreover, a few organizational measures are examined in the survey. These measures are less used than preventive security technologies. User education and exercises are rarely used. Compared with good security principles the results reveal several holes in enterprises’ security strategies, particularly behind the perimeter security. Do enterprises that have implemented many security measures report fewer incidents and less losses, or higher financial returns compared with those that have invested less in security measures? The answer to the first part of the question is clearly “no”. Correlation analysis shows that those that have implemented more security measures more often report some kinds of security incidents in contrast to those that have not implemented measures. Also, the analysis shows a statitically significant, but weak (low absolute value) correlation between security measures and return of investment. One explanation may be that return of investment is rather due to management factors than security. Security is a bi-factor input. Correlation analysis of security measures and economic losses reveals no significant relationships. What are the strengths and weaknesses of the Norwegian Computer Crime Survey Questionnaire 2006 and process, and how could the survey become a security measurement tool for the government? A SWOT analysis shows that the survey can come to hold a significant position since statistics on computer crime is lacking. This requires, however, an analytical framework and an improvement of the quality of the survey questions.
View Meta Data