Datakriminalitet i Norge: de mørke tallene

Abstract

NORSK: Bruken av Internett har ført til en globalisering av datakriminalitet. I økende grad er det ressurssterke organiserte miljøer som står bak de alvorligste sakene. Dagens teknologi gjør det mulig å gjennomføre avansert datakriminalitet uten at det nødvendigvis kan spores tilbake til de ansvarlige. I denne rapporten har vi satt søkelyset på omfanget av datakriminalitet som norske virksomheter utsettes for og hva som kan gjøres for å få flere virksomheter til å anmelde datakriminalitet. Dette har vi gjort ved å gjennomføre en spørreundersøkelse blant medlemmer av IT-SikkerhetsForum (ISF), ved å benytte datagrunnlaget fra Mørketallsundersøkelsen for 2006 og ved å gjennomføre intervjuer med virksomheter som har anmeldt datakriminalitet. Videre har vi intervjuet en representant fra Kripos og fått innspill fra en tidligere datakriminell. Ved analyser av datagrunnlaget fra Mørketalsundersøkelsen 2006 har vi funnet en del rapporteringer i forbindelse med datakriminelle hendelser, som vi mener er usikre eller direkte feil. Vi anser at enkelte virksomheter kan ha misforstått spørsmålsstillingen, at det kan være feilrapporteringer eller at det kan ha skjedd feil ved den manuelle registreringen av dataene fra spørreskjemaene. Når vi i våre analyser utelukket disse rapporteringene fant vi at antall vellykkede og oppdagede hendelser var 48,9 % lavere enn det som ble presentert i Mørketallsundersøkelsen 2006. Noe som følgelig påvirket våre estimater for mørketall.Ett av rapportens bidrag er å beskrive hvorfor norske virksomheter ikke anmelder datakriminelle hendelser. I den forbindelse har vi sett at den vesentligste årsaken, basert på våre dataanalyser, er at virksomhetene mente at sakene var ubetydelig. Vi antar at dette kan henge sammen med det faktum at den hendelseskategorien som oppnådde flest rapporteringer var "infeksjon av virus/orm/trojaner". Det fremkommer av våre intervjuer at virksomhetene ikke hadde anmeldt alle hendelser de har vært utsatt for. Noen av virksomheter opplyste at det er usikkert hvorvidt de vil gjennomføre en anmeldelsesprosess neste gang de blir utsatt for visse typer datakriminalitet. De hadde erfart at dette hadde vært meget ressurskrevende, ikke minst i forhold til bevissikring. Dessuten ble sakene henlagt. Videre har våre intervjuer vist at dersom det ønskes at flere virksomheter skal anmelde datakriminalitet bør de få informasjon om hvordan de skal håndtere datakriminelle hendelser. I denne rapporten har vi også vurdert hvorvidt medlemmer av ISF har et større fokus på informasjonssikkerhet enn virksomhetene som deltok i Mørketallsundersøkelsen. Våre resultater viser at ISFs medlemmer i større grad har implementert tekniske og formelle sikringstiltak enn virksomheter som deltok i Mørketallsundersøkelsen. Videre har de i større grad rapportert og anmeldt datakriminelle hendelser. Rapporten bidrar til slutt med veiledninger for håndtering av datakriminelle hendelser og for sikring av elektroniske bevis.

ENGELSK: The use of internet has enabled a globalisation of computer crime and the crimes are increasingly being committed by resourceful organized criminal syndicates. With today's technology it is feasible to commit a computer crime without being detected and prosecuted. In this report we have focused on the extent of computer crime committed against Norwegian companies and on which actions that can be performed to change the companies' unwillingness to report computer crime to the police authorities. Our work is based on a survey among members of IT-SikkerhetsForum (ISF), the dataset from Mørketallsundersøkelsen 2006 and interviews with companies which have reported computer crime. Furthermore we have interviewed a representative from Kripos and have received a contribution from a former computer criminal. When we analysed and interpreted the dataset from Mørketallsundersøkelsen 2006 we discovered that some of the numbers reported by the companies in regards to computer criminal incidents were suspiciously high. We deemed that some of the companies could have misinterpreted the questions, hence given too high numbers, or that mistakes had been made when the data from the questionnaires were manually registered. In our analyses we have disregarded these data and considered them to be statistical outliers, thus our calculation of the total number of computer criminal incidents given by the respondents of Mørketallsundersøkelsen 2006 is 48,9 % lower than previously reported. Accordingly, our estimate of computer crime committed against Norwegian companies is in all considerably lower. One of this report's contributions is to describe why Norwegian companies fail to report computer crime to the police authorities. Our analyses show that the most common reason is because the companies did not consider the incident to be serious enough. We have made an assumption that this is due to the fact that infection by virus/worm/trojans is the incident that most companies have experienced. Furthermore, throughout our interviews we learned that the companies had not chosen to report all incidents, and that some are unsure of whether they will report a computer crime the next time they are affected. They have experienced that the process of handling and reporting a computer crime is resource-demanding, and that the cases they reported were dropped. Most of our interviewees called for guidelines on how to handle computer crime. In this report we have also compared the dataset from the ISF-survey with the dataset from Mørketallsundersøkelsen 2006. Our analyses disclose that ISF-members to a greater degree have implemented technical and formal safety measures, and that they experience more computer crime and that more of these crimes have been reported. This report includes a guideline on handling a computer crime incident and a guideline for the collection of electronic evidence.