Betalar hellre utpressare än investerar i it-säkerhet – ”en pedagogisk utmaning”

Svenska företag är betydligt mer benägna att betala utpressare bakom ransomware, gisslanprogram som låser datorer om man inte betalar en lösesumma, än företag i andra länder. Det visar en undersökning som NTT Security genomförde i slutet av sommaren. Drygt 2 000 chefer i 20 länder, varav drygt 100 i Sverige, har tillfrågats.

Även om frågorna inte är helt lättolkade – olika alternativ ställs mot varandra – så sticker Sverige ut rejält när det gäller hur många som uppger att de är beredda att betala om de utsätts för ransomware.

På frågan om den egna organisationen hellre betalar lösen än investerar i it-säkerhet svarar 59 procent av svenska företag att de hellre betalar. Snittet i de 20 länderna ligger på 33 procent.

Bland annat ligger Norge på 40 procent medan USA och Nederländerna ligger på 30 procent.

Orsaken är att man helt enkelt bedömer att det blir billigare att betala än att investera.

Hellre lösen än böter 

Även när det gäller frågan om man hellre skulle betala lösen än böter för att inte ha följt dataskyddslagen ligger svenska företag mycket högre än genomsnittet. 57 procent säger sig hellre betala i Sverige mot 37 procent internationellt.

I undersökningen tolkas det som att företagen är oroliga för sin förmåga att hantera regleringsfrågorna och att man inte har någon effektiv incidenthanteringsplan.

– Vi har inte utforskat varför benägenheten att betala är större i Sverige utan kan bara konstatera att svenska företag inte verkar ha några samvetsproblem med det , säger Björn Lantto, säkerhetsexpert på NTT Security.

Det verkar dock inte handla om att svenska företag underskattar it-säkerhetsfrågorna Tvärtom ligger en it-attack mot den egna organisationen det som oroar dem mest – 38 procent pekar ut det. Och även om över hälften svarat att de hellre betalar lösen än investerar i it-säkerhet så anser mer än två tredjedelar att cybersäkerhet är en avgörande eller helt avgörande fråga.

– Globalt ligger finansiell kris på en klar förstaplats – 51 procent pekar ut det – medan det kommer på tredje plats i Sverige, säger Björn Lantto.

Gett upp

Han tror att det kan handla om att de svenska företagen har gett upp lite inför hoten.

– De tycker att de provat på och köpt allting men ändå blir hackade.

Samtidigt drar han paralleller till hur fartyg förr kapades och betalade lösen medan det skedde i det tysta. Men i takt med att det blev allt dyrare och började uppmärksammas mer så började de skydda sig mer i stället.

– Det är litegrann samma tongångar nu. Än så länge ser man det som billigare att betala men i takt med att summorna höjs och även försäkringspremier så kommer det att förändras, säger Björn Lantto.

Svårt att analysera

Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen, tycker det är svårt med de hypotetiskt ställda frågorna och konstaterar att hennes intryck tvärtom är att vi i Sverige normalt inte betalar lösen när det blir skarpt läge.

– När man exempelvis pratar med kommuner som drabbats på ett eller annat sätt är attityden att man inte betalar. Att det finns en bra tradition med säkerhetskopior som gör att det inte blir så stora dataförluster, säger hon.

– Om det stämmer att företagen hellre betalar ransomware än investerar i förebyggande informationssäkerhet har vi som jobbar med säkerhet en pedagogisk utmaning.

Läs också: Nya hotet mot din dator – så skyddar du dig mot ransomware