Cybersikkerhed læres på den hårde måde

1 ud af 5 produktions SMV’er har været ramt af cyberangreb inden for de sidste par år, og det tal vil formentlig kun stige de næste år. SMV’er er favoritmål for hackere, og samtidig dukker der flere og flere lovkrav op. Ny forskning viser, at de, der har været ramt, har større fokus på cybersikkerhed hos leverandører end, de der ikke har været ramt. Læs tre forskeres bud på, hvordan SMV’er med fordel kan anlægge forsyningskædeperspektiv på sikkerhedsarbejdet.

Ingen kæde er som bekendt stærkere end det svageste led. Tre forskere fra SDU anbefaler derfor, at cybersikkerhed får højere prioritet på ledelsesgangene. Foto: 123rf.com.

09.08.2024

Professor Jan Stentoft, Institut for Erhverv og Bæredygtighed, lektor Marco Peressotti og adjunkt Peter Mayer, Institut for Matematik og Datalogi, Syddansk Universitet., SCM.dk

I en landsdækkende spørgeskemaundersøgelse gennemført i foråret 2024 blandt 248 danske produktions SMV’er svarede 20% af respondenterne, at deres virksomheder indenfor de seneste par år har været ramt af cyberangreb. Cybersikkerhed er afgørende for SMV’er af flere grunde. SMV’er er i stigende grad mål for cyberkriminelle, som ofte ser SMV’er som et lettere bytte sammenlignet med større virksomheder med mere avancerede sikkerhedsforanstaltninger. Denne sårbarhed kan medføre betydelige økonomiske tab og dyre produktionstab. Derudover kan SMV’er være interessante for hackere, da angreb på dem kan give adgang til større virksomheders systemer gennem SMV’ens it-systemer. SMV’er håndterer ofte følsomme kundedata og forretningsoplysninger, og hvis disse bliver kompromitteret, kan det skade deres omdømme og underminere kundernes tillid. 

Samtidig bliver lovkravene strengere, hvilket kræver, at SMV’er overholder databeskyttelseslove som GDPR. Manglende overholdelse kan medføre store bøder og juridiske konsekvenser, hvilket understreger behovet for stærke cybersikkerhedspraksisser. Investering i cybersikkerhed styrker en SMV’s modstandsdygtighed og hjælper med at sikre forretningskontinuitet i tilfælde af cybertrusler - og så er det med til at reducere risikoen for driftsforstyrrelser. Desuden har den stigende afhængighed af digitale værktøjer og online platforme udvidet SMV’ers angrebsflade, hvilket gør cybersikkerhed til en central del af deres operationelle strategi. Beskyttelse af digitale aktiver samt sikring af integriteten og tilgængeligheden af online tjenester er afgørende for at opretholde forretningsdriften og bevare en konkurrencefordel. Det er derfor vigtigt, at SMV’er øger deres viden om og praksis i cybersikkerhed. Især i et forsyningskædeperspektiv.

Leverandørfokus
Deler vi de samlede svar op i to grupper i dem, som har været ramt af et cyberangreb indenfor de seneste par år og dem, der ikke har, får vi nogle interessante resultater. Figur 1 illustrerer, at virksomheder, der har været ramt af et cyberangreb, i høj grad (med et gennemsnit på 4,82 på en fem-punkts Likertskala) svarer, at de segmenterer leverandører, mens gennemsnittet for dem, der ikke har været ramt, ligger på 3,40. Resultatet kan indikere, at et cyberangreb har igangsat et strategisk arbejde med at segmentere leverandører for på den baggrund at arbejde med forskellige risikoprofiler. Figur 1 viser også, at dem, der har været ramt af et cyberangreb, i højere grad har fokus på 2.leds leverandører med et gennemsnit på 3,08 mod 2,61 for dem, der ikke har været ramt. Det, at de kun i nogen grad har fokus på 2.leds leverandører, bør ændres til et større fokus; men det kan være en udfordring for SMV’erne på grund af manglende ressourcer.   

Foto: SDU

Krav fra og til interessenter
Et andet interessant resultat fremgår af figur 2, der viser, hvordan forskellige interessenter stiller krav til cybersikkerhed. Generelt stilles der i lidt over nogen grav krav til cybersikkerhed fra bestyrelsen, og der er her et lidt større gennemsnit for dem, der har været ramt af et cyberangreb. Resultatet indikerer, at bestyrelser stadig har en opgave med at sætte fokus på cybersikkerhed. Figur 2 viser også, at investorer i høj grad stiller krav til cybersikkerhed blandt dem, der har været ramt af et angreb med et gennemsnit på 4,12 mod 2,86 for dem, der ikke har været ramt. Det er en markant forskel mellem de to grupper, hvilket kan indikere, at man har lært at fokusere på cybersikkerhed på den hårde måde. Myndighederne har i nogen grad spillet en rolle med krav, og her er det igen dem, der har været ramt, der opnår det højeste gennemsnit på 3,39 mod 2,71 for dem, der ikke har været ramt. Det er bemærkelsesværdigt, at krav til cybersikkerhed hos leverandører opnår lave gennemsnit for begge grupper. Dem, der har været ramt af angreb, stiller krav til deres leverandører med et gennemsnit på 2,47 mod 1,95 for dem, der ikke har været ramt. Kunderne stiller i gennemsnit krav til de to grupper på hhv. 2,67 for dem, der har været ramt og 2,57 for dem, der ikke har været ramt. Disse værdier, som ligger under i nogen grad, vidner om, at der stadig foreligger et udviklingsarbejde med at anlægge et forsyningskædeperspektiv på cybersikkerheden på henholdsvis kunde- og leverandørsiden.  

Foto: SDU

Konklusion
Udplukket af resultater fra den samlede undersøgelse viser, at de virksomheder, der har været ramt af et cyberangreb, arbejder mere med leverandørsegmentering, ligesom deres interessenter i højere grad stiller krav til cybersikkerhed, end det er tilfældet med dem, der ikke har været udsat for et angreb. Bestyrelserne i virksomhederne spiller den vigtigste rolle i at få arbejdet med cybersikkerhed igangsat med et samlet gennemsnit på 3,43 på en fem-punkts Likertskala. Gennemsnitsværdien på 3,43 udtrykker dog ikke et stærkt fokus fra bestyrelsen på trods af den massive opmærksomhed, der er rettet på denne problemstilling i medierne de seneste år. Krav fra investorer og krav fra kunder opnår endnu lavere gennemsnit på henholdsvis 2,91 og 2,55. Afslutningsvis er det bemærkelsesværdigt, at der i lav grad stilles krav til cybersikkerhed i leverandøraftaler. Ingen kæde er som bekendt stærkere end det svageste led. Det kan derfor anbefales, at cybersikkerhed får højere prioritet på ledelsesgangene.  

Bliv klogere

Læs den fulde cyberundersøgelse her.

Toyota Material Handling A/S

Sponseret

Ny Toyota Traigo48-serie med uovertruffent design og banebrydende ydeevne

Apport Systems A/S

Sponseret

Lagerstyring på autopilot - få dit lager til at tænke selv

Denne artikel er del af et tema:

Tema: Cybersecurity i forsyningskæden

Forestil dig hver enkelt del af din forsyningskæde som et potentielt mål for cyberangreb. Hackere ser disse svagheder som en buffet af muligheder. Og det er ikke bare tom snak – cyberangreb på forsyningskæder er firedoblet siden 2020.

Relateret indhold

31.03.2025SCM.dk

Udfordringer presser væksten i robotbranchen

27.03.2025SCM.dk

58 procent vil skære ned på USA’s cloud-udbydere

27.03.2025SCM.dk

Forsyningskæders cybersikkerhed er fulde af blinde vinkler

26.03.2025SCM.dk

AI-agenter: Fremtidens nøgle til effektivisering af arbejdsgange

26.03.2025Columbus

Sponseret

Enhancing manufacturing with AI: Microsoft Copilot for Sales explained

26.03.2025Columbus

Sponseret

Enhancing manufacturing with AI: Microsoft Copilot Studio explained

21.03.2025SCM.dk

Brug af kunstig intelligens i forsyningskæden medfører kun moderate gevinster

20.03.2025SCM.dk

CeramicSpeed styrker cybersikkerhed i trådløs vibrationssensor

Hold dig opdateret med SCM.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor ledelse af forsyningskæden, Nyhedsbrevet kommer kun to gange pr. uge.

Se flere temaer

Events

Se alle
Bureau Veritas
Kursus
OHSMS ISO 45001:2018 Lead auditor arbejdsmiljø (CQI IRCA-certificeret)

Ved succesfuld gennemførelse af vores CQI and IRCA-certificeret OHSMS ISO 45001:2018 Lead Auditor Arbejdsmiljøkursus vil du være i stand til at planlægge, gennemføre og afrapportere effektive 1., 2. og 3. parts audits af arbejdsmiljøledelsessystemer i henhold ISO 45001:2018 og i overensstemmelse med ISO 19011 og ISO 17021 standarderne.

Dato

31.03.2025

Tid

08:30

Sted

Nyborg

Slimstock Nordic
Konference
Supply Chain Club 2025

Sidste chance for tilmelding!

Dato

01.04.2025

Tid

09:00

Sted

Comwell Kellers Park, Vejle

Bureau Veritas
Kursus
Risk Management

Uanset din virksomheds type eller størrelse, vil du møde interne eller eksterne risici, som skal vurderes og håndteres således, at de ikke får uforudsete konsekvenser for din virksomhed - og derfor er risk management en forankret del af ISO-standarderne.

Dato

02.04.2025

Tid

08:30

Sted

Fredericia

Toyota Material Handling A/S
Messe
Toyota Material Handling deltager på Transportmessen 2025

Mød os på på Transport 2025, som finder sted i Messecenter Herning d. 3-5. april. Få gratis adgang til messen – brug blot koden toyota2025, når du bestiller dine billetter online. Vi glæder os til at byde dig velkommen ved stand M9600.

Dato

03.04.2025

Tid

09:00

Sted

Herning Messecenter

Brother Nordic A/S
Messe
Transport 2025

Skandinaviens førende fagmesse inden for transportbranchen.

Dato

03.04.2025

Tid

09:00

Sted

Messecenter Herning

Bureau Veritas
Webinar
Webinar: Få styr på VSME - EU's nye frivillige standard for bæredygtighedsrapporting

EU-Kommissionen har for nyligt lanceret den såkaldte Omnibus-pakke, der skal forenkle kravene til virksomhedernes bæredygtighedsrapportering og styrke EU’s konkurrenceevne.

Dato

03.04.2025

Tid

11:00

Sted

Online på MS Teams