Cybersikkerhed læres på den hårde måde

I en landsdækkende spørgeskemaundersøgelse gennemført i foråret 2024 blandt 248 danske produktions SMV’er svarede 20% af respondenterne, at deres virksomheder indenfor de seneste par år har været ramt af cyberangreb. Cybersikkerhed er afgørende for SMV’er af flere grunde. SMV’er er i stigende grad mål for cyberkriminelle, som ofte ser SMV’er som et lettere bytte sammenlignet med større virksomheder med mere avancerede sikkerhedsforanstaltninger. Denne sårbarhed kan medføre betydelige økonomiske tab og dyre produktionstab. Derudover kan SMV’er være interessante for hackere, da angreb på dem kan give adgang til større virksomheders systemer gennem SMV’ens it-systemer. SMV’er håndterer ofte følsomme kundedata og forretningsoplysninger, og hvis disse bliver kompromitteret, kan det skade deres omdømme og underminere kundernes tillid. 

Samtidig bliver lovkravene strengere, hvilket kræver, at SMV’er overholder databeskyttelseslove som GDPR. Manglende overholdelse kan medføre store bøder og juridiske konsekvenser, hvilket understreger behovet for stærke cybersikkerhedspraksisser. Investering i cybersikkerhed styrker en SMV’s modstandsdygtighed og hjælper med at sikre forretningskontinuitet i tilfælde af cybertrusler - og så er det med til at reducere risikoen for driftsforstyrrelser. Desuden har den stigende afhængighed af digitale værktøjer og online platforme udvidet SMV’ers angrebsflade, hvilket gør cybersikkerhed til en central del af deres operationelle strategi. Beskyttelse af digitale aktiver samt sikring af integriteten og tilgængeligheden af online tjenester er afgørende for at opretholde forretningsdriften og bevare en konkurrencefordel. Det er derfor vigtigt, at SMV’er øger deres viden om og praksis i cybersikkerhed. Især i et forsyningskædeperspektiv.

Leverandørfokus
Deler vi de samlede svar op i to grupper i dem, som har været ramt af et cyberangreb indenfor de seneste par år og dem, der ikke har, får vi nogle interessante resultater. Figur 1 illustrerer, at virksomheder, der har været ramt af et cyberangreb, i høj grad (med et gennemsnit på 4,82 på en fem-punkts Likertskala) svarer, at de segmenterer leverandører, mens gennemsnittet for dem, der ikke har været ramt, ligger på 3,40. Resultatet kan indikere, at et cyberangreb har igangsat et strategisk arbejde med at segmentere leverandører for på den baggrund at arbejde med forskellige risikoprofiler. Figur 1 viser også, at dem, der har været ramt af et cyberangreb, i højere grad har fokus på 2.leds leverandører med et gennemsnit på 3,08 mod 2,61 for dem, der ikke har været ramt. Det, at de kun i nogen grad har fokus på 2.leds leverandører, bør ændres til et større fokus; men det kan være en udfordring for SMV’erne på grund af manglende ressourcer.   

Krav fra og til interessenter
Et andet interessant resultat fremgår af figur 2, der viser, hvordan forskellige interessenter stiller krav til cybersikkerhed. Generelt stilles der i lidt over nogen grav krav til cybersikkerhed fra bestyrelsen, og der er her et lidt større gennemsnit for dem, der har været ramt af et cyberangreb. Resultatet indikerer, at bestyrelser stadig har en opgave med at sætte fokus på cybersikkerhed. Figur 2 viser også, at investorer i høj grad stiller krav til cybersikkerhed blandt dem, der har været ramt af et angreb med et gennemsnit på 4,12 mod 2,86 for dem, der ikke har været ramt. Det er en markant forskel mellem de to grupper, hvilket kan indikere, at man har lært at fokusere på cybersikkerhed på den hårde måde. Myndighederne har i nogen grad spillet en rolle med krav, og her er det igen dem, der har været ramt, der opnår det højeste gennemsnit på 3,39 mod 2,71 for dem, der ikke har været ramt. Det er bemærkelsesværdigt, at krav til cybersikkerhed hos leverandører opnår lave gennemsnit for begge grupper. Dem, der har været ramt af angreb, stiller krav til deres leverandører med et gennemsnit på 2,47 mod 1,95 for dem, der ikke har været ramt. Kunderne stiller i gennemsnit krav til de to grupper på hhv. 2,67 for dem, der har været ramt og 2,57 for dem, der ikke har været ramt. Disse værdier, som ligger under i nogen grad, vidner om, at der stadig foreligger et udviklingsarbejde med at anlægge et forsyningskædeperspektiv på cybersikkerheden på henholdsvis kunde- og leverandørsiden.  

Konklusion
Udplukket af resultater fra den samlede undersøgelse viser, at de virksomheder, der har været ramt af et cyberangreb, arbejder mere med leverandørsegmentering, ligesom deres interessenter i højere grad stiller krav til cybersikkerhed, end det er tilfældet med dem, der ikke har været udsat for et angreb. Bestyrelserne i virksomhederne spiller den vigtigste rolle i at få arbejdet med cybersikkerhed igangsat med et samlet gennemsnit på 3,43 på en fem-punkts Likertskala. Gennemsnitsværdien på 3,43 udtrykker dog ikke et stærkt fokus fra bestyrelsen på trods af den massive opmærksomhed, der er rettet på denne problemstilling i medierne de seneste år. Krav fra investorer og krav fra kunder opnår endnu lavere gennemsnit på henholdsvis 2,91 og 2,55. Afslutningsvis er det bemærkelsesværdigt, at der i lav grad stilles krav til cybersikkerhed i leverandøraftaler. Ingen kæde er som bekendt stærkere end det svageste led. Det kan derfor anbefales, at cybersikkerhed får højere prioritet på ledelsesgangene.