Cybersikkerhed læres på den hårde måde

1 ud af 5 produktions SMV’er har været ramt af cyberangreb inden for de sidste par år, og det tal vil formentlig kun stige de næste år. SMV’er er favoritmål for hackere, og samtidig dukker der flere og flere lovkrav op. Ny forskning viser, at de, der har været ramt, har større fokus på cybersikkerhed hos leverandører end, de der ikke har været ramt. Læs tre forskeres bud på, hvordan SMV’er med fordel kan anlægge forsyningskædeperspektiv på sikkerhedsarbejdet.

Ingen kæde er som bekendt stærkere end det svageste led. Tre forskere fra SDU anbefaler derfor, at cybersikkerhed får højere prioritet på ledelsesgangene. Foto: 123rf.com.

09.08.2024

Professor Jan Stentoft, Institut for Erhverv og Bæredygtighed, lektor Marco Peressotti og adjunkt Peter Mayer, Institut for Matematik og Datalogi, Syddansk Universitet., SCM.dk

I en landsdækkende spørgeskemaundersøgelse gennemført i foråret 2024 blandt 248 danske produktions SMV’er svarede 20% af respondenterne, at deres virksomheder indenfor de seneste par år har været ramt af cyberangreb. Cybersikkerhed er afgørende for SMV’er af flere grunde. SMV’er er i stigende grad mål for cyberkriminelle, som ofte ser SMV’er som et lettere bytte sammenlignet med større virksomheder med mere avancerede sikkerhedsforanstaltninger. Denne sårbarhed kan medføre betydelige økonomiske tab og dyre produktionstab. Derudover kan SMV’er være interessante for hackere, da angreb på dem kan give adgang til større virksomheders systemer gennem SMV’ens it-systemer. SMV’er håndterer ofte følsomme kundedata og forretningsoplysninger, og hvis disse bliver kompromitteret, kan det skade deres omdømme og underminere kundernes tillid. 

Samtidig bliver lovkravene strengere, hvilket kræver, at SMV’er overholder databeskyttelseslove som GDPR. Manglende overholdelse kan medføre store bøder og juridiske konsekvenser, hvilket understreger behovet for stærke cybersikkerhedspraksisser. Investering i cybersikkerhed styrker en SMV’s modstandsdygtighed og hjælper med at sikre forretningskontinuitet i tilfælde af cybertrusler - og så er det med til at reducere risikoen for driftsforstyrrelser. Desuden har den stigende afhængighed af digitale værktøjer og online platforme udvidet SMV’ers angrebsflade, hvilket gør cybersikkerhed til en central del af deres operationelle strategi. Beskyttelse af digitale aktiver samt sikring af integriteten og tilgængeligheden af online tjenester er afgørende for at opretholde forretningsdriften og bevare en konkurrencefordel. Det er derfor vigtigt, at SMV’er øger deres viden om og praksis i cybersikkerhed. Især i et forsyningskædeperspektiv.

Leverandørfokus
Deler vi de samlede svar op i to grupper i dem, som har været ramt af et cyberangreb indenfor de seneste par år og dem, der ikke har, får vi nogle interessante resultater. Figur 1 illustrerer, at virksomheder, der har været ramt af et cyberangreb, i høj grad (med et gennemsnit på 4,82 på en fem-punkts Likertskala) svarer, at de segmenterer leverandører, mens gennemsnittet for dem, der ikke har været ramt, ligger på 3,40. Resultatet kan indikere, at et cyberangreb har igangsat et strategisk arbejde med at segmentere leverandører for på den baggrund at arbejde med forskellige risikoprofiler. Figur 1 viser også, at dem, der har været ramt af et cyberangreb, i højere grad har fokus på 2.leds leverandører med et gennemsnit på 3,08 mod 2,61 for dem, der ikke har været ramt. Det, at de kun i nogen grad har fokus på 2.leds leverandører, bør ændres til et større fokus; men det kan være en udfordring for SMV’erne på grund af manglende ressourcer.   

Foto: SDU

Krav fra og til interessenter
Et andet interessant resultat fremgår af figur 2, der viser, hvordan forskellige interessenter stiller krav til cybersikkerhed. Generelt stilles der i lidt over nogen grav krav til cybersikkerhed fra bestyrelsen, og der er her et lidt større gennemsnit for dem, der har været ramt af et cyberangreb. Resultatet indikerer, at bestyrelser stadig har en opgave med at sætte fokus på cybersikkerhed. Figur 2 viser også, at investorer i høj grad stiller krav til cybersikkerhed blandt dem, der har været ramt af et angreb med et gennemsnit på 4,12 mod 2,86 for dem, der ikke har været ramt. Det er en markant forskel mellem de to grupper, hvilket kan indikere, at man har lært at fokusere på cybersikkerhed på den hårde måde. Myndighederne har i nogen grad spillet en rolle med krav, og her er det igen dem, der har været ramt, der opnår det højeste gennemsnit på 3,39 mod 2,71 for dem, der ikke har været ramt. Det er bemærkelsesværdigt, at krav til cybersikkerhed hos leverandører opnår lave gennemsnit for begge grupper. Dem, der har været ramt af angreb, stiller krav til deres leverandører med et gennemsnit på 2,47 mod 1,95 for dem, der ikke har været ramt. Kunderne stiller i gennemsnit krav til de to grupper på hhv. 2,67 for dem, der har været ramt og 2,57 for dem, der ikke har været ramt. Disse værdier, som ligger under i nogen grad, vidner om, at der stadig foreligger et udviklingsarbejde med at anlægge et forsyningskædeperspektiv på cybersikkerheden på henholdsvis kunde- og leverandørsiden.  

Foto: SDU

Konklusion
Udplukket af resultater fra den samlede undersøgelse viser, at de virksomheder, der har været ramt af et cyberangreb, arbejder mere med leverandørsegmentering, ligesom deres interessenter i højere grad stiller krav til cybersikkerhed, end det er tilfældet med dem, der ikke har været udsat for et angreb. Bestyrelserne i virksomhederne spiller den vigtigste rolle i at få arbejdet med cybersikkerhed igangsat med et samlet gennemsnit på 3,43 på en fem-punkts Likertskala. Gennemsnitsværdien på 3,43 udtrykker dog ikke et stærkt fokus fra bestyrelsen på trods af den massive opmærksomhed, der er rettet på denne problemstilling i medierne de seneste år. Krav fra investorer og krav fra kunder opnår endnu lavere gennemsnit på henholdsvis 2,91 og 2,55. Afslutningsvis er det bemærkelsesværdigt, at der i lav grad stilles krav til cybersikkerhed i leverandøraftaler. Ingen kæde er som bekendt stærkere end det svageste led. Det kan derfor anbefales, at cybersikkerhed får højere prioritet på ledelsesgangene.  

Bliv klogere

Læs den fulde cyberundersøgelse her.

Descartes

Sponseret

Toldbehandling fra Descartes – øg resiliensen i forsyningskæden

AGR

Sponseret

Er dit ERP nok til lagerstyring? Sådan lukker AGR hullerne i forsyningskæden

Denne artikel er del af et tema:

Tema: Den digitale forsyningskæde

Digitaliseringen og brug af både kendt og ny teknologi er afgørende for at være på forkant med konkurrenterne. Kunstig intelligens, robotter, RPA, 3D-print, cloud computing, IoT, digitale tvillinger med meget mere er aspekter, som alle virksomheder skal være vågne overfor. Samtidig skal der være styr på de grundlæggende it-systemer, data, sikkerhed og processer. Og ikke mindst oplæring og træning af medarbejderholdet. Udviklingen går hurtigt, og der er masser af nye og modne teknologier at vælge mellem. Men hvilke skaber værdi for din virksomhed, hvordan vælger du dem, og hvordan får du dem bedst implementeret? Det kan du blive klogere på i dette tema.

Relateret indhold

15.01.2025SCM.dk

Kæmpe satsning på udvikling af 3D-print i Danmark

15.01.2025SCM.dk

Danmark er bagud med at implementere Generativ AI

03.01.2025SCM.dk

Robotter valfarter ind i danske virksomheder

02.01.2025SCM.dk

Danmark kan spinde guld på produktion og salg af grøn brint

02.01.2025SCM.dk

Strømlinede skattebetalingsprocesser er guld for forsyningskæder

02.01.2025SCM.dk

Ny intelligent energistyring giver store besparelser for Dagrofa

23.12.2024SCM.dk

Indspark: Logistikken omkring kørende teknikere står på tærsklen til en AI-revolution

20.12.2024SCM.dk

Kunstig intelligens vil ikke fjerne behovet for medarbejdere

Hold dig opdateret med SCM.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor ledelse af forsyningskæden, Nyhedsbrevet kommer kun to gange pr. uge.

Se flere temaer

Events

Se alle
DTU Learn for Life
Efteruddannelse
Projektledelse – metoder og værktøjer - dag

Vil du være projektleder – eller ønsker du at opkvalificere dine projektlederkompetencer? Så tilmeld dig dette kursus, som også er et diplom modul, og styrk dine evner til at planlægge, styre og følge op på projekter.

Dato

27.01.2025

Tid

09:00

Sted

Lautrupvang 15. 2750 Ballerup

DTU Learn for Life
Efteruddannelse
Grundlæggende objektorienteret programmering

Vil du opkvalificere dine evner inden for objektorienteret programmering? Så tilmeld dig dette kursus, som også er et diplommodul, og få kompetencer til at designe objektorienterede programløsninger for din virksomhed.

Dato

27.01.2025

Tid

17:00

Sted

Lautrupvang 15. 2750 Ballerup

DTU Learn for Life
Efteruddannelse
Projektledelse – metoder og værktøjer - aften

Vil du være projektleder – eller ønsker du at opkvalificere dine projektlederkompetencer? Så tilmeld dig dette kursus, som også er et diplom modul, og styrk dine evner til at planlægge, styre og følge op på projekter.

Dato

27.01.2025

Tid

17:00

Sted

Lautrupvang 15. 2750 Ballerup

Bureau Veritas
Kursus
Root Cause Analysis (RCA)

Årsagsanalyse bruges til at forbedre produktkvalitet, minimere sikkerhedsrisici og opfylde regulative krav.

Dato

28.01.2025

Tid

08:30

Sted

Fredericia

DTU Learn for Life
Efteruddannelse
Det personlige lederskab og forandring - aften

Udvid og styrk dine personlige ledelseskompetencer og få udviklet dine samarbejdsevner og evner til at vække tillid hos medarbejdere.

Dato

28.01.2025

Tid

17:00

Sted

Lautrupvang 15. 2750 Ballerup

DTU Learn for Life
Efteruddannelse
Forretningsudvikling og ledelse

Vil du være med til at styrke din virksomheds beslutningsprocesser, planlægning, styring og drift? Så tilmeld dig kurset Forretningsudvikling og ledelse, som også er et diplommodul, og styrk dine kompetencer inden for organisering, ledelse og strategi.

Dato

28.01.2025

Tid

17:00

Sted

Lautrupvang 15. 2750 Ballerup