Trusselsniveauet er højt – alligevel halter det med cybersikkerheden

Det halter fortsat alvorligt med cybersikkerheden i danske virksomheder. Det gælder specielt de mindre og mellemstore, men store virksomheder og offentlige institutioner kan også gøre det bedre, siger Janus Sandsgaard, der er chefkonsulent i Tekniq Arbejdsgiverne med fokus på cybersikkerhed.

Janus Sandsgaard, chefkonsulent i Tekniq Arbejdsgiverne.. Foto: Tekniq Arbejdsgiverne

09.08.2024

Poul Breil-Hansen, SCM.dk

Da forsvarsminister Troels Rasmussen gik på scenen på årets Folkemøde og opfordrede befolkningen til at forberede sig til tre dage uden strøm, satte det en mindre folkevandring i gang mod byggemarkeder og dagligvarebutikker for at ”preppe”.

 Men trods daglige cyberangreb gennem lang tid har mange virksomheder fortsat ikke forberedt sig.

”Cybersikkerheden sejler i Danmark,” fastslår Janus Sandsgaard.

Danmark er et af verdens mest gennem digitaliserede samfund, men på sikkerhedsområdet er vi fortsat på ”kravlestadiet”, mener chefkonsulenten.

”35 pct. af landet SMV´ere har for lav sikkerhed, viser tal fra Digitaliseringsstyrelsen. Samtidig viser undersøgelsen, at 64 pct. af ledelserne i landets mindre og mellemstore virksomheder kun i nogen grad eller lille grad involverer sig i arbejdet med digital sikkerhed. Det synes jeg, er alarmerende,” siger han.

En forklaring på chefernes manglende engagement i virksomhedens digitale sikkerhed er, at det er blevet betragtet som noget teknisk, som de ikke behøver at forholde sig til.

”Men det er en helt forkert indstilling,” mener Janus Sandsgaard, der jævnligt holder foredrag om digital sikkerhed og om de forholdsvis enkle tiltag, der kan gøre en virksomhed mere modstandsdygtig overfor cyberangreb.

”Cybersikkerhed handler ikke om bits og bytes, men om at håndtere risici, og det er ledelsens ansvar, og handler i sidste ende om virksomhedens overlevelse”.

”Det er umuligt fuldstændigt at forhindre angreb, lige som der heller ikke findes 100 pct brand- eller ind indbrudssikkerhed. Men det gode er, at man med forholdsvis få midler kan holde det meste skidt døren,” siger han.

Dem kommer vi tilbage til. For det er ikke alene i de mindre og mellemstore virksomheder, at det står sløjt til med IT-sikkerheden.

Det gør det i den grad også i offentlige virksomheder og institutioner. Det afslørede en undersøgelse, som Rigsrevisionen gennemførte i december 2023, hvor krigen i Ukraine som bekendt var i fuld gang og cyberangreb mod private og offentlige virksomheder i Danmark en dagligdags begivenhed.

Rigsrevisionen gennemgik i alt 25 af statens ca. 90 samfundskritiske it-systemer. 

”Statsrevisorerne kritiserer, at der for 7 af de 12 undersøgte samfundskritiske it-systemer ikke er sikret et tilfredsstillende it-beredskab. Det indebærer risiko for, at staten ikke kan opretholde eller markant får forstyrret løsningen af samfundskritiske opgaver i tilfælde af større it- nedbrud, hackerangreb, fysiske skader e.l.,” hedder det i undersøgelsen.

Eller sagt med andre ord:

”7af 12 samfundskritiske it-systemer mangel beredskab og er sårbare. Hvis de bliver angrebet eller på anden vis går i udu, er vi på spanden,” lyder oversættelsen fra Janus Sandsgaard.

Samtidig viste undersøgelsen, at 10 pct. af statens servicere ikke længere kan sikkerhedsopdateres, fordi de kører med forældet software.

Trusselsniveauet er hævet

Siden undersøgelsen er trusselsniveauet hævet og det fik i juni statsrevisorformand Mette Abildgaard (K) til at gentage sin kritik af den manglende sikkerhed, som hun kaldte ”dybt bekymrende”:

”Det kan få enorm indvirkning på danskernes sikkerhed og hverdag. Vi kan ikke gå ud og sige, hvilke systemer det er. Jeg kan ikke engang sige, hvilke ministerier der er ansvarlige. For det vil udgøre for stor en sikkerhedsrisiko. Vi (rigsrevisorerne, red). har bedt de ansvarlige ministerier give os besked, så snart vi kan offentliggøre, hvilke ministerier der er tale om - altså når det er bragt tilpas i orden. Det har vi ikke kunnet få lov til endnu, og det siger jo noget om, at vi ikke er lykkedes med at få de her systemer rettet op. Det er dybt bekymrende, sagde Mette Abildgaard til DR Nyheder den 12. juni.

Hvilke systemer, det så rent faktisk drejer sig om, holdes hemmeligt af sikkerhedsmæssige årsager.

Janus Sandsgaard peger på, at statens problemer med it-sikkerheden ikke længere kan fejes væk som ”teoretisk nørdestof”.

”Der skal handling til og penge på bordet. Der er fugt i fundamentet, og vi kan fikse det, men det kræver, at Christiansborg tager affære,” mener han.

Affære bør man også tage hurtigt muligt i de mange mindre og mellemstore virksomheder, hvor sikkerheden halter.

Det har traditionelt blevet søgt holdt indenbords, når en virksomhed er blevet ramt af et cyberangreb. Men det kan også være så voldsomt, at det ikke er muligt.

Det skete for A.P. Møller – Maersk, da selskabet i 2017 blev ramt af det hidtil største cyberangreb, som en dansk virksomhed er blevet udsat for. Det kostede virksomheden mellem 250 og 300 mio. dollar og førte til en gennemgang af hele it-strukturen i virksomheden for at skærpe sikkerheden.

Og truslerne mod it-sikkerheden er vokset markant i den senere tid.

Ifølge TDC Erhvervs sikkerhedsrapport for 1. kvartal i år, registrerede selskabet 13 mio. blokeringer af ondsindede domæner i dette kvartal, hvilket er 3 mio. flere end i hele 2023.

Oprydning efter angreb er kostbar

TDC Erhverv peger på, at det stadig kun er 1 ud af 5 virksomheder, der har en plan, hvis -eller når – de bliver ramt af et hackerangreb. Og det kan blive en dyr fornøjelse.

”For ransomware-angreb er den gennemsnitlige udgift på 376.350 kr., hvis virksomheden har mellem 10 og 49 ansatte.  Er der er over 50 ansatte, stiger udgiften til snit til omkring 2 mio. kr.,” skriver TDC Erhverv på baggrund af en rapport fra Ipsos, som selskabet har fået udarbejdet.

Undersøgelsen, der er blevet foretaget blandt 300 virksomheder på tværs af størrelser og brancher i december 2023 og januar 2024, viser også, at 4 ud af 5 af de adspurgte små virksomheder, der ikke har investeret i it-sikkerhed i det seneste år, heller ikke forventer at gøre det i det kommende år.

Janus Sandsgaard peger på, at det for den mindre og mellemstore virksomhed er forholdsvis enkle tiltag, der skal til for at gøre det sværere for it-kriminelle at trænge ind i systemerne.

Sikkerdigital.dk som er den portal, hvor Erhvervsstyrelsens og Digitaliseringsstyrelsen rådgiver om it-sikkerhed kommer med syv råd, som ifølge Janus Sandsgaard er råd, som de fleste virksomheder kan gå i gang med at følge ”i princippet i morgen”.

”Følger man de råd, går man fra ingenting til noget meget bedre. Det er aldrig muligt at gardere sig 100 pct., men det gælder for it-sikkerheden som for huset derhjemme. Hvis jeg sætter en lidt bedre lås på døren, går tyveknægten over til naboen,” siger han.

Og den bedre lås er i overført betydning de anbefaler som it-sikkerhed, som du kan læse herunder.

SikkerDigitals syv gode råd om it-sikkerhed

Rådene er særligt målrettet de mindre virksomheder, der ikke selv har dedikerede medarbejdere på it-området.

  1. Skab overblik over dine vigtige data og systemer.
  2. Opdater alle virksomhedens programmer løbende.
  3. Køb antivirus og firewall
  4. Tag backup af virksomhedens data
  5. Lær at spotte mistænkelige data
  6. Lav stærke adgangskoder og brug to-faktor login
  7. Stil sikkerhedskrav til IT-leverandøren.

Læs mere på sikkerdigital.dk

Descartes

Sponseret

Toldbehandling fra Descartes – øg resiliensen i forsyningskæden

AGR

Sponseret

Er dit ERP nok til lagerstyring? Sådan lukker AGR hullerne i forsyningskæden

Relateret indhold

03.12.2024Columbus

Sponseret

Kan du spore sundhedsskadelige fødevarer i en fart?

02.12.2024Columbus

Sponseret

Madspild for milliarder er at ødsle med ressourcerne

29.11.2024Implement Consulting Group

Sponseret

Where is SAP going with AI?

28.11.2024Zetes

Sponseret

ImageID Technology brings instant quality checks to manual warehouse processes

28.11.2024Columbus

Sponseret

Pindstrup vælger Columbus som strategisk ERP-partner i deres digitale transformationsrejse

27.11.2024SCM.dk

Trivielle arbejdsopgaver kan udryddes med AI

27.11.2024SCM.dk

Kunstig intelligens viser sit værd med vilde produktivitetsforbedringer

27.11.2024Columbus

Sponseret

Columbus og Hydrema udvider succesrigt samarbejde med ny Digital Commerce-aftale

Jobmarked

Se alle

Hold dig opdateret med SCM.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor ledelse af forsyningskæden, Nyhedsbrevet kommer kun to gange pr. uge.

Se flere temaer

Events

Se alle
DTU Learn for Life
Efteruddannelse
Supply Chain Management (SCM)

Få kompetencer til at designe og lede effektive produktions- og forsyningskæder, også kaldet supply chains, som er en forudsætning for virksomhedens konkurrenceevne.

Dato

31.10.2024

Tid

09:00

Sted

Lautrupvang 15. 2750 Ballerup

Bureau Veritas
Kursus
CSRD-rapportering

EU’s Corporate Sustainability Reporting Directive (CSRD) er en game changer for bæredygtighedsrapportering, da det blandt andet fastsætter ensartede metoder og måleenheder for virksomheders rapportering af miljømæssige, sociale og ledelsesmæssige aspekter (ESG).

Dato

07.11.2024

Sted

Oldenborggade 25-31, 7000 Fredericia

Bureau Veritas
Webinar
Webinar: Learn about AQAP2110 Standards and their requirements

Did you know that suppliers of products and services to the NATO Member Countries Defence Acquisition and Logistics Organizations often must meet relevant NATO quality standards outlined in the AQAP - Allied Quality Assurance Publications?

Dato

11.12.2024

Tid

13:00

Sted

Online

DTU Learn for Life
Efteruddannelse
Projektledelse – metoder og værktøjer - dag

Vil du være projektleder – eller ønsker du at opkvalificere dine projektlederkompetencer? Så tilmeld dig dette kursus, som også er et diplom modul, og styrk dine evner til at planlægge, styre og følge op på projekter.

Dato

27.01.2025

Tid

09:00

Sted

Lautrupvang 15. 2750 Ballerup

DTU Learn for Life
Efteruddannelse
Grundlæggende objektorienteret programmering

Vil du opkvalificere dine evner inden for objektorienteret programmering? Så tilmeld dig dette kursus, som også er et diplommodul, og få kompetencer til at designe objektorienterede programløsninger for din virksomhed.

Dato

27.01.2025

Tid

17:00

Sted

Lautrupvang 15. 2750 Ballerup

DTU Learn for Life
Efteruddannelse
Projektledelse – metoder og værktøjer - aften

Vil du være projektleder – eller ønsker du at opkvalificere dine projektlederkompetencer? Så tilmeld dig dette kursus, som også er et diplom modul, og styrk dine evner til at planlægge, styre og følge op på projekter.

Dato

27.01.2025

Tid

17:00

Sted

Lautrupvang 15. 2750 Ballerup