"Jeg hader at sælge it-sikkerhed på skræmmebilleder, men vi kan ikke komme udenom, at den digitalisering, der giver helt fantastiske muligheder for virksomheder og organisationer også udvider angrebsfladen for hackerne" - Kenneth Schwartz, Atea

Hackernes angrebsflade vokser i takt med digitaliseringen

Digitale løsninger medfører store fordele for erhvervslivet, men udvider samtidig angrebsfladen for ondsindede hackere. Effektiv it-sikkerhed handler mest om kultur, og resten bør overlades til fagfolk, siger to eksperter.

Truslen mod danske virksomheders it-sikkerhed kan komme mange steder fra. Det kan være en skoledreng, der netop har downloadet det seneste hackerprogram – og det kan være kæmpestore regeringssponsorerede hackergrupper, der både er dygtige og disciplinerede.

Fælles for dem er, at deres muligheder for bryde ind i it-systemer for at stjæle, låse eller slet og ret ødelægge – vokser i takt med at flere og flere processer i erhvervs­livet digitaliseres og dermed forbindes med internettet.

Det er en situation, der stiller store krav til virksomhederne, der selvfølgelig gerne vil høste digitaliseringens frugter, siger director of security hos it-leverandøren ATEA, Kenneth Schwartz.

“Jeg hader at sælge it-sikkerhed på skræmmebilleder, men vi kan ikke komme udenom, at den digitalisering, der giver helt fantastiske muligheder for virksomheder og organisationer også udvider angrebsfladen for hackerne. Dermed forudsætter en fortsat succesfuld digital transformation, at vi i endnu højere grad tænker it-sikkerhed ind i alle processer, og ikke mindst, at vi har en plan for, hvad vi skal gøre, hvis vi alligevel bliver ramt. ”

Tillid og anseelse er også på spil

Men det allervigtigste aspekt ligger faktisk et helt andet sted, fortsætter Kenneth Schwartz og fortæller, at én fjerdedel af it-sikkerheden som tommelfingerregel kan håndteres med teknik, mens de resterende tre fjerdedele handler om procedurer og rutiner – altså menneskelig adfærd.

Og det sidste er den helt afgørende del:
“Det handler dels om at oparbejde en sikkerhedsadfærd. Det kan f.eks. handle om, hvad medarbejderne må, og hvad de ikke må i forhold til it. Men det er faktisk ved den helt grundlæggende sikkerhedsvurdering, at det går galt for mange. Alt for mange tænker, at de da ikke har noget, der er værd at stjæle, og dermed er sikkerhed ikke noget, de fokuserer ret meget på,” siger han og fortsætter:

“Den holdning er farlig. Det kan godt være, at en virksomhed ikke umiddelbart ligger inde med forretningshemmeligheder eller oplysninger der kan bruges til at tømme bankkonti med. Men man glemmer ofte, at en virksomhed, der rammes af et vellykket hackerangreb, både taber ansigt i offentligheden og mister kundernes tillid. For hvem har lyst til at udveksle data med nogen, som ikke tager forsvarligt hånd om dem? Derfor bør alle sådan set tænke it-sikkerhed ind som en integreret del af alle processer.”

Stigende sikkerhedsudgifter

I Dansk Erhverv, hvor Janus Sandsgaard er fagchef for it og digitalisering, er det et synspunkt, man deler.
“Situationen er alvorlig for mange danske virksomheder, når risikobilledet bliver mere sammensat, og angrebene mere avancerede. Jo mere digitale vi er, jo mere digitalt sårbare bliver vi, hvis vi ikke tænker os om. Derfor skal it-sikkerhed også være noget, man i 2019 betragter som en helt almindelig hygiejnefaktor,” siger han.

Janus Sandsgaard peger på PwC’s seneste Cybercrime Survey, der kom i 2018.
Den viser, at færre virksomheder blev ramt af cyberangreb i 2018 sammenlignet med året før. Til gengæld var der tale om alvorligere hændelser.

Ifølge samme undersøgelse er virksomhedernes økonomiske omkostninger som følge af cyberangreb også steget. Således opgiver 49 procent af de private virksomheder, at de i 2018 havde øgede udgifter til udbedring og efterforskning af sikkerhedshændelser i forhold til året før.

Mangler kompetencer

Spørger man Janus Sandsgaard har virksomhedernes største udfordring i forhold til it-sikkerhed med manglende kompetencer at gøre. Både i forhold til det rent tekniske, men også med hensyn til en mere sikker adfærd hos medarbejdere og ledelse.

Ud over at rekruttere eller konsultere de rette eksperter, anbefaler han derfor at man besøger portalen sikkerdigital.dk, som Digitaliseringsstyrelsen og Erhvervsstyrelsen for få måneder siden lancerede i samarbejde med bl.a. Dansk Erhverv.

“Som virksomhed ville jeg også gøre mig bekendt med ”Sikkerhedstjekket”, der er et digitalt redskab, som gør det nemt for virksomheder at få en vurdering af deres sikkerhedsniveau. Det er Erhvervsstyrelsen og Rådet for Digital Sikkerhed, der står bag værktøjet, som varmt kan anbefales,” siger Janus Sandsgaard.

Kenneth Schwartz peger også på portalerne som et godt sted at starte, og tilføjer at it-sikkerhed stiller store krav til den enkelte virksomheds selvindsigt.

Det er uhyre vigtigt, at man som virksomhed er realistisk omkring sin egen formåen, og at man outsourcer alt det man ikke er sikker på selv at kunne løse til en kompetent samarbejds­partner
Kenneth Schwartz, director of security, Atea

“Det er uhyre vigtigt, at man som virksomhed er realistisk omkring sin egen formåen, og at man outsourcer alt det man ikke er sikker på selv at kunne løse til en kompetent samarbejdspartner. På den måde sikrer man sig bedst mod, at det går galt – og hvis det alligevel går galt – at man så hurtigt som muligt kommer på benene igen,” lyder det.

Janus Sandsgaard, fagchef for it og ­digitalisering, Dansk Erhverv

Kenneth Schwartz,
director of security, Atea

Tilbage til Digitalisering