Synspunkt: Manglende fokus på it-sikkerhed sætter danske virksomheder i sigtekornet
51 % af danske virksomheder meddelte i en rundspørge fra PwC, at de blev udsat for en sikkerhedshændelse i 2018. Et tal, som har været eksplosivt stigende de sidste mange år.
De 51 % repræsenterer dog udelukkende de virksomheder, som rent faktisk var klar over, at de havde oplevet en sikkerhedsbrist, og inkluderer altså ikke alle de virksomheder, som blev ramt af en sikkerhedsbrist i 2018, men som ikke selv er klar over det.
Tager man dem med i ligningen, ja så er tallet nok nærmere de 100%. Og det finder jeg foruroligende.
Læs også: Topledelserne øger fokus på cybersikkerhed
Et erhvervsliv med et ben i hver lejr
Der tegner sig altså et billede af et splittet erhvervsliv, hvor vi i den ene lejr har de virksomheder, som rent faktisk kender til deres sikkerhedsbrister og er opmærksomme på dem, og i den anden lejr en lige så stor andel som ikke har nogen ide om, hvorvidt de har været udsat for et angreb.
Vi bliver derfor nødt til at indse, at hvis man som virksomhed ikke allerede har været udsat for en sikkerhedsbrist, så kommer man i hvert fald til det i fremtiden. Og det er et er et tydeligt bevis på, at snakken om cybersikkerhed er mere aktuel og nødvendig end nogensinde før.
Virksomheder bliver altså nødt til at ruste sig selv bedre og sætte mere strategisk fokus på cybersikkerhed, så de bliver mere modstandsdygtige. For hvis ikke, kan det ikke blot resultere i virksomheders undergang, det kan også få fatale konsekvenser for Danmarks fremtid.
Jeg oplever, at mange virksomheder er allerede begyndt at investere mere strategisk i deres it-sikkerhed, men der er dog stor forskel på graden af investering, hvis man sammenligner store og små virksomheder.
De store virksomheder har ofte mere budget og albuerum til at kunne prioritere og opruste deres cybersikkerhedsinitiativer, hvilket står i kontrast til de mindre virksomheder, hvor budgetterne ofte er mere stramme. Og det gør SMV’erne mere udsatte.
Medarbejderne er virksomhedens frontløbere
I mindre virksomheder er det grundet virksomhedens størrelse og budget ofte medarbejderne der er first-line-of-defence, når en sikkerhedshændelse sker.
Det er derfor vigtigt, at medarbejderne er rustet med de rette kompetencer og værktøjer til at vide, hvordan man, ikke blot formelt, men også helt lavpraktisk, skal reagere i en situation, hvor man står overfor et sikkerhedsbrist.
Hvis man ikke har en plan for, hvem der har hvilket ansvar i forhold til virksomhedens it-sikkerhed, kan en situation, der ellers nemt kunne være afveget, hurtigt eskalere til noget væsentligt større og mere seriøst.
Virksomheder skal derfor huske på, at håndteringen af virksomhedens cybersikkerhed ikke blot er noget, der skal overlades til de ansatte, men er noget, der skal forankres i virksomheden i samspil mellem medarbejdere og ledelse.
Ved strategisk at forankre sikkerhedsarbejdet på ledelsesniveau og på samme tid fokusere på at træne de ansatte i den rette håndtering af sikkerhedshændelser, kan man få skabt en rigtig solid grundforståelse, som kan hjælpe til at ruste virksomheden mod fremtidige hændelser.
Få styr på det basale og stå stærkere
Selvom man kan komme langt ved at træne ens medarbejdere i håndteringen af sikkerhedshændelser, er det dog også stadig vigtigt, at man som virksomhed har styr på nogle helt basale spilleregler, når det kommer til it-sikkerhed.
Erhvervsstyrelsen og Digitaliseringsstyrelsen har udarbejdet fem basale principper, som virksomheder med fordel kan fokusere på, for at få skabt en stærk it-sikkerhed:
Få overblik over de vigtigste data og systemer
Opdater programmer og styresystemer
Invester i en it-sikkerhedspakke med backup
Få gode digitale vaner
Stil krav til it-sikkerheden hos leverandøren
For nogle virker de fem principper måske som en selvfølge. Men realiteten er, at mange virksomheder slet ikke er opmærksomme på de helt lavpraktiske ting, som man eller burde have styr på i forhold til virksomhedens it-sikkerhed, og det sætter dem i den grad i sigtekornet.
Vi skal spille på samme hold
Med den trussel som det stigende antal sikkerhedshændelser allerede udgør for det danske erhvervsliv i dag, kommer det ikke som en overraskelse, at det vil komme til at udgøre en endnu større trussel i fremtiden.
Virksomheder vil i fremtiden blive nødt til at kunne beskytte sig selv mod mere komplicerede og alvorlige sikkerhedshændelser, og det sætter øgede krav til virksomheders generelle it-sikkerhed.
Allerede nu bliver virksomheder derfor nødt til at investere mere strategisk og langsigtet i deres it-sikkerhed samt sørge for at alle i virksomheden, medarbejdere såvel som ledelse, har den nødvendige viden og kompetencer til at kunne forsvare virksomheden ved fremtidige sikkerhedsbrister.
Det er vigtigt, at alle virksomheder kommer med på it-sikkerhedsagendaen, og hver eneste, der gør, vil blive en stor motivationsfaktor for dem som har vanskeligere ved at komme i gang. Danmarks fremtidige konkurrenceevne afhænger i høj grad af, at vi får gennemført både de tekniske og mentale forandringer, der skal til for at modstå den globale cybertrussel.