Konsulentbranchen inden for cybersikkerhed har næppe haft det bedre end nu, og lovgivere, forsikringsselskaber og brancheforeninger taler meget om cybersikkerhed. Men hvad er cybersikkerhed egentlig for noget, og er det i virkeligheden en betegnelse, som dækker over flere forskellige emner?
Og bør SMV-virksomheden gør noget mere end blot at tegne en forsikring og installere antivirus-software?
Hvad er cybersikkerhed?
IT-sikkerhed er nok den betegnelse, som de fleste brugte, før det begyndte at hedde cybersikkerhed. IT-branchen har en stolt tradition for at opfinde nye ord og begreber for eksisterende temaer, så det er der intet nyt i.
Spørger man ChatGPT (den kunstige intelligens, der findes på internettet, og som kan svare på alt), er svaret følgende: ”Cybersikkerhed er beskyttelsen af digitale systemer, netværk og data mod cybertrusler og angreb. Det inkluderer beskyttelse mod hacking, malware, phishing, dataoverførsler, identitetstyveri og andre former for onlinesikkerhedstrusler. Målet med cybersikkerhed er at beskytte organisationers og enkeltpersoners informationsteknologi-infrastruktur og data mod uønskede eller skadelige handlinger.”
Så det er altså det, vi tidligere har kendt som ’IT-sikkerhed’ (ChatGPT er i øvrigt enig).
Vælger man at nedbryde betegnelsen til noget mere håndgribeligt, kan det være følgende: ”Cybersikkerhed er den forretningsmæssige sikkerhed for, at vores IT-systemer også virker som forventet i morgen, og at vi kan stole på de data, der er i systemerne – og kun med adgang for de personer, vi har besluttet at give adgang.”
Ingen virksomhedsleder er i tvivl om, at hvis lagerbeholdningen af varer bliver stjålet, brænder eller bliver fordærvet, så har virksomheden et forretningsmæssigt problem. Det er også en udfordring, hvis virksomhedens 3 sælgere siger op på samme tidspunkt. Tilsvarende hvis bogholderiet ødelægges eller forsvinder.
Forannævnte kan give større eller mindre problemer, men det virker som om, mange virksomhedsledere fortsat tænker, at store problemer med cybersikkerhed kun opstår hos naboen, eller at man blot kan betale sig fra det – ”det er sikkert bare en teknisk dims, der skal skiftes ud.” Det er en lidt pudsig holdning, for ingen – uanset om man er håndværksmester eller leder af en ”kontororganisation” – kan vel benægte, at det vil være mere end almindeligt irriterende, hvis IT en dag ikke virker. Det kunne måske endda være katastrofalt.
Konkrete eksempler på angreb
Udfordringen er sandsynligvis, at mange ikke er klar over de latente risici. Mange tænker måske, at ”vi bruger standardsystemer, så vi kan altid få hjælp fra nogen”, eller ”vi bruger Microsoft Cloud, og de er helt sikre og pålidelige.”
Faktum er imidlertid, at Microsoft var utilgængelig i det meste af 12 timer en dag i januar 2023. Et andet faktum er, at sikkerheden i Microsoft Cloud-løsningerne ofte er et tilvalg, som virksomhederne selv skal foretage. Det kommer ikke ’ud af boksen’, som mange måske tror. Tilsvarende har en moderne bil mange sikkerhedssystemer, men de kan alle sammen deaktiveres.
I en standard cloud-løsning er de fleste sikkerhedssystemer slået fra. Man skal selv vurdere, hvad der er relevant og skal aktiveres. Denne gang ramte det Microsoft, men risikoen er den samme for de fleste andre store cloud-leverandører. Desuden er det lidt firkantet beskrevet her, men ikke desto mindre er det tankevækkende.
En anden årsag til den manglende aktive ageren ift. IT-sikkerhed i danske SMV’er er, at vi oftest kun hører om problemer med IT-sikkerheden, når det er store organisationer, der bliver udsat for nedbrud. Alle kan nok huske, da Mærsk måtte bruge mange millioner kroner på at få styr på tingene efter et angreb på deres IT-systemer, ligesom vi har hørt om nedbrud og angreb på andre store danske virksomheder og offentlige myndigheder.
De fleste tænker nok, at angrebene har været målrettet disse virksomheder, og det kan heller ikke udelukkes. Men det kan med større sandsynlighed være tilfældigt, at Mærsk blev ramt. Det kan lige så godt være den lokale håndværksmesters iPhone, der pludselig ikke virker.
Et relativt nyt eksempel, som rigtig mange danskere blev berørt af, var angrebet på 7-Eleven. Et ransomware-angreb gjorde, at butikkerne var lukket i flere dage – i visse tilfælde helt op til 1 uge.
Der er ingen forsikring, der i fuldt omfang dækker tabet ved sådan en hændelse, og når problemet opstod, fordi en medarbejder klikkede på et ”forkert” link, kunne IT-systemet (måske) have været konfigureret med nogle vandtætte skotter, så problemet ikke var blevet et nationalt problem, men kunne have været begrænset til at være lokalt. Kun 7-Eleven ved det, men det kunne måske have været muligt at begrænse spredningen af problemet med det rette set-up.
GDPR-regler og anden regulering
De nugældende GDPR-regler blev indført i 2018, og siden da er der kommet en del direktiver og forordninger, der skal højne IT-sikkerheden dels generelt, dels i specifikke brancher eller markeder. I skrivende stund er der 11 forordninger på vej, som vil være relevante for f.eks. forsyningskritiske virksomheder (NIS2), IT-virksomheder, der arbejder med softwareløsninger, kunstig intelligens og meget mere.
Lovgiverne vil gerne beskytte individet, men vil samtidig fremme konkurrenceevnen. Sidstnævnte kan til dels også oversættes til, at niveauet skal højnes i virksomheder og organisationer, således at der ikke lides driftstab, at personhenførbare oplysninger ikke offentliggøres ved en fejl, at kunstig intelligens ikke træffer forkerte beslutninger mv. De næste år bliver spændende!
Husk at tænke IT-sikkerhed!
Mulighederne for at fremme konkurrenceevnen er i øvrigt helt reel, for en undersøgelse fra november 2022 fra Industriens Fond med hjælp fra Analyse & Tal og Grant Thornton Danmark viser, at virksomheder oplever en målbar forbedring af konkurrenceevnen, når de igangsætter konkrete initiativer inden for cybersikkerhed.
Analysen viser blandt andet også, at nogle virksomheder har implementeret forskellige tiltag i forhold til at opnå sikkerhedsgodkendelser, har udarbejdet en sikkerhedspolitik eller har måske endda indhentet en revisorerklæring (ISAE 3402 eller ISAE 3000) eller ISO 27001-certificering. Formålet i virksomhederne har imidlertid været af kommercielt hensyn, idet der har været behov for at kunne ”berolige” kunder og samarbejdspartnere, mens ønsket om at forstå trusselsbilledet og implementere nødvendige sikkerhedstiltag har fyldt mindre. Se mere herom på https://cyberbarometer.dk/
For SMV-virksomheden er det væsentligt at tænke IT-sikkerhed – eller IT-styring – ind i den daglige drift. Det bør også være et element i bestyrelsens årshjul. Det medfører konkurrencefordele, og det giver en sikkerhed for, at man som virksomhed har tænkt sig om, afdækket risici og forberedt nødplaner, når (ikke hvis) noget ikke går, som det plejer.