Trusselsniveauet er højt – alligevel halter det med cybersikkerheden

Da forsvarsminister Troels Rasmussen gik på scenen på årets Folkemøde og opfordrede befolkningen til at forberede sig til tre dage uden strøm, satte det en mindre folkevandring i gang mod byggemarkeder og dagligvarebutikker for at ”preppe”.

 Men trods daglige cyberangreb gennem lang tid har mange virksomheder fortsat ikke forberedt sig.

”Cybersikkerheden sejler i Danmark,” fastslår Janus Sandsgaard.

Danmark er et af verdens mest gennem digitaliserede samfund, men på sikkerhedsområdet er vi fortsat på ”kravlestadiet”, mener chefkonsulenten.

”35 pct. af landet SMV´ere har for lav sikkerhed, viser tal fra Digitaliseringsstyrelsen. Samtidig viser undersøgelsen, at 64 pct. af ledelserne i landets mindre og mellemstore virksomheder kun i nogen grad eller lille grad involverer sig i arbejdet med digital sikkerhed. Det synes jeg, er alarmerende,” siger han.

En forklaring på chefernes manglende engagement i virksomhedens digitale sikkerhed er, at det er blevet betragtet som noget teknisk, som de ikke behøver at forholde sig til.

”Men det er en helt forkert indstilling,” mener Janus Sandsgaard, der jævnligt holder foredrag om digital sikkerhed og om de forholdsvis enkle tiltag, der kan gøre en virksomhed mere modstandsdygtig overfor cyberangreb.

”Cybersikkerhed handler ikke om bits og bytes, men om at håndtere risici, og det er ledelsens ansvar, og handler i sidste ende om virksomhedens overlevelse”.

”Det er umuligt fuldstændigt at forhindre angreb, lige som der heller ikke findes 100 pct brand- eller ind indbrudssikkerhed. Men det gode er, at man med forholdsvis få midler kan holde det meste skidt døren,” siger han.

Dem kommer vi tilbage til. For det er ikke alene i de mindre og mellemstore virksomheder, at det står sløjt til med IT-sikkerheden.

Det gør det i den grad også i offentlige virksomheder og institutioner. Det afslørede en undersøgelse, som Rigsrevisionen gennemførte i december 2023, hvor krigen i Ukraine som bekendt var i fuld gang og cyberangreb mod private og offentlige virksomheder i Danmark en dagligdags begivenhed.

Rigsrevisionen gennemgik i alt 25 af statens ca. 90 samfundskritiske it-systemer. 

”Statsrevisorerne kritiserer, at der for 7 af de 12 undersøgte samfundskritiske it-systemer ikke er sikret et tilfredsstillende it-beredskab. Det indebærer risiko for, at staten ikke kan opretholde eller markant får forstyrret løsningen af samfundskritiske opgaver i tilfælde af større it- nedbrud, hackerangreb, fysiske skader e.l.,” hedder det i undersøgelsen.

Eller sagt med andre ord:

”7af 12 samfundskritiske it-systemer mangel beredskab og er sårbare. Hvis de bliver angrebet eller på anden vis går i udu, er vi på spanden,” lyder oversættelsen fra Janus Sandsgaard.

Samtidig viste undersøgelsen, at 10 pct. af statens servicere ikke længere kan sikkerhedsopdateres, fordi de kører med forældet software.

Trusselsniveauet er hævet

Siden undersøgelsen er trusselsniveauet hævet og det fik i juni statsrevisorformand Mette Abildgaard (K) til at gentage sin kritik af den manglende sikkerhed, som hun kaldte ”dybt bekymrende”:

”Det kan få enorm indvirkning på danskernes sikkerhed og hverdag. Vi kan ikke gå ud og sige, hvilke systemer det er. Jeg kan ikke engang sige, hvilke ministerier der er ansvarlige. For det vil udgøre for stor en sikkerhedsrisiko. Vi (rigsrevisorerne, red). har bedt de ansvarlige ministerier give os besked, så snart vi kan offentliggøre, hvilke ministerier der er tale om - altså når det er bragt tilpas i orden. Det har vi ikke kunnet få lov til endnu, og det siger jo noget om, at vi ikke er lykkedes med at få de her systemer rettet op. Det er dybt bekymrende, sagde Mette Abildgaard til DR Nyheder den 12. juni.

Hvilke systemer, det så rent faktisk drejer sig om, holdes hemmeligt af sikkerhedsmæssige årsager.

Janus Sandsgaard peger på, at statens problemer med it-sikkerheden ikke længere kan fejes væk som ”teoretisk nørdestof”.

”Der skal handling til og penge på bordet. Der er fugt i fundamentet, og vi kan fikse det, men det kræver, at Christiansborg tager affære,” mener han.

Affære bør man også tage hurtigt muligt i de mange mindre og mellemstore virksomheder, hvor sikkerheden halter.

Det har traditionelt blevet søgt holdt indenbords, når en virksomhed er blevet ramt af et cyberangreb. Men det kan også være så voldsomt, at det ikke er muligt.

Det skete for A.P. Møller – Maersk, da selskabet i 2017 blev ramt af det hidtil største cyberangreb, som en dansk virksomhed er blevet udsat for. Det kostede virksomheden mellem 250 og 300 mio. dollar og førte til en gennemgang af hele it-strukturen i virksomheden for at skærpe sikkerheden.

Og truslerne mod it-sikkerheden er vokset markant i den senere tid.

Ifølge TDC Erhvervs sikkerhedsrapport for 1. kvartal i år, registrerede selskabet 13 mio. blokeringer af ondsindede domæner i dette kvartal, hvilket er 3 mio. flere end i hele 2023.

Oprydning efter angreb er kostbar

TDC Erhverv peger på, at det stadig kun er 1 ud af 5 virksomheder, der har en plan, hvis -eller når – de bliver ramt af et hackerangreb. Og det kan blive en dyr fornøjelse.

”For ransomware-angreb er den gennemsnitlige udgift på 376.350 kr., hvis virksomheden har mellem 10 og 49 ansatte.  Er der er over 50 ansatte, stiger udgiften til snit til omkring 2 mio. kr.,” skriver TDC Erhverv på baggrund af en rapport fra Ipsos, som selskabet har fået udarbejdet.

Undersøgelsen, der er blevet foretaget blandt 300 virksomheder på tværs af størrelser og brancher i december 2023 og januar 2024, viser også, at 4 ud af 5 af de adspurgte små virksomheder, der ikke har investeret i it-sikkerhed i det seneste år, heller ikke forventer at gøre det i det kommende år.

Janus Sandsgaard peger på, at det for den mindre og mellemstore virksomhed er forholdsvis enkle tiltag, der skal til for at gøre det sværere for it-kriminelle at trænge ind i systemerne.

Sikkerdigital.dk som er den portal, hvor Erhvervsstyrelsens og Digitaliseringsstyrelsen rådgiver om it-sikkerhed kommer med syv råd, som ifølge Janus Sandsgaard er råd, som de fleste virksomheder kan gå i gang med at følge ”i princippet i morgen”.

”Følger man de råd, går man fra ingenting til noget meget bedre. Det er aldrig muligt at gardere sig 100 pct., men det gælder for it-sikkerheden som for huset derhjemme. Hvis jeg sætter en lidt bedre lås på døren, går tyveknægten over til naboen,” siger han.

Og den bedre lås er i overført betydning de anbefaler som it-sikkerhed, som du kan læse herunder.