Serier
Mine nyheder

Vi har ikke publiceret nogle artikler for nyligt i de emner, du følger. Søg efter andre emner her.

Du har ingen overvågninger endnu

Klik på ikonet for at overvåge
emner og journalister.

Hacker: Jeg har 100 procent succes

Stigende mangel på it-sikkerhedseksperter giver hackerne gode arbejdsbetingelser – og de har ekstra travlt lige nu, fordi coronakrisen tvinger ansatte til at arbejde hjemme. Danmark bør på den lange bane uddanne flere og bedre eksperter.

Corona rammer verden

I ly af coronakrisen stiger aktiviteten hos kriminelle hackere. Når medarbejdere verden over sendes hjem for at arbejde på mindre sikre netværk, sender hackerne f.eks. endnu flere phishing-mails, der udgiver sig som information om corona-sikkerhed i et forsøg på at aflure adgangskoder eller få medarbejdere til at downloade inficeret kode.

Derfor er agtpågivenhed særlig vigtigt lige nu. Men behovet for, at samfundet styrker beredskabet mod hackere har været stigende længe.

For nogle måneder siden sagde en professionel, etisk såkaldt ’white hat’-hacker således på Deloittes Cyber Agenda-konference:

»I de 30 år, jeg har været hacker, har jeg haft 100 procent succes. Hvad enten det har været staters forsvarssystemer, kritisk infrastruktur, eller virksomheders industrihemmeligheder, har jeg kunnet få adgang til det. Og det er ikke fordi, jeg er specielt dygtig. Det er fordi, ingen virkelig tager cybersikkerhed alvorligt på alle niveauer«.

Og ifølge Danmarks Statistik havde flere end hver fjerde store virksomhed oplevet et brud på it-sikkerheden sidste år – det vil sige et brud, hvor deres systemer eller data blev skadet, var utilgængeligt eller udsat for uautoriseret adgang.

Det reelle tal er sandsynligvis langt større. Langt fra alle angreb bliver anmeldt af frygt for at komme på hackernes sorte liste. Især hos de små og mellemstore virksomheder halter sikkerhedsniveauet – og kommer hackerne ind ad bagdøren hos underleverandørerne, kan de nemmere gå ind ad fordøren hos de store virksomheder.

Intet tyder på, at angrebene bliver færre eller skaderne mindre. Ifølge Deloittes seneste rapport, Cyber Risk Landscape Report 2019, overvurderer danske virksomheder deres egne evner. To ud af tre virksomheder er overbeviste om, at de kan nå at (op)fange et sofistikeret cyberangreb, selv om erfaringerne viser, at de fleste angreb reelt får lov at blomstre i systemerne i lang tid, inden de bliver opdaget.

Mens mange globale organisationer har politikker, procedurer og værktøjer på plads, der beskytter dem mod cyberangreb, stiller de ikke altid tilsvarende høje sikkerhedskrav til deres underleverandører, og det er også svært at sikre, at alle medarbejdere på alle niveauer lever op til alle sikkerhedskrav.

Desuden er virksomhederne presset til det yderste for at få nok egnede hænder og hjerner, der kan holde hackerne fra døren. Det estimeres i rapporten ’the future of cyber survey 2019’, at der om to år vil være 3,5 millioner (!) ubesatte stillinger inden for cybersikkerhed i verden.

Hvor man i gamle dage groft sagt kunne kalde sig it-sikkerhedsekspert ved at kunne vedligeholde en firewall, kræver det nu højt specialiserede medarbejdere. Der findes i dag en professionsbachelor i it-sikkerhed, men den og de andre uddannelser er ikke tilstrækkelige til at møde den stigende efterspørgsel. Så vi opfordrer kraftigt politikerne til at ruste op og øge optaget på it-sikkerhedsuddannelserne.

I mellemtiden vil vi råde virksomhederne til at tænke i tre grundlæggende baner i forhold til at styrke sikkerheden internt og hos underleverandørerne.

Tonen fra toppen: Både bestyrelsen og direktionen bør tage aktivt stilling til virksomhedens cyber-sikkerhed. Som Søren Nielsen, CEO i Demant, formulerede det til Børsen: »Man er som topchef nødt til at forstå den her virkelighed. Også meget detaljeret. Man er nødt til at vide, hvad man kan gøre, og hvad man ikke kan gøre, og hvilke planer, man har. Det kan man ikke bede andre om at gøre for sig. Det skal man selv involvere sig i som topchef«.

Vær realistisk: Alt for mange virksomheder lever fortsat i en bobbel af ubegrundet tillid til, at de ikke vil blive ramt, og at de kan håndtere det, når det sker. Vores data viser noget andet. Vores råd er derfor, at man bør have en klar strategi for cybersikkerhed, hvor man bl.a. tager stilling til sin risikoappetit dvs. hvilket niveau af risiko man er villig til at leve med. Derudover skal man blive ved med løbende at teste sit forsvarsværk både internt og med ekstern hjælp.

Gør cybersikkerhed til en fordel: Vi har i lang tid hørt, at god cybersikkerhed er en omkostning. Men tiden er moden til at se det som en mulig konkurrencefordel især for virksomheder, der arbejder globalt. Vi ser nu, at virksomheder vinder ordrer over konkurrenterne på at kunne tilbyde høj cybersikkerhed til samarbejdspartnere og kunder. Og ansvaret gælder hele værdikæden. Vi ved, hvordan globale virksomheder risikerer kritik, hvis arbejdsforholdene hos underleverandørerne i tredjeverdenslande halter. På samme vis kan man vende det til en konkurrencefordel, at der er styr på, at de centrale underleverandører lever op til højeste cyber-sikkerhedsstandarder.

BRANCHENYT
Læs også