Danske virksomheder skal opbygge en stærk sikkerhedskultur for at modstå cyberangreb

Microsoft har netop udgivet sin årlige Digital Defense Report, og den tegner et tydeligt billede af det globale trusselsniveau inden for IT-sikkerhed: Cyberkriminaliteten er stigende, og vi ser blandt andet flere ransomware-angreb, hvor kriminelle tager data som gidsel og kun åbner for dem mod løsepenge. 

Vi ser samtidig et stigende antal phishing-kampagner, hvor kriminelle forsøger at franarre dig personlige data som f.eks. adgangskoder eller kreditkortoplysninger. Bare sidste år blokerede Microsoft hver uge 710 millioner phishing-e-mails på globalt plan.

Men også på nationalstat-niveau er det tydeligt, at lande som Iran, Nordkorea og i høj grad Rusland har skruet op for deres cyber-angreb på kritisk infrastruktur i særligt NATO-lande. Samtidig har disse stater øget deres brug af cyberpropaganda i det, der kaldes ’påvirkningsoperationer’ – operationer, hvis mål er at nedbryde troværdighed og påvirke den offentlige holdning.

Udviklingen bunder i en accelererende digital transformation, som har medført, at vores verden og it-systemer er langt mere forbundne i dag, end de var for blot nogle år siden. 

Det har medført innovation, vækst og nye effektive måder at arbejde på, men har samtidig i vid udstrækning udvidet angrebsfladen og sænket adgangsbarriererne for cyberkriminelle. Det er kort sagt blevet nemmere at være cyberkriminel, og det bliver udnyttet.

Som at køre i en Trabant uden airbags

I Danmark møder vi det samme billede. De fleste virksomheder opererer stadig med det, der kaldes legacy-systemer, dvs. ældre systemer, som passede til et cybersikkerheds-miljø, som det så ud for 20 år siden. 

Sat på spidsen svarer det til at køre på en dansk motorvej i en Trabant – uden airbags og måske knap nok med sikkerhedsseler. Man er i sin Trabant rimelig udsat ved siden af de nye, store biler med masser af hestekræfter og moderne sikkerhedsudstyr.

Heldigvis findes der en række mere eller mindre lavthængende frugter, som kan hjælpe til at modernisere dine systemer og holde din virksomhed beskyttet mod cybertrusler og -angreb:

1. Indfør Multifaktor-godkendelse: Det er ikke længere tilstrækkeligt blot at logge på dine systemer med et brugernavn og en adgangskode. Enhver kan få fingre i dem, og så kan skaden være omfattende. Ved multifaktor-godkendelse indfører du et ekstra led, hvor alle, der vil have adgang til dine systemer, skal bevise deres identitet en ekstra gang. På den måde er din virksomheds data langt bedre beskyttet.
2. Hav styr på dine privilegerede adgange: Det er ikke sikkert, at dem, der har adgang til dine systemer, skal have adgang til alting hele tiden. Blot fordi du er kommet ind som gæst i en virksomheds reception, betyder det heller ikke, at du må sidde med ved et ledelsesmøde. Ved at have styr på, hvem der har privilegeret adgang til hvilke data under hvilke forudsætninger, sikrer du, at der kun bliver givet den dataadgang, der er nødvendig. Ikke mere.
3. Sørg for at lukke sikkerhedshuller: Det er vigtigt at få lappet de sikkerhedshuller, som især opstår i din virksomheds legacy-systemer. Hvis dette arbejde negligeres, nedprioriteres eller bare forsinkes det mindste, er det med til at forstørre den angrebsflade, som cyberkriminelle har at arbejde med.
4. Opbyg og vedligehold det nødvendige beredskab: Genoprettelsesplaner inkl. testning er et centralt redskab, der kan skabe større sandsynlighed for, at det rent faktisk er muligt at reetablere organisationens kritiske systemer.
5. Opbyg den nødvendige sikkerhedskultur: Lederne skal gå forrest og sikre, at alle - ikke bare IT-afdelingen - forstår, at de spiller en rolle for at holde virksomheden sikker.

IT-sikkerhed er ikke en eftertanke

Især det sidste punkt er afgørende for, at danske virksomheder kan imødekomme det nuværende og fremtidige trusselsbillede. Vi kan ikke længere bare sige, at ”IT klarer den”. IT kan give os de moderne og nødvendige værktøjer, men vi er nødt til alle at have en fornuftig kritisk sans overfor sikkerhedstrusler mod vores virksomhed.

Det er nemlig ikke blot IT-virksomheder, der skal tage truslen seriøst. Bare se på Mærsk, Demant, eller 7-Eleven – virksomheder, som alle er blevet hårdt ramt af cyberangreb inden for de sidste år. Cyberangreb kan ske for alle slags virksomheder, og hvis ikke du investerer i at modernisere og opbygge jeres sikkerhedskultur, kan skaderne ved et angreb vokse sig meget store.

Hvis du er i tvivl, om det er en god idé at investere i moderne sikkerhedsudstyr og opbygge en stærk og ledelsesdrevet sikkerhedskultur, kan du spørge dig selv, hvor længe du kan tåle ikke at have adgang til f.eks. din kundedatabase? Eller til dine interne systemer? Og hvor meget du er villig til at betale for at få dine data tilbage, hvis cyberkriminelle får fingrene i dem?

Det vil uden tvivl være både mere behageligt og billigere at tage cybertruslen alvorligt før end senere. For IT-sikkerhed er ikke en eftertanke. Det er en forudsætning for en sund virksomhed.

Heldigvis er der gode muligheder for at opbygge en sund og stærk sikkerhedskultur i danske virksomheder. Det kræver, at lederne går forrest, og at medarbejderne går med.