Manglende test af it-beredskab er en tikkende bombe i de største virksomheder

Vi har aldrig før set så stor opmærksomhed på it-sikkerhed, som vi gør i disse dage. Både i det offentlige og i det private tales, tænkes og handles der it-sikkerhed fra den øverste ledelse og til den menige medarbejder. Det er ikke spor overraskende, for vi har været vidne til mange angreb i Danmark. Både på private virksomheder og på vores offentlige kritiske infrastruktur.

Det var med god og gyldig grund, at Center for Cybersikkerhed tidligere på året hævede den generelle trusselsvurdering fra lav til middel for samfundets kritiske infrastruktur (energi-, sundhed-, finans-, søfart-, land og lufttransport-, luftfart- og jernbanesektoren).

For at gøre ondt værre kom Rigsrevisionen for nylig på banen med en kras kritik af samfundets it-beredskab og de mildest talt utilstrækkelige re-etableringsplaner, som ellers skal sikre, at man kan vende hurtigt tilbage til normal drift efter et større it-nedbrud, hackerangreb eller fysiske skader på infrastrukturen.

Hvorfor skulle ovenstående interessere private virksomheder, kunne man spørge. Svaret er, at selvom ens egen virksomhed ikke er en del af Danmarks kritiske infrastruktur, er det en farlig sovepude at hvile på.

For vi har så mange gange set, hvordan tilfældige virksomheder rammes hårdt af de spredehagl, der skydes afsted af de cyberkriminelle – om de så er statssponsorerede hackere eller blot kriminelle med økonomiske interesser.

Mens mindre virksomheder oftest er tilfældige ofre, står det anderledes til blandt landets allerstørste virksomheder, der tillige udsættes for målrettede cyberangreb. Her sigtes der bare af finskytter.

Derfor er det glædeligt, at Rambøll og Dansk IT i årets rapport IT i praksis® 2022-23 kan konstatere, at den øverste topledelse i landets 1.000 største virksomheder for alvor har taget it-sikkerhed til sig og er direkte involveret i at beskytte deres virksomhed mod de stadigt mere sofistikerede angreb, vi er vidner til.

Men her hører glæden også op. For rapporten viser samtidig, at kun 60 pct. af landets 1.000 største virksomheder selv mener, at de er velforberedte og kan imødegå cyberangreb. Kun hver anden virksomhed (52 pct.) har robuste og velafprøvede planer for, hvordan de kan sikre forretningens fortsatte drift i tilfælde af et cyberangreb. Og så få som 51 pct. overvåger deres forskellige it-leverandører og sikrer sig, at deres it-sikkerhed er tilstrækkelig. Meget få (31 pct.) har implementeret en it-sikkerhedsstandard såsom ISO 27001, så de har adgang til en sikker vurdering af niveauet for deres egen it-sikkerhed.

Med andre ord samler alt for mange beredskabsplaner og business continuity-planer støv i skufferne i stedet for løbende at blive taget frem og testet i praksis. Det er den eneste måde, hvorpå en virksomhed kan sikre, at man er klar til at håndtere de uundgåelige cyberangreb, der sprøjtes afsted med alt større fart og frekvens. Dette skal organisationerne rette op på.

For det giver sig selv, at når det nu er umuligt at undgå at blive udsat for cyberangreb, skal man kunne dæmme op for angreb og håndtere nedbrud. Det kan kun gøres ved at forberede sig på bedst mulig måde, før det sker, så skaden kan minimeres og tilliden opretholdes. En god og gennemtestet beredskabsplan er et helt afgørende redskab.

Vores klare anbefaling er, at alle løbende vurderer og justerer fokus i it-sikkerhedsindsatsen, så man sikrer, at man sætter ind der, hvor behovet er størst – f.eks. i forhold til opmærksomhed i organisationen om trusler og god sikkerhedspraksis.

Helt afgørende er det, at beredskabsplanen er simpel og let forståelig for alle parter. Og at alle i organisationen ved præcis, hvad deres opgave og ansvar er. Anvend tjeklister og action cards, så det er nemt at gå til – også i en presset situation. Beredskabsplanen skal have opbakning og involvering fra den øverste ledelse, for ellers vil den ikke have den ønskede effekt, og den vil ikke kunne eksekveres godt nok.

Husk, at it-sikkerhed er alles ansvar, ikke kun it-afdelingens.