Kære leder, savner du en parlør om it-sikkerhed?

Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.

En bølge af cyberangreb har skyllet ind over danske virksomheder og organisationer i løbet af årets første måneder. En af de primære plager har været DDoS-angreb, hvor bagmænd lægger en hjemmeside eller tjeneste ned ved at overbelaste den med en massiv mængde trafik.

Alene i februar var der over 45 af denne type angreb, herunder verdens hidtil største.

Derfor er det nærliggende at overveje, om lederne i danske organisationer har brug for at blive lige så bekendte med begreber som DDoS, spear phishing og spoofing, som de er med overskudsgrad, markedspenetration og afkastkrav.

For mens der i samfundet og erhvervslivet bliver investeret markant i digitalisering, så halter det noget mere med it-sikkerheden. Hele 44 procent af de små og mellemstore virksomheder har ifølge en analyse fra Erhvervsstyrelsen et utilstrækkeligt sikkerhedsniveau i forhold til deres risikoprofil.

Problematikken er ikke ny, men de seneste måneder har gjort den yderst aktuel. Og i takt med tiltagende digitalisering og et stigende antal trusler bliver problemets omfang større og de potentielle konsekvenser værre år for år.

Som en af landets største leverandører af digital infrastruktur har vi føling og erfaring med danske organisationers prioriteter på området. Og vores oplevelse er helt i tråd med konklusionerne i Erhvervsstyrelsens rapport.

Det er et fåtal af danske virksomheder, som har investeret i nødvendige løsninger til beskyttelse mod eksempelvis DDoS-angreb. Angrebene kan i dag bestilles og betales på nettet, og de er lette at gennemføre, hvilket resulterer i, at der lanceres et godt hvert tredje sekund på verdensplan.

Heldigvis er DDoS-angreb også ret enkle og relativt nemme at beskytte sig mod. Det indebærer at investere i den seneste generations firewall, backup og at have en sekundær netværkslinje i tilfælde af, at den primære bliver angrebet.

Dermed er mange private og offentlige organisationer utilstrækkeligt beskyttet mod angreb. Og ender de som ofre, er konsekvenserne langt større og længerevarende end nødvendigt. Det kan ramme forretningen og omsætningen så hårdt, at virksomhedens eksistens bliver truet.

Alligevel bliver investeringerne i it-sikkerhed mange steder forsømt. Én af årsagerne er utvivlsomt manglende viden. Dels om, hvad god it-sikkerhed reelt indebærer, og hvor meget det koster virksomheden. Her er det væsentligt at bemærke, at udgifterne til essentielle sikkerhedstiltag er relativt beskedne i forhold til virksomhedens samlede investeringer i it.

Samtidig kan investeringer i it-sikkerhed hurtigt give et imponerende afkast, når man holder det op imod de store økonomiske tab, et cyberangreb fører med sig. Det kan kort sagt ikke betale sig at spare på cybersikkerhed, for angrebet rammer før eller senere.

Det oplevede vi selv for få år siden, hvor vi blev udsat for et ransomware-angreb. Her fik vi syn for sagn for, hvor mange timer og penge et angreb koster ­– og det til trods for, at hverken vores forretning eller netværk blev kompromitteret. Ofte er motivationen for at investere i sikkerhed større på bagkant af et angreb, men ligesom en forsikring kan man ikke købe it-sikkerhed med tilbagevirkende kraft.

Der er helt enkelt behov for at komme katastrofen i forkøbet. I første omgang kræver det, at virksomhedens ledelse bliver bevidste om, at begreber som DDoS og spoofing i dag er næsten lige så væsentlige som overskudsgrad.

Forankringen i organisationens øverste lag er essentiel, hvis it-sikkerhed skal blive den prioritet, som det bør være. For det er ikke længere et spørgsmål om, hvornår en virksomhed bliver ramt, men snarere hvornår, og hvor store omkostningerne bliver. Det har årets første tre måneder vist med al tydelighed.