Vidensdeling er det bedste våben mod cyberkriminelle
Der er behov for, at danske virksomheder, organisationer og statslige myndigheder bliver langt bedre til at dele informationer med hinanden, hvis vi skal komme de voksende udfordringer med cyberkriminalitet til livs.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
Jeg deltager ofte på it-sikkerhedskonferencer, hvor jeg har mulighed for at få indblik i danske virksomheders udfordringer med en stadig større cybersikkerhedstrussel. For nylig deltog jeg i en konference i Fællessalen på Christiansborg, hvor der var livlig debat blandt de forskellige oplægsholdere og deltagere, der kom fra virksomheder og organisationer fra både den private og offentlige sektor.
Jeg mener, at der i høj grad er behov for at it-sikkerhedsansvarlige på tværs af brancher og professionelle lag mødes og inspireres, deler viden, stiller spørgsmål og diskuterer løsninger. I vidensdelingen tegn vil jeg derfor også gerne dele indsigter fra konferencen, som jeg tror de fleste danske virksomheder kan få gavn af.
Vi skal dele mere
På konferencen var alle talere enige om, at vi som samfund generelt ikke er gode nok til at dele ud af vores viden, udfordringer og mulige løsninger, når det kommer til cybersikkerhed. Det er et paradoks, eftersom danske virksomheder og organisationer bliver ramt af flere cyberangreb end nogensinde før. F.eks. viser vores seneste Security Report, at antallet af cyberangreb mod virksomheder steg med hele 38 pct. i 2022 i forhold til 2021.
Jeg kan i sagens natur godt forstå den første tanke, som mange virksomheder har, når de bliver ramt første gang; At der ikke er nogle, der skal høre om deres uheldige situation. Men det er så uhyre vigtigt, at vi lærer af hinandens erfaring – også dem, der gør ondt på pengepungen. Der er et akut behov for bedre koordinering og vidensdeling, ikke kun mellem danske virksomheder, men i lige så høj grad også med organisationer og statslige myndigheder. Jeg mener, at især de statslige organisationer, der har et fokus på it-sikkerhed, skal være bedre og mere åbne om de cybertrusler og målrettede angreb, som Danmark står over for.
En idé, der blev præsenteret på konferencen var, at vi f.eks. kunne kigge på den amerikanske strategi for cybersikkerhed, hvor der er langt bedre informationsdeling mellem offentlige myndigheder og den private sektor end vi gør os i herhjemme.
Frygt ej NIS 2
Når jeg taler med mine europæiske kolleger, er jeg ganske overrasket over, hvor opmærksomme danske virksomheder er på det nye NIS 2-direktiv i forhold til resten af Europa.
Industriens Fond anslår, at omkring 1000 danske virksomheder i første ombæring vil være omfattet af NIS 2. Dog skal man være opmærksom på, at kravene også udvides til at gælde underleverandører. Det betyder, at langt flere virksomheder vil være underlagt kravene og dermed skal forholde sig til en række nye ting, som måske ikke tidligere har været en del af dagsordenen.
I modsætning til GDPR-direktivet, der beskytter borgernes personlige oplysninger, skal NIS 2-direktivet beskytte økonomisk data – altså data, der har betydning for virksomheder og medlemslandes økonomi. Med det nye direktiv skal medlemslandene bl.a. implementere nationale cybersikkerhedsstrategier og en national lovgivning, der indeholder krav om bl.a. ledelsesansvar, risikostyring og rapportering hos de virksomheder, der er omfattet af direktivet, samt et fælles nationalt kontaktpunkt, der håndterer NIS 2.
Som professionel inden for cybersikkerhed er det fantastisk at se danske virksomheder være på forkant med udviklingen. Til konferencen oplevede jeg dog også en vis frygt blandt deltagerne. Efterdønningerne fra implementeringen af GDPR spøger stadig, og virksomhederne er bange for, at NIS 2 bliver endnu en gigantisk compliance-opgave, de ikke kan overskue. Desuden er de bekymrede for, at direktivet ikke har den ønskede effekt.
Efter at have fået ny indsigt på konferencen kan jeg kun sige, at danske virksomheder og organisationer ikke skal frygte NIS 2. Måske ser det lige nu en smule uoverskueligt ud, men NIS 2-direktivet har potentialitet til at blive sikkerhedsrygraden i virksomheder og organisationer, der arbejder direkte eller indirekte med kritisk infrastruktur.
Virksomheder, der er omfattet af direktivet, er ofte store og toneangivende. Og da mange virksomheder i øvrigt vil være omfattet af direktivet, fordi de er leverandører til et omfattet firma, har NIS 2 potentialet til at skabe en nedsivningseffekt. Det betyder, at NIS 2 bliver en løftestang til bedre it-sikkerhed i hele samfundet.
Konsolidering er nøglen
Den sidste indsigt jeg vil dele, er behovet for at konsolidere it-sikkerhedsløsninger. Gennem mine samtaler med de andre deltagere på konferencen kom vi hurtigt ind på, hvordan de kan navigere i et komplekst og stadigt voksende cybertrusselbillede. Flere undersøgelser, herunder en rapport fra Dell Technologies, viser nemlig, at omkostninger i forbindelse med et cyberangreb er væsentligt højere, hvis virksomheder benytter flere end én it-sikkerhedsleverandør.
Hvis man derimod samler forskellige sikkerhedsløsninger til én enkelt løsning vil virksomheder blive mere effektive og dermed opnå et meget højere niveau af it-sikkerhed. Som en sidegevinst vil konsolidering reducere omkostningerne til it-sikkerhedsmedarbejdere samt frigøre tid hos virksomhedernes it-medarbejdere. Tid de kan bruge på innovation.
Jeg glæder mig over, at cybersikkerhed er kommet højt på agendaen. Og jeg glæder mig endnu mere over, at de på mange punkter er på forkant i forhold til deres europæiske kolleger. Men vi må ikke hvile på laurbærrene, for det gør de cyberkriminelle ikke. Der er behov for, at it-sikkerhedsprofessionelle, beslutningstagere og lovgivere af og til sætter sig sammen og får indsigt i hinandens arbejde og udfordringer – ellers kommer vi aldrig de cyberkriminelle i forkøbet.
