Flere SMV’ere hackes: Sådan forsvares virksomheden mod cybertrusler
Cyberangrebene vælter ind over de små og mellemstore virksomheder, der ofte ikke har værktøjerne til at forsvare sig.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
Phishing-mails, der lokker fortrolige oplysninger ud af medarbejderne, malware, som krypterer virksomhedsdata og forårsager uforudsete it-nedbrud, og DDoS-angreb, der gør en virksomheds hjemmeside og tjenester utilgængelige, men som kan reetableres mod betaling.
Danmarks knap 300.000 små og mellemstore virksomheder (SMV’er) bliver stadig oftere udsat for hackerangreb fra udenlandske cyberkriminelle, der har gjort online afpresning til deres levevej.
Fra 2021 til 2022 steg antallet af anmeldte hackerangreb mod SMV’er med 64 procent, viser tal fra SMV Danmark, der dog antager, at det reelle antal er større. Med til problemet hører, at flere end hver tredje SMV ifølge Digitaliseringsstyrelsen har et for lavt digital sikkerhedsniveau. Samtidig mangler SMV’erne viden og kompetencer til at hæve sikkerhedsniveauet, påpeger Erhvervsstyrelsen.
Men selvom den internationale it-underverden i øjeblikket forstærker deres våbenarsenal, især gennem AI, har SMV’erne masser af greb i værktøjskassen til at dæmme op for russiske og østeuropæiske it-kriminelle. Tiltag som kan reducere tab af penge, data, omdømme samt de potentielle juridiske konsekvenser.
It-sikkerhed skal forankres i ledelsen
Først og fremmest skal virksomhedernes fokus på aktivt at forebygge og håndtere cybertrusler forankres i ledelsen og bestyrelsen, og det er den ofte ikke i dag.
64 procent af SMV’ers ledelse er kun i nogen grad, lille grad eller slet ikke involveret i virksomhedens arbejde med IT-sikkerhed, viser tal fra digitaliseringsstyrelsen.
Det er for få, hvis de små og mellemstore virksomheder skal udvikle en målrettet, bevidst it-kultur til at løse problemerne.
Herudover skal virksomhederne uddanne medarbejderne til præventivt at spotte og håndtere trusler, før de skader virksomhedens drift. Udpeg gerne en eller flere cyber-ambassadører i virksomheden, som kan inspirere, dele deres viden med kollegerne og gå forrest for at integrere den nødvendige, resolutte it-adfærd.
Få styr på hjemmearbejdspladserne
Et andet væsentligt sted at sætte ind er i forhold til medarbejdernes hjemmearbejdspladser.
Flere end hver tredje ansatte arbejder i dag hjemmefra mindst en gang om ugen, og de mange hjemmestationer åbner en ny, sårbar flanke over for it-kriminelle. Sørg for at medarbejderne deler det private netværk op og ikke lader andre IoT-enheder, f.eks. TV, køre på samme netværk.
Etabler som et ekstra forsvar gerne en sikkerhedszone, f.eks. et DNS-filter, der blokerer ondsindede hjemmesider med malware, smishing- og phishingmails på mobilnetværket. Phishingmails alene står for halvdelen af alle erhvervsrelaterede cyberscams, og med denne løsning kan virksomheder hurtigt mindske risikoen for angreb.
Betonfaste procedurer
Opdater løbende styresystemerne, da det stopper mange trusler, beskyt ikke blot virksomhedens software, men også dens hardware, herunder serverrummene. Glem ikke nødberedskabsplanen, der inkluderer kommunikationen under en krise og etabler generelt betonfaste procedurer for alt væsentligt, bl.a. datagendannelse.
De digitale trusler bliver flere og mere sofistikerede, og vi har ikke set det sidste til de it-kriminelle - måske nærmere kun det første. Derfor er det vigtigt, at spørgsmålet om it-sikkerhed forankres i ledelsen og bestyrelsen.
