Mange mindre virksomheder bliver i dag “født i clouden”, som vi kalder det hos Datto. Det betyder, at man fra start lagrer alle sine data og benytter applikationer i clouden frem for på lokale servere. Virksomhederne vælger ofte denne løsning, da det både giver dem den nyeste teknologi og en høj grad af fleksibilitet til en overskuelig pris.
Desværre ved jeg også, at overraskende mange af disse virksomheder ikke tænker it-sikkerhed ind fra start, fordi de ikke tror, at de har værdier, der er store nok til, at de bør beskyttes. Og fordi de stoler på, at deres data er sikker i clouden.
Men her bliver jeg nødt til at trykke på den store tænd-knap for det kritiske og måske lidt skeptiske mindset. Det kan nemlig sagtens være, at it-sikkerhed ender med at skulle redde din virksomhed.
For mindre virksomheder benytter sig i lige så høj grad som store af teknologier, der letter den digitale markedsføring, kundekontakt, administration, betalingsmuligheder osv. Selv håndværkere og tandlæger, der måske ikke har den store it-tekniske kunnen, er hoppet med på digitaliseringen. Og i modsætning til hvad mange af dem tror, så ligger disse små virksomheder ikke kun inde med ubetydelige data. Nej, de ligger faktisk ofte inde med rigtig mange personfølsomme oplysninger. Og det ved de cyberkriminelle udmærket godt.
“Det handler også om, hvor lang nedetiden er for virksomheden, da nedetid ofte er den dyreste del af et ransomwareangreb
Derfor angriber hackerne ikke kun de store indtægtstunge virksomheder – de angriber alle, store som små, og rammer dem, hvor det gør mest ondt: på pengepungen. Men alligevel ender cybersikkerhed i mange tilfælde langt nede på virksomhedernes prioriteringsliste.
Hos Datto er vi dagligt i kontakt med danske Managed Service Providers (MSP’er), der administrerer små og mellemstore virksomheders it. Og MSP’erne ser desværre en kedelig tendens i, at rigtig mange mindre virksomheder først kommer til dem, efter de bliver ramt af f.eks. ransomware. Det overrasker mig ikke, når vi stort set aldrig hører om cyberangreb mod mindre virksomheder i medierne, men primært kan læse om angreb mod giganter som Mærsk, Vestas og Demant.
De små og mellemstore virksomheder kan ikke spejle sig selv i de store virksomheder og de angreb, der sker mod dem, og de ser derfor ikke faren i at nedprioritere cybersikkerhed, backup-løsninger og beredskabsplaner. Derfor lærer de først lektien, når de selv er blevet ramt af ransomware og tror, at de ikke har andet valg end at betale løsesummen.
Problemet er bare, at når virksomhederne først betaler ved kasse 1, så kommer hackerne gerne igen. Og samtidig har virksomheden støttet en kriminel forretning økonomisk. I mange tilfælde er betalingskravet kun tomme trusler. Men selv i de tilfælde hvor angrebet faktisk er reelt, og virksomheden ikke kan tilgå sin data, får virksomheden ikke nødvendigvis sine data tilbage, blot fordi de har betalt løsesummen.
Hvis man som en mindre dansk virksomhed gerne vil undgå at havne i en situation, hvor hackere har taget ens data som gidsel – og undgå dilemmaet om, hvorvidt man skal betale løsesummen eller ej – vil jeg slå et slag for disse tre råd til en god cyber-hygiejne:
1. Uanset om man er ved at etablere en virksomhed eller allerede har gjort det, så skal man sørge for, at alle virksomhedsdata er lagret på en sikker platform, hvor data løbende bliver sikkerhedskopieret.
Derudover kan man med fordel lade it-sikkerheden på disse platforme blive administreret af en MSP, der har et indgående it-sikkerhedskendskab og kan varetage det daglige arbejde med implementering af tofaktor-godkendelse, håndtering af patches, PEN-testing osv.
2. Sørg for, at virksomhedens personale er uddannet i god cyber-hygiejne, herunder håndtering af persondata, samt hvordan indgående phishing e-mail håndteres.
3. Sidst, men ikke mindst, er det essentielt, at virksomheden har en sikkerhedspolitik, der beskytter kundernes privatliv, og som også indeholder procedurer for, hvad virksomheden gør under et ransomwareangreb. Derudover skal det også indgå, hvad der skal tages backup af, og hvor den kan findes, i tilfælde af at cyberkriminelle får låst systemerne.
Det handler nemlig ikke kun om, hvorvidt de kriminelle har adgang til virksomhedens data, men i høj grad også om, hvor lang nedetiden er for virksomheden, da nedetid ofte er den dyreste del af et ransomwareangreb.
Der er selvfølgelig mange forholdsregler, man bør tage, når det kommer til ransomwareangreb og andre cyberhændelser. Derfor er disse tre råd ikke en endelig facitliste.
Det vigtigste er, at de mindre danske virksomheder får øjnene op for, at de også bliver ramt af cyberangreb, og at det er vigtigt at være på forkant med hackerne, hvis de vil sikre sig mod alternativet: At betale en dyr løsesum og miste forretning og økonomi.
