Godt og vel 2 mia. kroner.
Det endte det med at koste Mærsk, da de i 2017 blev udsat for et hackerangreb, der resulterede i, at deres containerhavne stod stille flere dage i træk, alt imens frustrerede kunder hverken kunne få at vide, hvor deres fragt befandt sig eller indgive bestillinger på ny fragt.
Postdoc fra CBS med ekspertise i cybersikkerhed, Johann Ole Willers, mener godt, at man kan kan tale om ’et før og et efter’ NotPetya, som angrebet blev kaldt.
”Der skete en hastig udvikling efter i både antallet af cyberangreb samt den professionalisme, hvormed angrebene udføres. Først og fremmest fordi, at angrebet med stor tydelighed viste hackerne, hvor mange penge der potentielt var at tjene her.”
En tese, der bakkes op af tal fra EU’s Agentur for Cybersikkerhed, der i 2021 anslog, at skader som følge af angreb, der mindede om NotPetya, løb op i 18 mia. euro - hvilket er 57 gange højere sammenlignet med antallet af angrebet i 2017.
Udviklingen betyder, at virksomheder – små såvel som store – skal investere i nye og opdaterede it-sikkerhedsløsninger. Det er enstemmigt rådet fra store danske erhvervsorganisationer samt Center for Cybersikkerhed (CFCS), der siden Ruslands invasion i Ukraine har hævet trusselsniveauet for såkaldt cyberaktivisme fra lav til høj.
I praksis vil der kunne være tale om sikkerhedsløsninger, der udskifter den traditionelle pinkode med krav om ansigts godkendelse og fingeraftryk, der vil informere om trusler og mistænkelig aktivitet i realtid. Eller løsninger, der i væsentlig grad altid vil styrke virksomhedens chance for at opdage uregelmæssigheder, inden der sker en pengetransaktion.
Men et lige så centralt investerings- og indsatsområde, mener Johann Ole Willers, er processerne, der understøtter eksempelvis ovennævnte sikkerhedsløsninger.
“Forskningen viser, at kommer der et klart defineret bestyrelsesansvar, så får området opmærksomhed
Johann Ole Willers, Postdoc CBS med ekspertise i cybersikkerhed
NotPetya fik ikke alene understreget, hvor mange penge, der muligvis kan tjenes af hackerne, angrebet viste også at en virksomheds it-sikkerhed ikke er stærkere end sit svageste led.
Hackernes vej ind i Mærsks it-system skete nemlig gennem en ukrainsk underleverandør, hvis software det danske containerrederi anvendte. Ligesom de mange andre virksomheder, der i mere end 50 lande også blev ramt af det globale hackerangreb med hidtil uset omfattende økonomiske konsekvenser.
“I dag ser vi oftere og oftere, at hackerne tvinger sig adgang til de store virksomheders it-systemer gennem deres underleverandører, hvis sikkerhed er svagere. Derfor er det afgørende, at man som virksomhed tænker sin it-sikkerhed i et bredere perspektiv, der også inkluderer alle samarbejdspartneres sikkerhedsløsninger."
Johann Ole Willers peger bl.a. på spørgeskemaer, der kan sendes til underleverandørerne, hvor de skal redegøre for at de lever op til bestemte niveauer af it-sikkerhed. Ligesom der også er udviklet softwareprogrammer, der kan scanne og bedømme en given virksomheds it-sikkerhed ved at kigge på, hvilke hjemmesider og it-systemer, virksomheden er koblet op med.
”Det er meget udbredt at gøre brug af disse programmer, for de giver dig et dejligt simpelt tal på, hvor sikker virksomheden er at samarbejde med. Problemet er blot, at det kan blive en for simplificerede måde at anskue virksomhedens sikkerhed på,” siger Johann Ole Willers.
Comarch, en multinational softwarevirksomhed, tilbyder med tPro Mobile en praktisk it-sikkerhedsløsning, der sikrer stærk kundegodkendelse og -autorisation. Løsningen kan fås som en selvstændig app eller som en tilføjelse til virksomhedens eksisterende sikkerhedsapps. Den er målrettet loyalitetsprogrammer, netbank og e-handel. tPro Mobile sikkerhedsmekanismer bygger på stærk kryptografi, der i samspil med intern software analyserer platformens adfærd for dermed at sikre et højt niveau af både sikkerhed og bekvemmelighed. Løsningen kommer med en række værktøjer, der gør det ekstraordinært svært for en eventuel tredjepart at iværksætte et angreb eller opsnappe relevante data fra virksomhedens platform.
Han mener derfor, at det for især store og ressourcestærke virksomheder er nødvendigt, at de fysisk sender specialiserede medarbejdere ud til underleverandørernes virksomheder for på den måde at få det fulde billede af, hvilke processer den givne virksomhed har for it-sikkerheden.
”Det er den eneste måde, du kan få det fulde overblik over, hvem der f.eks. sidder med ansvaret for hvad? Hvem der har hvilke adgange og til hvad? Hvilke budgetter, der er afsat til it-sikkerhed og hvilken prioritet it-sikkerhed helt generelt har i organisationen.”
Hvor højt, it-sikkerhed er på dagsordenen i virksomheden, vil ofte kunne ses ud fra topledelsens engagement og involvering i virksomhedens it-sikkerhed, mener Johann Ole Willers. En involvering, der bør være et helt centralt indsatsområde, hvis man som virksomhed skal have en chance overfor hackerne.
Det er nemlig kun når topledelsen involveres, at spørgsmålet om it-sikkerhed bliver inkorporeret i virksomhedens strategi – og på den måde bliver gjort nærværende for alle de ansatte, hvilket er et andet vigtigt parameter, når virksomhedens bolværk mod cyberangreb skal styrkes.
Men her er første benspænd altså, at der i ledelsen gøres op med at it-sikkerhed er noget meget uoverskueligt og teknisk, som kun it-chefen har ansvaret for.
“Det handler om at skaffe ledelsen en grundlæggende forståelse for det trusselsbillede og den nødvendige risikohåndtering
Johann Ole Willers, Postdoc CBS med ekspertise i cybersikkerhed
”Det handler om at skaffe ledelsen en grundlæggende forståelse for det trusselsbillede og den nødvendige risikohåndtering. Det vil man kunne gøre gennem kurser, der er målrettet ledelsen,” siger Johan Ole Willers, der selv sidder med i et projekt, som handler om at skabe bindeled mellem topledelsen og it-afdelingen.
”Derudover er en strategi, at ledelsen inkluderer en specialiseret medarbejder, som har indgående kendskab til it-sikkerhed, for derved at undgå at der sker en form for envejskommunikation fra it-afdelingen og op til ledelsen,” siger han men advarer samtidig om, at ulempen her kan være, at de vigtige og løbende diskussioner om it-sikkerhed forstummer, fordi det bliver personen med det indgående kendskab, der får alt ansvaret.
En anden og langt mere presserende årsag til, at virksomhedens ledelse bør involvere sig direkte i it-sikkerheden, er direktivet NIS2. EU-direktivet træder i kraft 17. oktober 2024 og kommer i første omgang til direkte at berøre godt og vel 1.000 danske private og offentlige virksomheder.
De skal nu både leve op til og kunne rapportere på nye og strammere krav om deres it-sikkerhed. Formår de ikke det, kan det få retslige konsekvenser for enkelte personer i ledelsen, mens bøder på op til 10 mio. euro – eller i nogle tilfælde to procent af virksomhedens globale omsætning – kan have en stor økonomisk konsekvens for hele virksomheden.
Johann Ole Willers er klar over, at direktivet er og bliver en hovedpine for mange virksomheder, men han mener, det bør hilses velkommen, da direktivets klare deadline vil fremtvinge handling, der potentielt kommer til at redde mange virksomheder fra at blive ramt af fatale cyberangreb.
”Forskningen viser, at kommer der et klart defineret bestyrelsesansvar, så får området opmærksomhed,” siger han og peger på, at de virksomheder som i første omgang ikke bliver direkte berørt af direktivet, alligevel vil føle konsekvensen indirekte, hvis de som underleverandører bliver siet fra, fordi de ikke lever op til de nye krav.
”Dagene, hvor man blot udliciteret it-sikkerheden til ’dem nede i it’, er endegyldigt talte. Det er til gengæld blevet på høje tide, at virksomheder stopper med at se it-sikkerhed som en udgift frem for et aktivt konkurrenceparameter.”
