I filmsprog kaldes det ‘point of no return’. Det øjeblik, hvor en afgørende begivenhed i filmen gør, at der nu ikke er nogen vej tilbage. Skulle filmen tage afsæt i danske virksomheders it-sikkerhed, ville hackerangrebet, som Mærsk var udsat for i 2017, fint fungere som det ‘point of no return’.
Eller måske er det nærmere reaktionen, der kort tid efter fulgte. Her proklamerede rederiets ledelse nemlig, at cybersikkerhed fra nu af ville blive set i et forretningsstrategisk lys frem for alene at være et værn mod cyberkriminalitet. Og det har haft stor betydning.
“Jeg tror, at når en virksomhed som Mærsk kommer med sådan en udmelding, så får det mange virksomheder til selv at overveje, hvorvidt cybersikkerhed mere skal anskues forretningsstrategisk frem for bare at se det som en slags dyr forsikring,” siger Malene Stidsen, programchef for Industriens Fonds Cybersikkerhedsprogram.
Det er lige netop sådan, TimeLog har valgt at gøre. Den danske virksomhed, der primært er kendt for leverance af tidsregistrering og projektstyring-software til rådgiver- og konsulentbranchen i ind- og udland, har de senere år valgt at se cybersikkerhed som en bærende rolle for hele virksomhedens forretning. Fra at det lå hengemt i it-afdelingen er det i dag rykket op på et ledelsesmæssigt såvel som forretningsstrategisk niveau.
“Tager man som virksomhed ikke det her alvorligt, svarer det for mig til at køre en bil uden at være sikker på, hvorvidt bremserne virker
Per-Henrik Nielsen, CEO hos TimeLog
“Vi har en stor kundebase i Tyskland, hvor et meget højt niveau af cybersikkerhed er et krav, hvis du overhovedet vil i betragtning til at byde ind på en opgave,” siger virksomhedens CEO, Per-Henrik Nielsen.
TimeLogs arbejde med cybersikkerhed handler dermed i høj grad om en license to operate, og ifølge Industriens Fonds Malene Stidsen er netop license to operate, for mange små og mellemstore virksomheder, den tydeligste konkurrencefordel, som it-sikkerhed giver. For Per-Henrik Nielsens virksomhed har det øgede fokus på virksomhedens cybersikkerhed dog også vist sig at have mere indirekte gevinster.
“Når du som virksomhed arbejder seriøst med det her område, så tvinges du helt automatisk til at optimere nogle interne processer og få skabt noget struktur i virksomheden. Den struktur fører automatisk til en effektivisering af forretningsgangene, der videre leder til, at du på et strategisk niveau bliver tvunget til at stoppe op og overveje, hvorvidt der kunne være smartere løsninger til at løse opgaverne på,” forklarer han.
De direkte og indirekte konkurrencefordelene, som Per-Henrik Nielsen ser, at hans virksomhed har fået på baggrund af et øget fokus på cybersikkerhed, glæder Malene Stidsen. Men det kommer faktisk ikke bag på hende.
“Vi har længe arbejdet ud fra en tese om, at når virksomheder øger deres cybersikkerhed, så styrker de også deres konkurrenceevne. Og vi har også set mange eksempler på det gennem årene. Nu har vi så også lavet en analyse hvor tallene viser, at det er sådan det hænger sammen,” forklarer hun.
Sidste år udkom fonden for første gang med rapporten ‘Cyberbarometeret’. Barometeret er en årlig spørgeundersøgelse, der undersøger sammenhængen mellem danske virksomheders cybersikkerhed og deres konkurrenceevne.
Som sagt var konklusionen ikke overraskende for Malene Stidsen. Altså, at der rigtig nok er en sammenhæng.
Overraskelsen – den første af tre – var derimod, hvor direkte koblingen var mellem antallet af cybersikkerhedstiltag den enkelte virksomhed anvender, og dens konkurrenceevne.
“Det er helt tydeligt, at jo flere tiltag, desto flere konkurrencefordele for de små og mellemstore virksomheder. Mens 20 procent af virksomhederne med op til tre tiltag oplevede konkurrencefordele, så var det hele 87 procent af virksomhederne med 13-15 tiltag, der oplevede konkurrencefordele.”
Dernæst kom det bag på Malene Stidsen, hvor bred en vifte af virksomheder og brancher, der oplevede de konkurrencemæssige fordele.
´Cyberbarometeret 2022´bygger på en spørgeundersøgelse blandt danske smv’er med 729 besvarelser – Mere end halvdelen: 56 pct. af de smv’er, som inden for de sidste to år havde indført eller opdateret tiltag oplevede konkurrencefordele
– Jo flere, desto bedre: 20 pct. af virksomhederne, der havde indført 1-3 tiltag, oplevede konkurrencefordele, mens hele 87 pct. af virksomhederne, der havde indført 13-15 tiltag, oplevede konkurrencefordele
– Variation i tiltag styrker bundlinjen: 4 pct. af virksomhederne med én form for tiltag oplevede konkurrencefordele, mens 25 pct. af virksomhederne med tre former for tiltag oplevede konkurrencefordele
“Min antagelse var, at det primært ville være it-branchen, der høstede fordelene. Men rundspørgen viste, at det var alle brancher og typer af virksomheder, der oplevede en direkte sammenhæng mellem konkurrenceevne og øget it-sikkerhed.”
En forklaring, mener hun, der kan ses i lyset af, hvor digitalt forbundet vi som samfund og erhvervsliv er blevet. Her kan vi igen vende os mod hackerangrebet på Mærsk i 2017. Virussen, der ramte Mærsk, kom ind via an bagdør i et stykke software fra en ekstern leverandør. Altså blev de ramt via en underleverandør til rederiet og ikke gennem rederiet selv.
“Fællesnævneren for sundhedssektoren, finanssektoren og alle de industrier, som vi typisk betegner som kritisk infrastruktur, er, at de samarbejder – også digitalt – med en myriade af underleverandører, der udgør en reel risiko, når vi snakker cyberkriminalitet.”
Netop kravene om cybersikkerhed fra værdikæden bliver et fokus i den nye udgave af Industriens Fonds Cyberbarometer, der er planlagt til at udkomme her i slutningen af 2023, fortæller Malene Stidsen.
“Vi ser, at der sker en kæmpe stigning i antallet af angreb gennem værdikæderne, og i takt med det kommer der også stigende krav til, hvordan man interagerer med sin værdikæde. Min formodning er, at det hurtigt kan komme til at overskygge de lovmæssige krav, der er på vej, så den egentlige ’gamechanger’ i, hvordan virksomheder fremover kommer til at arbejde med cybersikkerhed, bliver med afsæt i krav fra værdikæden,” siger hun.
For Malene Stidsen var en tredje overraskelse i rapporten, hvor stor betydning variationen af tiltag har for kvaliteten af den enkelte virksomheds cybersikkerhed.
“Cybersikkerhed handler naturligvis meget om det tekniske setup. Men software og firewalls gør det langtfra alene. Medarbejderne er også meget vigtige. Potentielt kan de være det svage led, og derfor skal de trænes grundigt i at arbejde med cybersikkerhed. Virksomheder, der for alvor vil styrke it-sikkerheden, er derfor nødt til at tænke det holistisk ind i kulturen og strategien. Og det sker kun, hvis ledelsen går forrest,” siger Malene Stidsen.
Det er Per-Henrik Nielsen enig i. Han oplever dog fortsat, at den tilgang er undtagelsen frem for reglen hos danske virksomheder.
“Måske skyldes det, at jeg har boet 13 år i udlandet, men det overrasker mig mildt sagt, hvor naive rigtig mange danske virksomheder er, når det gælder cybersikkerhed.”
Han fortsætter: “Tager man som virksomhed ikke det her alvorligt, svarer det for mig til at køre en bil uden at være sikker på, hvorvidt bremserne virker.”
Derfor ser han også meget gerne – ikke mindst i lyset af det kommende NIS2-regulativ – at danske virksomheder rykker sammen og skaber en fælles ramme for, hvordan de arbejder med cybersikkerhed.
En sådan ramme er D-mærket et bud på. D-mærket er Danmarks mærkningsordning for it-sikkerhed og ansvarlig dataanvendelse, som Industriens Fond har søsat i samarbejde med en række relevante organisationer. 'Cyberbarometret’ søgte ud for tre parametre at se på, hvor direkte sammenhæng der er mellem antallet af danske smv’eres cybersikkerhedstiltag og deres konkurrencenceevne. De tre områder, rapporten spurgte ind til var: Læs om den danske mærkningsordning for it-sikkerhed og ansvarlig dataanvendelse og se hvordan din virksomhed kan blive D-mærket.
1) Hvordan har en øgning af cybersikkerhedstiltag resulteret i nytænkning og mere effektive forretningsgange?
2) Hvordan har en øgning af cybersikkerhedstiltag skabt større tillid blandt medarbejdere og kunder?
3) Hvordan har en øgning af cybersikkerhedstiltag øget virksomhedens bundlinje?
Mærket tydeliggør hvilke virksomheder, der udviser digital ansvarlighed og giver dermed både forretningsværdi til virksomhederne og tryghed til forbrugere og kunder.
“D-mærket er en måde hvorpå virksomheder kan vise omverdenen, at der er styr på sikkerheden. Dermed får virksomheden bedre mulighed for at høste de konkurrencemæssige fordele, som vi – nu også bekræftede af rapporten – ved følger med, når man styrker sin cybersikkerhed,” siger Malene Stidsen.
Annoncen er produceret 09.10.2023 af Børsen Creative for Industriens Fond
