STRATEGI | Af Jackieline Panduro Gyrup
I Danmark vurderes truslen fra cyberkriminalitet til at være meget høj. Derfor er det mere end nogensinde før vigtigt, at virksomheder forstår det aktuelle trusselsbillede og styrker deres it-sikkerhed.
Cybertruslen mod Danmark er meget høj. Sådan lyder vurderingen ifølge den seneste rapport fra Center for Cybersikkerhed under Forsvarets Efterretningstjeneste. Konkret betyder det, at der er en forhøjet risiko for, at virksomheder og myndigheder bliver ramt af cyberkriminalitet inden for de næste to år. Ifølge Thomas Mølgaard, der er ansvarlig for Cyber Security i NetDesign under TDC Erhverv, skyldes det høje trusselsniveau blandt andet ændrede arbejdsformer under coronapandemien, som har svækket it-sikkerheden i mange virksomheder, men også at de it-kriminelle er blevet bekræftet i, at cybercrime er en rigtig god forretning.
”I Danmark kan vi fortsat konstatere, at cyberkriminelle kontinuerligt tjener flere og flere penge og er mere og mere aktive. Pengene tjener de cyberkriminelle ofte ved at presse en løsesum ud af ofre, som har fået krypteret deres data. Under corona er især ransomware vundet frem. Det sker gennem aktivering af software eller et program online, der krypterer dine filer, så du ikke kan se indholdet, medmindre du betaler en løsesum til bagmændene bag angrebet,” siger Thomas Mølgaard og tilføjer, at der ses en stigende tendens til, at hackere laver det, der kaldes dobbeltafpresning. Det vil sige, at de efter et ransomware-angreb, hvor der er blevet betalt løsesum, truer med at lække følsom information til offentligheden, hvis ikke der bliver betalt yderligere løsepenge.
”Virksomhederne, der er ofre for den type angreb, bliver sat i en virkelig svær situation, hvor de indgår forhandling med nogle bagmænd, de dybest set ikke kan stole på. Her har de valget mellem at betale løsesum og finansiere de kriminelle eller at få lækket data, der kan skade organisationen eller forretningen.”
Det er meget vigtigt, at man ikke bruger kræfter på at frygte truslen, men i stedet respekterer den og går systematisk til værks.
Thomas Mølgaard, ansvarlig for cyber security, NetDesign.
Bundniveauet skal løftes
For at stå stærkere mod cybertruslen peger Thomas Mølgaard på, at det er altafgørende, at virksomhederne styrker deres it-sikkerhed. Og i det ligger blandt andet, at virksomhedslederne har forudsætningerne for at italesætte truslen og sætte it-sikkerhed på dagsordenen. Ifølge Thomas Mølgaard kræver det en forståelse af det aktuelle trusselsbillede, af cybersikkerhed, og at man får skabt en begrebsramme at tale ud fra.
”Det er meget vigtigt, at man ikke bruger kræfter på at frygte truslen, men i stedet respekterer den og går systematisk til værks. Der findes overordnede frameworks for, hvordan man kan gribe cybertruslen an. Og der er generelle anbefalinger til, hvilke processer og governances man skal have på plads,” siger Thomas Mølgaard og tilføjer:
”Men det hjælper ikke det store, hvis ikke man har styr på, hvilke it-sikkerhedskrav man skal stille til sig selv som virksomhed og til sine leverandører af sikkerhed. Ved man ikke det, har man rigtig dårlige forudsætninger for at finde ud af, hvordan man beskytter sig mod truslerne, der er oppe i tiden.”
Thomas Mølgaards tre råd:
1. Man skal gøre sig bevidst om, at it-sikkerhed ikke kun er et it-chefansvar. Det er et bredt organisationsansvar med forskellige roller, som inkluderer bestyrelsen, den overordnede ledelse og mellemledelsen. Sørg også for, at der løbende er en handleplan for it-sikkerhed og beskyttelse.
2. Sørg for løbende at vurdere jeres it-sikkerhed. Test beredskabet, akkurat ligesom når man laver en brandøvelse, for at finde ud af, hvor rustet I er mod forskellige typer cyberangreb. Undersøg også løbende, om I allerede er under angreb.
3. Gør jer så klar, som I kan blive til et angreb. Dvs. at I skal være beskyttet ud fra, hvor I mener, I er sårbare. I skal have styr på handleplan og beredskab – f.eks. hvordan I reagerer i tilfælde af et angreb, hvordan I kommunikerer med hinanden, og hvilke eksperter I kalder ind. Sørg for at skrive handleplanen ned og printe den ud – er I først under angreb, nytter det ikke noget, at handleplanen er i en krypteret fil.
Vil du opkvalificere dine kompetencer? Se alle Børsens uddannelser her