Alle kan blive ofre for cyberangreb, og lige nu rammer det hvert år halvdelen af landets virksomheder. Der er god grund til at være bekymret, men også hjælp på vej. Men hvor er Christiansborg og myndighederne?
Hvis du synes der er meget snak om it-sikkerhed, er det ikke for sjov. Og hvis du bekymrer dig er det ikke uden grund, og du er ikke spor alene. PwC Danmark årlige ”Cybercrime Survey” tager temperaturen på it-sikkerheden i danske virksomheder. Den seneste rapport udkom i oktober 2022, og viser at mere end halvdelen af danske virksomheder har været udsat for mindst én sikkerhedshændelse inden for det seneste regnskabsår. Sådan har det være fire år i træk.
Dystre tal: Hver anden virksomhed rammes”PwCs rapport er nyttig og nedslående læsning, og fortæller historien om, hvorfor virksomhederne er mere bekymrede i dag end for et års siden”, siger Janus Sandsgaard, digitaliseringspolitisk fagchef i Dansk Erhverv.
- 51% har været udsat for mindst én sikkerhedshændelse
de seneste 12 måneder. - 63% er i dag mere bekymret for cybertruslen end for et år siden. Af dem peger et stort flertal på konflikten med Rusland som årsag hertil.
- 59% forventer, at virksomhedens cyber- og informationssikkerhedsbudget vokser inden for de næste 12 måneder. Blandt de større virksomheder er det 72%.
Kilde: PwC: “Cybercrime Survey 2022”, oktober 2022.
Især SMV’erne har ondt i sikkerheden
”It-sikkerheden sejler stadig i alt for mange virksomheder. Det lyder måske hårdt, men der er ingen grund til at pakke det ind”, siger Janus Sandsgaard
Der er især de små og mellemstore virksomheder der har udfordringer, viser en ny rapport fra Erhvervsstyrelsen, som Janus Sandgaard kalder ”nedslående men desværre ikke chokerende læsning”. Rapporten viser, at en fjerdedel af SMV’erne ikke anvender ”basale it-sikkerhedsforanstaltninger” – altså foretager systematiske sikkerhedsopdateringer af deres systemer og har sikkerhedskopi af virksomhedens data.
”Det er en sprængfarlig cocktail for alle it-systemer har huller og sprækker som de kriminelle kan udnytte til deres angreb. Leverandørerne gør deres yderste for løbende at rette fejl og lappe huller, men det nytter intet, hvis opdateringer ikke bliver brugt. Og når først de kriminelle kommer ind, kan de slette eller låse virksomhedens data, og så er man virkelig på spanden uden en sikkerhedskopi”.
- 25 pct. af de danske SMV’er anvendte ikke de to basale it-sikkerhedsforanstaltninger i 2020: opdatering af styre-
systemer og backup af data. Det er omtrent på samme niveau som i 2018 og 2019. - 44 pct. af SMV’erne har et for lavt sikkerhedsniveau i forhold til deres sikkerhedsprofil.
Kilde: Erhvervsstyrelsen: “Digital sikkerhed i danske SMV’er”, september 2022
Ingen pegen fingre
Det handler ikke om at pege fingre, men at tale åbent om de reelle problemer og række en hjælpende hånd, understreger Sandsgaard. For trusselsbilledet har udviklet sig, så ingen virksomhed kan længere føle sig sikre:
”På den ene side har vi en virksomhed, som selvfølgelig er optaget af at passe og udvikle kerneforretningen. Man er ikke it-eksperter og har derfor svært med at følge med. Og på den anden side lurer dybt professionelle, kyniske bagmænd, der investerer enorme summer i at udvikle og forfine deres angreb. Asymmetrien er enorm, og det er farligt”.
Markedet reagerer
Der findes ikke noget enkelte teknisk fiks på udfordringerne med it-sikkerhed. Det handler langt fra kun om teknik, men i høj grad om adfærd og forankring i ledelsen. Det er et område i hastig bevægelse, hvor de færreste virksomheder selv kan følge med.
”Det er glædeligt at se at, hvordan markedet reagerer på truslen, og tilbyder produkter der taler ind i forretningen hos andre virksomheder. Se fx teleselskabet Telenor, der bygger en række sikkerhedsløsninger ind deres med mobil- og bredbåndsabonnementer. Eller Tryg som arrangerer gå-hjem-møder om cybersikkerhed for kunderne, tager en stemme i debatten, og har lanceret cybersikkerhedsforsikringer der hjælper virksomheden videre, hvis skidtet rammer ventilatoren. Den slags er med til at trække it-sikkerhed ud af det nørdede teknikrum og ind i direktionslokalet, hvor det skal behandles på lige fod med andre risici – fysisk indbrud, brand og hærværk”, fastslår Janus Sandsgaard.
Hjælpende hånd
I september 2021 så verdens første mærkningsordning for digital ansvarlighed dagens lys, og det skete i Danmark. D-mærket skal gøre it-sikkerhed konkret og forretningsnært gennem en række krav der er tilpasset virksomhedens type og risikoprofil.
”Vi gik ind i arbejdet, fordi vi kunne se at mange virksomheder har ondt i it-sikkerheden, og har brug for hjælp”, siger Janus Sandsgaard. ”Til en start skal virksomhederne blive mere robuste, og på sigt skal det styrke konkurrencekraften og gøre it-sikkerhed og digital ansvarlighed til en dansk styrkeposition. Vi skal vende et kæmpe problem til en stor fordel.”
Industriens Fond står bag D-mærket i samarbejde med Forbrugerrådet Tænk, Dansk Erhverv, Dansk Industri og SMVdanmark. D-mærket støttes af Erhvervsstyrelsen og er en uafhængig privat organisation.
Hvor er Christiansborg?
Folketingsvalgkampen har raset de seneste uger, men digitaliseringen har ikke fyldt meget.
”Fraværet af digitalisering i valgkampen er påfaldende, for digitalisering er nøglen til at løse store samfundsudfordringer om velfærd, klima og sundhed, og det burde optage alle politikere, uanset partifarve. Men sådan er det desværre ikke, og det giver et fingerpeg om, hvor sikkerhedsdagsordenen befinder sig politisk”, siger Janus Sandsgaard. Politisk er langt de fleste ressourcer på sikkerhedsområdet i Danmark allokeret til Center for Cybersikkerhed, som ligger under Forsvarsministeriet, og hvis primære opgave er at passe på Danmarks nationale sikkerhed. Det er et omfattende og vigtigt ansvarsområde, men også et fokus der ikke handler så meget om den enkelte virksomhed. I december 2021 kom regeringens ”National strategi for cyber- og informationssikkerhed”.
Her er gode intentioner om at udvide bredden af sikkerhedsindsatser med 270 mio. kr. til 34 initiativer for perioden 2022-24, men det er slet ikke nok, mener Sandsgaard.
”Det nye folketing bliver nødt til at tage ansvar for at tænke sikkerhedsområdet bredere og videre. De færreste virksomheder er samfundskritiske. Danmark går ikke i stå, hvis enkelte virksomheder bliver ramt eller drejer nøglen om. Men et vellykket cyberangreb kan være fatalt for den enkelte erhvervsdrivende, og det kan vi ikke være bekendt at lade passere. Vi savner at Christiansborg tager politisk ejerskab for den digitale dagsorden, herunder for en bredere sikkerhedsdagsorden, som omfatter erhvervslivet i almindelighed. Cybersikkerhed er en investering i fremtiden, og det glæder jeg mig til at høre en ny statsminister sige fra folketingets talerstol”, slutter Janus Sandsgaard.
