It-sikkerhed skal styrke forretningen og må ikke blot blive en papirøvelse, der kun sikrer, at direktiver som GDPR og NIS2 bliver overholdt. Hvis it-sikkerhed skal gøre en forskel for virksomhederne, er det helt centralt, at det strategiske og operationelle niveau hænger sammen, at it-sikkerhed bliver anskuet holistisk, og at der er klare kommunikationslinjer mellem topledelsen og maskinrummet.
Danske virksomheder og organisationer er i skudlinjen, når det kommer til cyberangreb. Tal fra PwC Cybercrime Survey 2022 viser, at mere end seks ud af ti erhvervsledere og it-fagfolk er mere bekymrede for angreb i dag end for blot et år siden. En af hovedårsagerne til bekymringerne er Danmarks engagement i krigen i Ukraine, der blandt andet har udløst en stribe af DDoS-angreb, de såkaldte belastningsangreb, hvor hjemmesider eller mobiladgang til banken går ned, fordi it-kriminelle bevidst overbelaster siden. I kølvandet på de mange angreb og for at beskytte data har EU lanceret direktiver som GDPR, og i 2024 venter NIS2, der kommer med skærpede krav til virksomhedernes it-sikkerhed.
”Cybersikkerheden er truet, og det er naturligvis vigtigt, at virksomhederne lever op til direktiverne. Når det er sagt, vil vi gerne understrege vigtigheden af, at virksomhederne beskæftiger sig med it-sikkerheden, fordi de ønsker at sikre produktionen og beskytte data. It-sikkerhed er vigtig, fordi der er en trussel mod virksomheden, og ikke fordi der kommer et direktiv,” siger Thomas Wong, Director for Technical Cyber Risk Advisory hos Improsec og uddyber: ”Jeg har fx heller ikke en airbag i min bil, fordi loven dikterer det, men fordi airbaggen kan redde mig i et uheld. På samme måde skal en virksomhed, der eksempelvis producerer stål, have it-sikkerheden på plads for at sikre, at produktionen ikke bliver truet eller går i stå”.
Virksomhederne skal se indad
Sikkerhed er blevet mere kompleks i dag. Der er mange aspekter af sikkerhed, som en virksomhed skal tage højde for. Dette kan være en udfordring for virksomheder, der ikke har tilstrækkelige ressourcer eller ekspertise til at forstå og forholde sig til disse trusler og risici. Hos Improsec, der er specialister i at udføre operationelle it-sikkerhedstests og sikkerhedsrådgivning, ser de en risiko ved, at it-sikkerheden hos virksomhederne bliver en papiropgave, der reelt ikke styrker virksomhederne.
”Med GDPR er it-sikkerhed for alvor rykket ind på ledelsesgangene, og det er fint. Desværre ser vi en tendens til, at kommunikationen mellem topledelsen og maskinrummet ikke fungerer optimalt,” siger Thomas Wong:
”Compliance og kontrol er godt, men tekniske test og afprøvning er et vilkår og en nødvendighed for effektiv håndtering af risiko. Det kræver, at ledelsen forstår det tekniske bag sikkerheden, og CISO’erne forstår strategien fra ledelsen.”
Forstå teknikken bag sikkerheden
Ifølge Improsec kræver det, at virksomhederne sætter sig ind i teknikken i maskinrummet og styrker kommunikationen, så der ikke opstår et vakuum, hvor ledelsen nikker til en stribe af tekniske rapporter med grønne flueben fra maskinrummet, uden teknikken er kendt.
”Hvis virksomhederne faktisk havde et indblik i det operationelle – altså teknikken, ville de forskellige EU-direktiver slet ikke slå så hårdt, fordi indsigten vil understøtte, at der er styr på sikkerheden,” forklarer Thomas Wong.
Hos Improsec har de netop specialiseret sig i at hjælpe virksomhederne med at forstå teknikken bag samt at bidrage med overvågningen, så de sikkerhedsansvarlige får de rigtige redskaber, så de kan kommunikere klart til ledelsen.
”Virksomhederne er nødt til at anlægge en holistisk tilgang til it-sikkerheden, fordi de it-kriminelle altid vil lede efter en åben dør, indtil de finder en. Det nytter ikke noget, hvis tilgangen til it-sikkerheden bliver for løs og sporadisk, for så finder de it-kriminelle hurtigt den dør, de kan komme ind gennem,” forklarer Improsecs Administrerende Direktør, Martin Kofoed.
Et eksempel kan være, at virksomheder benytter sig af multifaktor-godkendelser, når medarbejderne logger ind på et system. Men har virksomheden samme sikre tilgang, når et nyt system eller en applikation gøres tilgængelig for kunderne? Hvis der ikke er en sammenhæng, bliver it-sikkerheden skrøbelig, fordi kæden aldrig er stærkere end det svageste led.
De nye angreb er gamle kendinge
”Typen af angreb, vi ser for tiden, er ikke nye. Men med Rasmus Paludans koranafbrændinger og Danmarks engagement i krigen i Ukraine oplever vi nu, at angrebene ikke længere kun er møntet på at få politisk opmærksomhed, men på at ødelægge den teknologiske infrastruktur,” siger Martin Kofoed og uddyber:
”Pointen er, at havde virksomhederne kendt teknologien og allerede beskyttet sig mod DDoS-angreb, da vi så dem de første gange for år tilbage, havde vi ikke problemerne med dem nu. Den gang var de ikke top of mind, men det burde have været håndteret for længe siden.”
Trusselskatalog kunne hjælpe virksomhederne
Hos Improsec efterlyser de mere åbenhed virksomhederne imellem. Og så efterlyser it-sikkerhedseksperterne, at myndighederne fx udarbejder et trusselskatalog, så virksomhederne kan se, hvilke konkrete sikkerhedstrusler de skal forholde sig til. Det vil være mere motiverende og konstruktivt end at true med EU-direktiver som GDPR og NIS2, der kan udløse høje bødestraffe, retten til at drive virksomhed osv.
Et rammeværk, der faktisk beskriver truslerne, vil gøre det lettere for virksomhederne at skabe en holistisk tilgang til it-sikkerhed med klar kommunikation mellem det strategiske og operationelle plan i virksomheden.
