Erhvervsstyrelsen offentliggjorde i efteråret 2021 en undersøgelse, der viste, at 40 pct. af SMV’erne ikke har prioriteret it-sikkerhed tilstrækkeligt. Det er bekymrende. Ikke mindst fordi det udgør en meget stor risiko for SMV’erne selv, men også en risiko for dansk erhvervsliv bredt set, når over en tredjedel af virksomhederne, der kan være samarbejdspartnere eller leverandører for andre, er i høj risiko for at blive ramt af et cyberangreb. Vi ved, at manglende it-sikkerhedskendskab og -kompetencer, er en af de centrale udfordringer, som virksomhederne står overfor, når de skal i gang med at anvende it-sikkerhedsløsninger. Det understreger Erhvervsstyrelsens analyse også – 28 pct. af SMV’erne peger på netop de udfordringer.
Det er derfor vigtigt, at virksomhederne, og særligt SMV’erne, får de rigtige værktøjer og tilstrækkelig vejledning til at kunne komme i gang med at forbedre deres digitale sikkerhed. Spørgsmålet er, om regeringens spritnye nationale strategi for cyber- og informationssikkerhed giver SMV’erne det de har brug for, når man ser på strategiens 34 initiativer. Ikke med det samme i hvert fald. Myndighederne vil etablere en cybersikkerhedsenhed for SMV’er i Erhvervsstyrelsen, som skal koordinere indsatsen for at styrke cybersikkerhedsniveauet i SMV’erne. Et af de første skridt bliver at etablere en cyberhotline med råd og vejledning, hvis man har været udsat for cyberkriminalitet.
I DI Digital havde vi gerne set en cyberhotline, som del af et større initiativ om etableringen af en SMV:CERT, et videns- og overvågningscenter, som har til formål løbende at informere og guide danske SMV’er i arbejdet med cybersikkerhed, og som kan forebygge cyberkriminalitet mod danske SMV’er og give hurtig råd og vejledning, hvis uheldet er ude. Tæt koordinering og samarbejde mellem den offentlige og private sektor er en forudsætning for at lykkedes med at hæve sikkerhedsniveauet i virksomhederne. SMV:CERT skal derfor etableres i et tæt samarbejde med it-sikkerhedsbranchen og myndighederne fremfor alene at være et kontor i en styrelse, hvis det står til os. Men hvad synes I, der skal til for at styrke SMV’ernes cybersikkerhed – og hvordan kan I hjælpe?
Jan Rasmussen, Erhvervschef, Telenor Erhverv
Vi arbejder hjemmefra i langt højere grad end hidtil, og i den private kontekst har vi en mere lemfældig sikkerhedsadfærd end på kontoret. Det er derfor vigtigt, at medarbejdernes adfærd opkvalificeres, så de f.eks. kan gennemskue en potentiel skadelig phishingmail fra en hackergruppe. Alle virksomheder har opkoblinger til internettet, som vi måske ikke tænker over i hverdagen. Det kan f.eks. være videoovervågning, fjernstyring i produktionen, lagerstyring og meget andet. Hver opkobling er en ny dør for hackeren, der giver mulighed for at få adgang til virksomhedens øvrige netværk. I den digitale omstilling er det vigtigt, at vi sikrer alle vores indgange og vores egen adfærd. Opkoblingerne bliver nemlig flere og flere, og det stiller større krav til sikkerheden.
Samme situation udspiller sig i hjemmet, hvor vi også bliver mere digitale; Smart TV, robotstøvsugere, ungernes mobiler og spillekonsoller – alt muligt. Vi logger på vores arbejdscomputer via eget netværk. Og når vi er koblet på det private wifi, åbner vi samtidig for adgangen til virksomhedens data ved bare at tjekke en mail. Derfor er det vigtigt, at vi trækker en streg imellem netadgangen til de private hjem og virksomhederne, så virksomhedsfølsomme data ikke bliver tilgængeligt.
I fremtiden vil vi se målrettede angreb i enkeltpersoners indbakke. Det er derfor alfa omega, at alle medarbejdere har fået undervisning i at gennemskue mistænkelige mails, links, afsendere eller andet. Jeg vil også altid anbefale et it-sikkerhedstjek. Udover en række handlepunkter, der kan gavne den enkelte virksomheds sikkerhed, kan indsigten bruges som beredskabsplan, der gør det muligt at reagere hurtigt, så skaderne bliver minimale. Sikkerhed er ikke kun et spørgsmål om implementering, men også om et godt partnerskab, hvor den enkelte virksomhed løbende kan finde råd og support i takt med den digitale udvikling.
Jonas H. Halldin, Cybersikkerhedsekspert og Partner, EY:
Cybersikkerhed er ikke en ’one size fits all’
Der er ingen tvivl om, at cyberangreb er en reel trussel for SMV-segmentet. Modsvaret til dette er budskabet om, at det er nødvendigt at implementere, hvad der kaldes ’passende sikkerhedstiltag’. Det er vores holdning, at SMV’erne selv skal tage ansvar for denne implementering. Det må ikke blive en opgave for det offentlige, da der ikke er en ”one size fits all” for cybersikkerhed. At 40% af SMV’erne ikke har prioriteret it-sikkerhed tilstrækkeligt, er kritisk. Vi anerkender udfordringen for ledelser og bestyrelser i at prioritere passende sikkerhedstiltag. Men vores budskab er, at SMV’erne skal være deres ansvar bevidst. Kan de ikke løfte opgaven selv, må de rådføre sig med samarbejdspartnere, branche- og interesseorganisationer eller eksterne rådgivere.
Hjælpen kan bl.a. findes i samarbejder
Udfordringerne kan løses ved fx at anvende en midlertidig it-sikkerhedsansvarlig til at drive it-sikkerhedsfunktionen. Denne model gør, at mange SMV’er kan få prioriteret rigtigt og undgår omkostningen på et fuldt årsværk. Funktionen som midlertidig it-sikkerhedsansvarlig kan effektivt rulles ud med enten en fast ressource eller et fleksibel team for at tilbyde en større kompetencespredning. Vi ser også et stort og til tider uudnyttet potentiale for at samarbejde på tværs af SMV’erne. Fx gennem branche- og interesseorganisationer, som bør sætte cybersikkerhed på agendaen, og rådgive deres medlemmer om eksempelvis sektorrelevante trusler, vejledninger til opstart af risikovurderinger, beredskab mm.
Jesper Zerlang, CEO LogPoint:
Tid til at tage ansvar
Kære læser spørg dig selv og vær nu helt ærlig. Når din virksomhed gennem de sidste 5-10 år har lagt sin digitale transformationsstrategi, har cybersikkerhed så været en del af strategien? Formodelig ikke. Vækstmulighederne og den nødvendige digitale transformation har fyldt hele udsynet, og investeringerne er gået til de digitale forandringer, som skal give livsvigtig vækst og sikre fremtiden i den hårde globale konkurrence. Den nye nationale strategi for cyber- og informationssikkerhed er et godt og tiltrængt skridt på vejen i den rigtige retning, Det er fint, at der ifølge strategien skal etableres en cybersikkerhedsenhed for SMV’er og en hotline med råd og vejledning. Men det ændrer ikke på, at det er erhvervslivets eget ansvar at sikre sin egen virksomhed. Ikke det offentliges.
Og det er her skoen trykker. Det er mere legitimt at investere i digital vækst som SMV, end det er at investere i cybersikkerhed. I alt væsentlighed handler god cybersikkerhed om forebyggelse og effektiv respons, når virksomheden angribes. Cyberforsvaret skal konstant justeres og tilpasses den digitale udvikling. Men investeringer i cybersikkerhed føles ikke som en attraktiv investering for en SMV på vækstrejse. Udfordringen er, at man kan ikke skabe en digital fremtid uden at sikre sig mod cyberangreb og kriminalitet. Cybertruslen har på dramatisk vis ændret karakter gennem de seneste år. Angrebene er hyppigere. De kriminelle er mere velorganiserede. Risikoen er blevet for høj. Derfor skal investeringer i digital vækst skal gå hånd i hånd med investeringer i cybersikkerhed. Det skal være en del af virksomhedens centrale strategi. Det er et ledelsesansvar som enhver ejer, bestyrelse og direktion skal tage meget alvorligt. Det er tid til at tage ansvar.
Torben Clemmensen, Presales engineer hos VIPRE Security
Det er klart min opfattelse, at de seneste års lovgivning har været en drivkraft til, at man som SMV’er lidt har opgivet kampen. Hvis vi lige hopper nogle år tilbage i tiden og kigger på GDPR. Der blev indført en EU lovgivning, som skulle bringe den enkelte borgers personlige information op som en prioritet i forhold til fortrolighed og skærpet it-sikkerhedskrav. Der har i de to år fra loven blev indført til den endeligt trådet i kraft ikke været sparet på ”bål og brand” fra forhandlere, producenter og konsulenthuses side. Alle kæmpede med at lave penge på det. Det har gjort at virksomheder er blevet ”GDPR” trætte. Hvis man i en længere periode er blevet angrebet af sælgere, som blot ønsker at sælge din virksomhed et produkt der kun lige sikre et enkelt område og så ellers bare kører på GDPR og rabatten, bliver man lidt træt til sidst og lukker ned.
I stedet for at kigge på forhandlere kan man kigge på de få uvildige konsulenthuse, men det bliver bare ikke nemmere, da de er klar over, at de er de få og derved også forlanger en timepris, som for de fleste SMV’er ligger langt over, hvad de har økonomi til. Det vil ikke hjælpe at skabe yderligere love eller reguleringer fra Staten. Et tiltag om skabe en Cyberhotline, hvor man kan ringe og få rådgivning er et lille skridt på vejen. Det skal netop være et tiltag, som laves som et bredt sammenarbejde mellem det offentlige, myndighederne og it-sikkerhedsbranchen. Men om noget er det væsentligt, at man som producent og forhandler i langt større grad, vælger at kigge på den enkelte virksomhed og sætte sig ind i, hvad deres behov er. Strikke en løsning sammen, som er overskuelige og passer præcis til virksomheden. Det er også vigtigt, at man som sælger tør sige ”nej det passer ikke til jer, men jeg kan peger jer i retningen af noget som gør”.
VIPRE, har en vision om at skabe TRUST. Det betyder at, vi også snakker it-sikkerhed, som ligger uden for det vi leverer. Vi tager it-sikkerhedsemner op og tager dialogen uagtet at, vi velvidende ikke kan leverer alt, hvad der skal til fra egen portofølge. Men vi peger derimod virksomhederne i den retning, som de skal for at kunne få det de mangler, som VIPRE ikke selv kan leverer. Vi er ikke bange for at sige ”nej” til kunden, hvis vi er opmærksom på, at de allerede har et produkt, der passer bedre ind i deres infrastruktur. Det handler om tillid og rådgivning.
