Det er ikke medarbejdernes skyld at banken bliver røvet
Hver fjerde af de små eller mellemstore virksomheder har ikke implementeret de mest basale sikkerhedstiltag.
Det viser en undersøgelse fra Erhvervsstyrelsen.
”Virksomhederne får ikke løbende opdateret og sikkerhedspatchet deres styresystemer og har ikke faste procedurer for backup af data,” fortæller Janus Sandsgaard, der er Digitaliseringspolitisk fagchef i Dansk Erhverv. Derfor er man i Dansk Erhverv også med på, at niveauet skal forbedres, når det kommer til IT-sikkerhedsområdet i danske virksomheder.
Men det er vigtigt, at tilgangen er den rigtige, understreger Dansk Erhverv.
Ansvarsforflygtigelse
”Jeg hører ind imellem, at den største trussel befinder sig 30 cm fra skærmen – altså, at det er de ansattes skyld, hvis skidtet rammer ventilatoren. Det er ikke bare en rigtig ærgerlig pegen-fingre, men en skrupforkert ansvarsforflygtigelse, som er farlig for virksomheden. IT-sikkerhed er afgjort ledelsens ansvar,” siger Janus Sandsgaard.
Han understreger, at der selvfølgelig skal stilles krav til medarbejderne og leverandørerne, som skal efterleves. Det handler både om teknisk IT-sikkerhed, adfærd og om privacy-by-design og en tydelig forankring i ledelsen.
”Medarbejderne skal trænes og hjælpes, så de ved, hvad de skal være opmærksomme på, og hvordan de skal forholde sig til trusler og angreb. Helt lige som det gælder ved brand og indbrud. Derfor er det også vigtigt, at man har en IT-sikkerhedsansvarlig, der har en plan, når firmaet bliver angrebet. Her nytter det ikke, at man stikker en skideballe.”
”Når banken bliver røvet, så peger man jo heller ikke fingre af kassereren. Man arbejder intensivt med procedurer og teknik for at sænke antallet af bankrøverier. Den samme tilgang bør man have i IT-branchen, hvor man ud fra en risikovurdering kan implementere teknologi og procedurer, som forbedrer forsvaret mod de IT-kriminelle,” siger Janus Sandsgaard.
”Jeg hører nogen sige, at den største trussel befinder sig 30 cm fra skærmen. Det er ikke bare tarveligt, men også farligt for virksomheden at tænke sådan.”
Janus Sandsgaard, Digitaliseringspolitisk fagchef, Dansk Erhverv.
Forbered dig på at tabe en ulige kamp
Et stykke hen ad vejen er virksomhederne dog nødt til at erkende, at de deltager i en ulige kamp, hvor det er sandsynligt, at de vil tabe – og at de IT-kriminelle vil slippe igennem forsvaret.
”Ude i de små virksomheder er man ikke IT-eksperter på samme måde som de kriminelle, de er oppe imod. Banderne der angriber, har tid til at arbejde længe og fokuseret på at udvikle og raffinere deres bedste metoder som deep fakes og social engineering, fordi der er en stor økonomisk gevinst at hente, hvis de slipper igennem med f.eks. et ransomware-angreb,” siger Janus Sandsgaard.
Samtidigt er der ret få risici ved at være IT-kriminel, fordi offer, gerningssted og den kriminelle ikke er koblet sammen, som vi kender det fra megen anden kriminalitet. Derfor er det vigtigt for firmaerne, at de har lige så stort fokus på backups og reetablering af driften, som de har på at forsvare sig mod angreb, mener han.
”Små virksomheder behøver ikke have et sikkerhedsniveau som Mærsk eller som det Demokratiske Parti i USA under en valgkamp. Og den perfekte sikkerhed findes ikke. Der findes et passende sikkerhedsniveau. Og her er det typisk nødvendigt at løfte niveauet med nogle helt basale greb så som stærke kodeord, patching af software og faste og afprøvede backup-rutiner.”
”Man skal spørge sig selv, hvad det er for en sikkerhedskultur man er ved at bygge. Den kan nemlig ikke bygge på frygt, men er nødt til at være baseret på forståelse og empowerment, så medarbejderne kan blive en del af forsvaret,” siger Janus Sandsgaard.
Han fortæller også, at undersøgelser i lighed med den aktuelle fra Erhvervsstyrelsen har fået erhvervsorganisationerne til at gå sammen om en ny mærkningsordning, der skal løfte ”hygiejne-niveauet” inden for IT-sikkerhed hos virksomhederne. Planen er, at ordningen skal gå i luften i 2020 i et tæt samarbejde mellem Dansk Erhverv, Forbrugerrådet Tænk, Erhvervsstyrelsen og Dansk Industri.
DANSKE SMV’ERS IT-SIKKERHED
\ 38 % har øget investeringerne i IT-sikkerhed i 2018.
\ 26 % har ikke implementeret opdatering af styresystemer og backup af data. Tallet er højere for de helt små virksomheder.
\ 40 % af de danske SMV’er har et ”lavt sikkerhedsniveau”. De har kun implementeret 0-4 af 9 IT-sikkerhedsforanstaltninger.
\ 7 % af de danske SMV’er har hverken egne ansatte eller eksterne leverandører til at varetage IT-sikkerhedsmæssige aktiviteter. Om undersøgelsen: Svarene er baseret på svar fra 5.292 virksomheder med minimum 5 ansatte i de private, ikke-finansielle erhverv.
Kilde: ”Digital sikkerhed i danske SMV’er”, september 2020, Erhvervsstyrelsen
DI: Hjælp medarbejderne
Hos netop Dansk Industri er man enig i tilgangen hos kollegaerne i Dansk Erhverv.
”Der er ingen tvivl om, at der er brug for at skabe awareness ude i firmaerne,” siger Morten Rosted Vang, der er fagleder for cybersikkerhed og digitalt ansvar hos DI.
Han peger på, at selv om der er mange, der forsøger at udnytte medarbejdernes tillid som et angrebspunkt, så skal man fokusere på, hvordan man kan gøre det nemmere for medarbejderne at navigere i de mange farer.
”Vi kan alle falde i, men det er vigtigt, at man har klare retningslinjer og jævnligt kommunikerer om IT-sikkerhed og også gør det til en prioriteret ting. IT-angreb kan have rigtigt alvorlige konsekvenser, og derfor er det vigtigt at kunne agere hurtigt, når man bliver ramt. Det kræver en stor grad af tillid og åbenhed.”
”Det nytter heller ikke, at IT-politikken er noget, der er gemt i et hjørne af intranettet. Det skal være levende politikker, hvis det skal have en effekt,” siger Morten Rosted Vang.
Han vurderer at IT-sikkerhed heldigvis er kravlet længere op på dagsordenen efter de mange højtprofilerede angreb med f.eks. ransomware og IT-fraud de sidste par år. Han peger også på, at virksomhederne kan bruge nogle helt konkrete værktøjer, som øger sikkerheden og gør hverdagen nemmere for medarbejderne.
”I Outlook kan man markere eksterne mails, så folk ved, at de skal være ekstra opmærksomme. Hvis mange flere virksomheder brugte DMarc for at beskytte deres maildomæner mod misbrug ville medarbejderne modtage færre svindelmail, og selv noget som basalt som en password-manager kan mindske risikoen for, at folk genbruger passwords på tværs af sites,” siger Morten Rosted Vang.
\