Sikkerhed forsømmes i jagten på besparelser

Truslen fra cyberkriminelle er større end nogensinde – alligevel fravælger danske virksomheder nødvendige sikkerhedstiltag

Katastrofer fungerer som fremkaldervæske. De udstiller hvem vi er som mennesker, hvad vi er som samfund, og hvad vi finder vigtigt – og mindre vigtigt. Analogien tilhører Kristian Cedervall Lauta, professor og katastrofeforsker ved Københavns Universitet, som illustrerer pointen med et jordskælv.

Ødelæggelserne og den efterfølgende genopbygning afslører, hvor grundigt et samfund har forberedt sig på at blive ramt af en naturkatastrofe.

Corona-pandemien som eksempel

Corona er i dén grad en katastrofe, der fungerer som fremkaldervæske på vores samfund. Og rent digitalt har Danmark bestået. Vores udbredte og robuste digitale infrastruktur og offentlige sektor har muliggjort en datadreven håndtering af krisen, som ligger lysår foran de fleste andre europæiske lande.

Også danske virksomheder har for alvor fået tryktestet og sat yderligere turbo på deres digitale omstilling.

Mens de store investeringer i digitalisering har gjort vores samfund robust, bliver en helt central følgevirkning forsømt. Truslen mod Danmark og danske virksomheder fra cyberkriminelle er højere end nogensinde.

Tiltagende trusselsbillede

Ifølge Center for Cybersikkerhed er alle danske myndigheder, virksomheder og borgere udsat for en vedvarende og yderst aktiv trussel. Konstant scanner hackere vores netværk for at afsløre sårbarheder, som de selv kan udnytte i et målrettet angreb eller sælge til andre på det sorte marked.

Det er katastrofer, som bare venter på at ske. Over de seneste år har vi set talrige eksempler på, hvordan cyberkriminalitet som fremkaldervæske har udstillet robustheden – eller mangel på samme – af virksomheders digitale infrastruktur. Alligevel er alt for mange ikke i nærheden af tilstrækkelig forberedt.

Stigende bevidsthed – men manglende handling

IT og sikkerhed er ellers rykket op på dagsordenen hos ledelsen efter corona. Vi har i GlobalConnect spurgt 500 CEOs og CIOs om den digitale virkelighed i deres organisation.

Næsten halvdelen mener, at oppetid er blevet vigtigere, og hver tredje har planer om at opgradere sikkerheden. Det er i sig selv næppe overraskende.

Problemet er bare, at der mangler handling bag. En nylig undersøgelse fra Erhvervsstyrelsen peger på, at hver fjerde mindre og mellemstore virksomhed endnu ikke har implementeret de mest grundlæggende IT-sikkerhedstiltag så som opdatering af software og fungerende backup-procedurer.

Den problematik kan jeg sagtens genkende.

Nedprioritering af sikkerhed kan blive en dyr spareøvelse

Som en af landets største leverandører af digital infrastruktur har vi et ganske fornuftigt indblik i, hvad danske organisationer prioriterer – og hvad de prioriterer fra.

Hvert minut starter mere end 20 nye DDoS-angreb på verdensplan, hvor kriminelle bombarderer internetservere med trafik, så forretninger lægges ned.

Det er en daglig trussel mod danske virksomheder, alligevel har kun få procent tilkøbt beskyttelse mod DDoS-angreb. Samtidig fravælger alt for mange en aftale med backup og høj oppetid og prioriterer ikke at have en sekundær netværkslinje, hvis den primære bliver sat ud af spil.

Med andre ord, mange virksomheder er langt fra tilstrækkeligt beskyttet mod angreb, og når angrebet så rammer, får det langt større og længerevarende konsekvenser end nødvendigt. For nogle bliver det ligefrem et spørgsmål om overlevelse, når forretningen og omsætningen er nede tilpas længe.

Vores digitale ansvar som leverandører

Hvorfor bliver det forsømt? En del af forklaringen er uden tvivl mangel på viden, både viden om hvordan man beskytter sig og om, hvor meget det koster. Eller rettere hvor lidt det koster. De nødvendige sikkerhedstiltag udgør nemlig en brøkdel af de udgifter, en organisation typisk har til IT.

Men hvis værdien ikke er tydelig, bliver det ofte fravalgt i en jagt på besparelser.

Der er et presserende behov for en øget digital ansvarlighed, og vi har som branche en stor opgave i at tydeliggøre, hvor massiv truslen rent faktisk er, og hvor alvorlige konsekvenserne af et cyberangreb kan være. Dernæst skal vi hjælpe danske virksomheder med at sikre sig bedre.

Beskyttelse fremfor bagklogskab

Vi var selv udsat for et ondsindet ransomware-angreb mod GlobalConnect i 2019. Selvom vores netværk og forretning aldrig var kompromitteret, kostede det både tid og penge.

Tro mig, det er langt nemmere og billigere at beskytte sig mod et angreb end at blive ramt af et. Det er ligesom at gå rundt uden forsikringer indtil den dag, tyven bryder ind. I dag lusker tyven bare ikke rundt i din have, han gemmer sig i cyberspace.

Når katastrofen har ramt, vil alle investere i sikkerhed. Men lad ikke et cyberangreb fungere som fremkaldervæske i jeres organisation, kom katastrofen i forkøbet. For beskyttelse koster så lidt, og prisen ved forsømmelse er så høj.

Denne kronik blev først bragt i Børsen den 1. december 2021.
Martin Lippert er Group CEO for GlobalConnect