Sådan får SMV’er styr på den skrantende cybersikkerhed

Dette debatindlæg blev først bragt i Finans.dk

Truslen fra voksende cyberkriminalitet bør anskues som en ledelsesopgave på niveau med forretningsricisi og -muligheder

Det står sløjt til med cybersikkerheden i små og mellemstore danske virksomheder, og pilen peger desværre den gale vej.

Det viser tal fra Erhvervsstyrelsens helt nye rapport ”Digital sikkerhed i danske SMV’er 2022”.

Hele 44 pct. af de danske SMV’er har et for lavt sikkerhedsniveau i forhold til deres risikoprofil, og i hver fjerde SMV laver man ikke systematisk opdatering af software og tager backup af data – to helt basale sikkerhedstiltag.

Situationen er bekymrende, for de tæt på 300.000 danske virksomheder med 10-250 medarbejdere er i stigende grad i kikkerten hos hackerne. Ifølge Center for Cybersikkerhed er truslen fra cyberkriminalitet mod alle danske virksomheder og organisationer – uanset størrelse – meget høj.

Ingen kan vide sig sikker, fordi hackerne kører konstante scanninger for at finde selv de mindste sprækker, som de kan tjene på ved pengeafpresning.

Alene i 2021 har godt hver fjerde mindre virksomhed (10-49 ansatte) oplevet forsøg på hackerangreb. Det er en stigning på 156 pct. siden 2019, viser en ny analyse fra SMVdanmark.

Ansvar skubbes nedad

Tendensen blandt SMV’er er, at den øverste ledelse ikke i særlig høj grad er involveret i it-sikkerheden. Kun i 38 pct. af virksomhederne tager topledelse og/eller bestyrelse stilling til virksomhedens it-sikkerhed.

Det understøttes af en undersøgelse, Voxmeter foretog for GlobalConnect tidligere i år, hvor hele 28 pct. af adspurgte CEO’s mener, det ultimative ansvar ligger i it-afdelingen eller hos eksterne rådgivere.

De fleste er i dag bekendt med fænomener som malware, ransomware og phishing. Men it-sikkerhed bliver hurtigt set som teknisk og komplekst, og jeg forstår godt, at mange topledere fortsat opgiver og skubber ansvaret nedad eller udad.

Det er en farlig strategi. Dybdeforståelsen hører ganske rigtigt til i it-organisationen, hvis virksomheden har en sådan, eller hos en ekstern partner. Men ledelse og bestyrelse har det ultimative ansvar for cybersikkerheden, da det dybest set handler om virksomhedens værdiskabelse og digitalisering.

Tre konkrete opgaver til ledelsen

Cybersikkerhed behøver ikke være en kilde til spoleret nattesøvn, og truslerne behøver ikke blive til virkelighed, hvis man har den rette tilgang. En tilgang, hvor cybersikkerhed ikke alene handler om it, men om klassisk ledelse. Det handler om helt klassisk risikostyring for forretningen – på samme måde som man behandler f.eks. finansiel risiko eller risiko for arbejdsulykker.

Helt konkret er det min vurdering, at ledelsen skal tage fat om tre centrale opgaver:

Det starter med en skattejagt, hvor virksomhedens kronjuveler skal identificeres. Er nogen data eller systemer særligt kritiske? Har virksomheden informationer og IP, som andre stater ønsker at få adgang til?

Derefter skal de vurdere risiko og konsekvens. Hvor stor er cybertruslen mod netop jeres virksomhed? Hvor attraktive er I (eller jeres kunder) for hackere?

Hvis I så bliver ramt, hvilken konsekvens kan det da have målt på kostbar nedetid, læk eller tab af fortrolig eller kritisk data og et svækket omdømme, der tager år at genoprette? Kan I inddele virksomheden i digitale zoner, som er mere eller mindre kritiske? Har I gamle egenudviklede systemer, som er ekstra sårbare?

Helt lavpraktisk ville 3 ud af 10 SMV’er ikke kunne udføre deres kerneopgave, hvis de mistede adgangen til deres centrale it-systemer, viser de nye tal fra Erhvervsstyrelsen.

Dernæst skal ledelsen definere risikovillighed. Hvad er jeres acceptable nedetid på kritiske systemer? En time? En dag? Kan I tåle at miste visse data, mens I er klar til at beskytte kronjuvelerne for enhver pris?

Angreb skal ikke nødvendigvis undgås for enhver pris, for et for højt sikkerhedsniveau kan også blive en unødvendig stor udgift og gøre hverdagen bøvlet for medarbejderne.

Samarbejde mellem IT-afdelingen og ledelsen

Man skal kort sagt finde kronjuvelerne, vurdere risiko og konsekvens og fastsætte sin risikovillighed.

På den baggrund skal man som ledelse så stille de rette spørgsmål til de it-kyndige for at sikre, at de kan fokusere virksomhedens indsats på det væsentlige, og at virksomheden har et tilstrækkeligt sikkerhedsniveau for at forhindre angreb, for at håndtere angreb og for at kunne genskabe det tabte efter et angreb.

SMV’er udgør 70 pct. af det danske erhvervsliv målt på omsætning og spiller dermed en afgørende rolle for hele vores samfund. Der er gang i så mange realiserede drømme, væksteventyr, små og store daglige udfordringer og i det hele taget en evig og benhård prioritering af tid og ressourcer.

Vi skal ikke alle sammen til at være eksperter i it-sikkerhed, og vi skal heller ikke gå i panik over den ofte lidt abstrakte trussel fra cyberverdenen. Det kommer der sjældent noget godt ud af. Tværtimod skal vi se it-sikkerhed som en klassisk ledelsesopgave med klassiske forretningsrisici og -muligheder. Og så er opgaven ikke længere så abstrakt eller uoverskuelig.

Kan din virksomhed få fiber?

Indtast firmanavn eller CVR-nummer og tjek om din virksomhed også kan få alle fordelene ved lynhurtigt fibernet.