Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Hvorfor skal man, som virksomhed overveje at tage sin cyber sikkerhed alvorligt – og er det dyrt at forbedre den?
De to spørgsmål håber jeg på at jeg kan gøre dig klogere på i denne klumme.
Det letteste i cybersikkerheds-verdenen og for mig er eller ville være at skabe den såkaldt brændende platform for danske virksomheder.
For den er der.
Spørg bare Center for Cyber Sikkerhed som allerede to gange i 2023 har opjusteret trussels niveauet mod Danmark.
Eller spørg SMVdanmark som har registreret en stigning på 64 procent i antallet af anmeldte hackerangreb i 2022 i forhold til året før.
Ydermere, venter også skærpede sikkerhedskrav til de danske virksomheder som falder ind under EU direktivet NIS2, som vil tage effekt i oktober 2024.
Igennem mine over 20 år indenfor it og cybersikkerhed har jeg aldrig personligt anbefalet eller implementeret nogen foranstaltninger, blot fordi disse var anbefalinger fra andre. Det være sig eksterne revisorer, interne revisorer eller andre eksterne eksperter.
Beslutningen om implementering og om at følge en anbefaling har altid haft udgangspunkt i om det gav mening for virksomheden og dens kunder.
Derfor er pragmatisme og balance i forhold til implementering af risikomitigerende foranstaltninger utrolig vigtigt.
Det gælder så at sige om at få mest mulig sikkerhed for indsatsen – det være sig penge eller tid.
Bliver man ramt af et cyber angreb og ens nøgle systemer og data er utilgængelige i længere tid bliver det ineffektivt og i værste fald umuligt, at modtage nye ordrer og levere som aftalt til sine kunder.
Læg dertil oveni, at man utilsigtet og indirekte er årsag til at ens kunde data bliver lækket – det er noget der koster dyrt på kundetilfredsheds siden.
Så derfor kære virksomhedsejer eller it-sikkerhedsansvarlige – i mine øjne skal grunden til, at man sikrer sig, at basale cybersikkerhedsforanstaltninger er på plads, at man ønsker at sikre sig at have tilfredse kunder.
Det er på den lange bane essentielt for alle virksomheder.
Hvorfor synes fokus nu at være rettet mod små- og mellemstore virksomheder?
De store danske virksomheder har allerede erkendt, at man potentielt står overfor en alvorlig trussel og har derfor gennem de seneste år investeret væsentligt i deres sikkerhed.
Det er derfor blevet mere besværligt og dermed en mindre god forretning for hackerne at angribe disse større virksomheder og afkræve løsesum.
Det bevirker også, at hackerne i stedet retter fokus mod andre segmenter – og her er SMV-segmentet, som det også kan ses i statistikkerne, kommet i fokus.
Det er derfor vigtigt, at man sørger for at få et overblik over hvilke risici det er, man som virksomhed har. Og herefter overvejer niveauet i kroner og ører af risici, man som virksomhed er parat til at acceptere.
Hvad koster det at få overblik over sine cyber risici?
Jeg tror, at mange beslutningstagere fejlagtigt tror at det koster halve og hele millioner at få udarbejdet et overblik over sine cyber risici.
Mit bud vil være at det koster et sted mellem 30.000-100.000 kroner at få afdækket, alt efter virksomhedens størrelse, industri og tekniske kompleksitet.
I en sådan analyse bør der efter min personlige opfattelse også indgå en række helt konkrete og operationelle anbefalinger til forbedring af virksomhedens sikkerhedsniveau og risiko.
Det er reelt i disse anbefalinger og implementeringen heraf, at værdien for virksomheden ligger.
Min opfordring
Så jeg har en klar opfordring til alle danske SMV’er – få afklaret jeres cyber risici hurtigst muligt.
Ikke baseret på den brændende platform, men fordi det i bund og grund er det rigtige for jeres kunder og virksomhed på lang sigt, at gøre.
Langt de fleste SMV’er vil, efter min klare overbevisning, med få ressourcer kunne forbedre deres sikkerheds niveau markant og derved mindske deres risiko.
Hvad kan I som virksomhed gøre?
Så sørg for at få kigget på de tre grundlæggende områder, som er mennesker, processer og tekniske foranstaltninger.
90 procent af alle cyber angreb starter hos en ansat i virksomheden.
Det er derfor vigtigt, at man som virksomhed sikrer sig at der er den nødvendige grad af opmærksomhed på sikkerhed fra alle dele af organisationen.
Det kan blandt andet gøres ved hjælp af regelmæssige phishing test og regelmæssig grundlæggende cyber sikkerheds træning.
I forhold til processer er det bl.a. vigtigt at have basale processer for, hvornår og hvem der f.eks. kan ændre et kontonummer på en leverandør. Processer omkring, hvem der kan lave pengeoverførsler og beløbsgrænser (CEO fraud) – alt dette for at minimere risikoen for fejlagtigt at udbetale penge til kriminelle.
I forhold til tekniske foranstaltninger bør man sikre sig, at basale kontroller omkring adgangsrettigheder er beskrevet og implementeret og at der følges op på disse. Endvidere bør man kraftigt overveje om man har de nødvendige tekniske lag til at dels opdage men også at beskytte sin virksomhed.
Summa summarum
Det gælder om, for sin virksomhed og kunders skyld, at have de basale cyber sikkerhedsforanstaltninger på plads og om at få maksimal sikkerhed for sin indsats
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.