København, 28. maj 2018
Falsk tryghed: Danske virksomheder er ikke forberedte på cyberangreb
”Ingen plan overlever den første kontakt med fjenden.” Dette klassiske citat fra den preussiske generalfeltmarskal Graf von Moltke er uhyggelig aktuel, når det gælder danske virksomheders it-beredskab.
Devoteams nye undersøgelse blandt større danske private og offentlige virksomheder viser, at de ikke er klar til at møde fjenden, hvis der er cyberangreb. De fleste har godt nok en nedskrevet it-beredskabsplan, men over halvdelen har ikke holdt beredskabsøvelser eller afprøvet fuld reeetablering af kritiske systemer inden for de seneste 12 måneder.
Papirplan giver falsk tryghed
”Hele pointen med et beredskab er, at virksomheden skal være klar til at håndtere et angreb og minimere skaderne. Men et beredskab virker kun, hvis det regelmæssigt vedligeholdes. Gennem træning og praktiske øvelser. Ellers er planen ikke noget værd. Det svarer til at skrive et skilt med ‘Isen er sikker’ og stole på, at folk ikke drukner,” siger Managing Partner hos Devoteam, Søren Nielsen.
En beredskabsplan, der kun virker på papiret, giver virksomhederne en farlig falsk tryghed. ”Når vi konkret spørger til et angreb, som det der ramte Maersk Oil i juni 2017, mener 55 procent, at de kunne have klaret det meget bedre end Danmarks største virksomhed. Men det er umuligt at vide, når man ikke har testet sit beredskab for nyligt.”
Har din virksomhed råd til at blive angrebet?
Resultaterne tyder på, at it-sikkerhed fortsat ikke tages tilstrækkeligt alvorligt i danske virksomheder, siger Søren Nielsen. ”Der er formentlig en del tilfælde, hvor ledelsen har bedt deres it-funktion eller sikkerhedsansvarlige om at lave en plan, og den har man så taget for gode varer. Men det er en meget optimistisk indstilling, når vi kender trusselsbilledet. Det er ikke et spørgsmål, om din virksomhed bliver ramt, men om hvornår. Måske er den allerede ramt, men du er bare ikke klar over det.”
Optimismen kan også skyldes, at det endnu ikke er gået op for virksomhederne, hvor fatalt et angreb på it-systemerne kan vise sig at være, forklarer Søren Nielsen. ”Du er nødt til at beskytte dine forretningskritiske aktiver. I gamle dage var det bygninger og produktionslinjer. I dag er det i høj grad it-systemer. Men over halvdelen svarer, at de ikke har afprøvet en fuld teknisk reetablering af kritiske systemer inden for de seneste 12 måneder. Spørgsmålet er derfor: Har I råd til at få lagt jeres systemer ned? I Maersk Oil’s tilfælde kostede det mellem 1,3 og 1,9 milliarder kroner.”
Og trusselsbilledet er alvorligt. I sin seneste trusselsvurdering fra d. 14. maj 2018 vurderer Center for Cybersikkerhed, at den generelle cybertrussel mod Danmark er MEGET HØJ, det højest mulige niveau. Samtidig lancerede regeringen Danmarks nye nationale strategi for cyber- og informationssikkerhed, der blandt andet skal løfte it-sikkerheden i erhvervslivet.
Medarbejderne anføres som den største trussel
Hvad skal virksomhederne gøre? De skal i gang, både praktisk og strategisk, siger Søren Nielsen. ”Helt operationelt vil jeg foreslå, at man tester sin sikkerhed og får et realistisk billede af, hvor man står. Derefter skal beredskabet løbende trænes og afprøves. Samtidig skal ledelsen give it-sikkerhed den rette strategiske prioritet og opmærksomhed. Det handler om virksomhedens eksistensgrundlag.”
Danske virksomheder bør også være opmærksomme på, hvad der udgør den klart største trussel mod it-sikkerheden, nemlig medarbejderne. ”Undersøgelsen bekræfter, at medarbejderne er det evigt svage led og virksomhedernes største bekymring. 56 procent af virksomhederne frygter ‘social engineering,’ hvor medarbejdere bliver manipuleret til at begå fejl. Den menneskelige faktor betyder, at der altid vil være vellykkede angreb, og når det sker, skal virksomheden have beredskabet klar.”