Weekly News

Janus Sandsgaard, fagchef for IT og digitalisering hos Dansk Erhverv. BUSINESS

Hav en plan inden angrebet

I en tid hvor cybercrime og data­tyveri er blevet hverdag hos virksomhederne, handler det om at have en strategi, som alle medarbejdere skal kende.

Nu bliver det et lovkrav, at alle kunder skal informeres senest 72 timer efter angrebet har fundet sted.

Aviserne har en lind strøm af historier om, hvordan virksomheder får krypteret (låst) deres data og skal betale løsepenge for at få vitale data frigivet. Truslen om cybercrime og datatyveri er blevet markant højere de seneste år. PwC har de seneste år lavet en Cybercrime Survey, og i 2016 fortalte omkring 500 danske og norske virksomheder, at 67 procent af dem har været angrebet af ransomware i løbet af 2016 – tallet fra undersøgelse året før var på ”blot” 22 procent.

– I de senere år har vi set en eksplosion af cyberangreb gennem ransomware. Det kan f.eks. være klassikeren med en mail, der giver sig ud for af komme fra Postnord, som siger, at man har forsøgt at levere en pakke. Nu skal man så klikke på et link for at få den, hvorefter vitale filer bliver krypteret og dermed låst, forklarer Janus Sandsgaard, der er fagchef for IT og digitalisering hos Dansk Erhverv.

Hvis bare en enkelt medarbejder klikker på et betændt link, kan man slippe et angreb løs. Et andet problem er dårlige adgangskoder som er for lette at gætte. Får en kriminel adgang til blot en enkelt medarbejders e-mail, er der ofte adgang til store mængder information om virksomheden, fordi vores mails ofte indeholder alt fra passwords til forretningsstrategier eller fortrolige lister. Herfra kan bagmændene kræve løsepenge eller på anden måde skade virksomheden.

Ledelsen er nødt til at tage udfordringerne med IT-sikkerhed seriøst og lave en plan for risk management, så hver eneste medarbejder er klar over, hvad der forventes, hvis uheldet er ude. Hvad skal man gøre, hvis man har trykket på et link, hvem skal man ringe til?

– Desværre er det ikke svært at hacke sig vej ind i en virksomhed. Under Copenhagen Future Crypto Conference her på Børsen, fortalte sikkerhedsrådgiver Jakob H. Heidelberg, at han stort set altid støder på en i virksomheden, der har et banalt password som en årstid og et årstal – f.eks. sommer 2017, siger Janus Sandsgaard.

Det er ret let at sætte en computer til systematisk at prøve den kode på alle mailkonti. Selv når man gør sig umage med en ”indviklet” adgangskode med tegn og bogstaver, kan man ikke være sikker. For enhver adgangskode på otte tegn – uanset hvor mange specialtegn og tilfældige bogstaver – kan lirkes op på max tre dage med en kraftig spil-pc fra teenageværelset.

– Det er vigtigere, at adgangskoden er lang, end at den er er ”indviklet”, så meget at vi måske ovenikøbet genbruger den overalt. Så hellere: ”Flæskekød til præriens skrappe drenge mens fuglene sang” end ”35AlicE!”, forklarer Janus Sandsgaard.

Det er ledelsens ansvar at inddrage den enkelte medarbejder og have en strategi for virksomhedens IT-sikkerhed på linje med andre vitale strategier i virksomheden.

– IT-sikkerhed skal sidde på rygraden på lige fod med brandøvelsen. Dårlige adgangskoder er lige så forbudt, som at lukke en lusket type med brækjern ind gennem virksomhedens bagdør. Og så er det essentielt, at ledelsen giver medarbejderne et indblik i, hvilke risici og omkostninger vi taler om, hvis en virksomheds data stjæles eller kidnappes, forklarer Janus Sandsgaard og fortsætter:

– Vi har haft flere hundrede år til at lære at være opmærksomme på røvere og indbrudstyve i den fysiske verden. Her kan man godt mærke, at den digitale verden stadig er ny.

Nogle af rådene fra Dansk Erhverv er netop også at sørge for at have en sikkerhedskopi af alle sine elektroniske data, tage passwords seriøst og undervise medarbejderne i god adfærd, f.eks. hvad klikker de på, når de får e-mails.

– I dag oplever vi flere virksomheder, der har betalt en løsesum for at få deres informationer tilbage. Et scenarie i fremtiden kunne være, at de IT-kriminelle ikke nøjes med at låse data, men faktisk tager en kopi og så truer med at offentliggøre virksomhedens oplysninger på en hjemmeside, siger Janus Sandsgaard.

I 2018 kommer der desuden nye regler for persondata fra EU, som stiller skrappere krav til virksomhedernes håndtering af data. Det indebærer bl.a. virksomheder kan idømmes bøder op til 20 mio. euro, hvis man ikke har styr på sikkerheden. Ifølge PwC’s rapport forventer 77 procent af virksomhederne, at de i fremtiden er nødt til som minimum at ændre forretningsgange og procedurer for at tilpasse sig den kommende EU-persondataforordning.

– Førhen blev det anset som god kutyme at kontakte sine kunder og interessenter, hvis virksomheden blev udsat for et datalæk. Nu bliver det et lovkrav, at alle skal informeres senest 72 timer efter angrebet har fundet sted, fortæller Janus Sandsgaard.

Så hav en plan, før I bliver angrebet, og sørg for, at alle medarbejderne er en aktiv del af IT-sikkerheden på arbejdspladsen.

Fakta

297 danske og 191 norske virksomhedsledere, IT-chefer og -specialister har deltaget i PwC’s Cybercrime Survey 2016, som er gennemført med opbakning fra DANVA, Finansrådet, Dansk Erhverv, Kita, IT-Branchen, Center for Cybersikkerhed og DI Digital. Undersøgelsen bygger på onlinebesvarelser, afgivet i perioden 1. juni til 2. september 2016. Kilde www.pwc.dk

Del

Journalist

Pia Bundgaard Hansen

Andre artikler