Weekly News

Sæt cybersikkerhed på agendaen

Truslen om hackerangreb på danske virksomheder er reel. BDO giver her bud på, hvordan man griber cyber security an – både forebyggende og under angreb.

Vi har åbnet en stor spilleflade for hackere. En ost med rigtig mange huller.

Forestil dig en hollandsk ost. Med rigtig mange store huller. Ca. sådan ser en virksomhed ud, hvis den ikke er beskyttet mod digitale angreb.

– Danmark er et af verdens mest digitaliserede samfund, men vi er slet ikke gode til at tænke sikkerhed ind, og i forhold til at blive ramt af angreb er vi temmelig umodne, siger Mikkel Jon Larssen, partner i revisions- og rådgivningsvirksomheden BDO og chef for området cyber security. Han forklarer, at man er ved at få øjnene op for truslen, men derfra og til at gøre noget, er man slet ikke langt nok.

– Vi har åbnet en stor spilleflade for hackere. En ost med rigtig mange huller. Så truslen er meget reel, og alle kan blive ramt, siger Mikkel Jon Larssen.

Hans erfaring er, at sikkerhed sjældent er på budgettet, da det ikke skaber bundlinje, og kun få danske SMV’er har emnet på dagsordenen. Hans råd er derfor: det skal prioriteres og budgetteres.

– Worst case er, at man drejer nøglen om eller lider tab af følsomme oplysninger såsom persondata, research og udvikling eller kundekontrakter, og det kan være fuldstændig lammende, understreger han og råder alle virksomheder til følgende:

– Man skal først finde ud af, hvad man skal beskytte. Hvad er kronjuvelerne i ens data, der gør ondt at tabe, hvis de forsvinder, bliver publicerede eller modificerede. Altså en dataklassifikation og en risikoanalyse, siger han. Hvor gør det ondt? Hvad er truslerne? Og hvad har man gjort for at imødegå de risici allerede? De spørgsmål skal besvares først.

Og så skal ansvaret ikke kun ligge hos IT-afdelingen.

– Kulturen omkring sikkerhed starter i topledelsen, som skal gå forrest. Ansvaret for IT-sikkerhed skal forankres højt i organisationen. Det er ikke for IT-afdelingen alene – det gælder hele organisationen, så alle skal forstå det og tage ansvar, understreger Mikkel Jon Larssen og fortæller, at man kan skabe bevidsthed blandt medarbejdere gennem forskellige awareness-kampagner.

Det er en stor opgave at definere, hvilke tekniske og organisatoriske sikringsforanstaltninger der skal implementeres. Derfor anbefaler Mikkel Jon Larssen, at man søger inspiration fra bl.a. National Institute of Standards and Techonology (NIST) og Center for Internet Security (CIS).

Ved et angreb er første skridt at stoppe ulykken.

– Man skal trække stikket ud og ringe efter eksperterne – et cyber-team, som man forhåbentlig har et samarbejde med allerede. Man bør have en incident response-plan, som man så iværksætter og derefter kører videre uden IT. Altså en nødplan, hvis IT ikke virker. Dernæst må man se på juridiske konsekvenser og hvordan, man skal kommunikere det ud til omverden, men alle elementer bør være overvejede på forhånd, siger Mikkel Jon Larssen. 

Fakta

Hos Teknologisk Institut og Superusers udbyder man kurser til virksomheder i IT-sikkerhed.

De giver både teoretisk viden og hands-on erfaring med at hacke, teste og beskytte data og systemer. Man kan få hjælp til at overvåge arbejdsprocesser og specifikke områder og lære at identificere problemer og cyberangreb.

Del

Journalist

Sisse Katrine Andreasen

Andre artikler