Af: Søren Willemoes Poulsen 
Foto: Jakob Møller

Hver dag forsøger cyberkriminelle at bryde ind i danske virksomheder. Og de lykkes desværre ofte. Knap hver femte danske virksomhed har haft minimum ét sikkerhedsbrud inden for det seneste år. Det viser tal fra den danske virksomhed itm8, som rådgiver hundredvis af danske virksomheder om it og cybersikkerhed.  

Konsekvenserne spænder fra mindre forstyrrelser til større nedbrud og i værste fald konkurser. 

Ifølge Forsvarets Efterretningstjeneste og Styrelsen for Samfundssikkerhed har truslen mod danske virksomheder aldrig været højere. Det skyldes både en anspændt geopolitisk situation, hvor Danmark står højt på statssponsorerede hackergruppers hitliste, og at cyberkriminalitet i dag er en global industri med tusindvis af professionelle hackere. 

Alligevel er mange danske virksomheder ikke tilstrækkeligt beskyttede. Det viser en ny cybersikkerhedsanalyse fra itm8.  

Analysen bygger på svar fra 192 danske it-chefer og direktører, og den konkluderer, at hver tredje danske virksomhed mangler en cyberberedskabsplan, mens seks ud af ti ikke har gennemført cybersikkerhedsøvelser inden for det seneste år. 

Virksomhedernes beskyttelse står desværre langt fra mål med truslen, forklarer Christian Ingerslev, adm. direktør i itm8. Men han har en god nyhed: 

”Det har aldrig været lettere at beskytte sig uden at sprænge budgettet eller uden at være en garvet It-ekspert. De fleste virksomheder kan nå rigtig langt ved at få styr på den grundlæggende sikkerhed.” 

Her deler Christian Ingerslev tre gode råd, der kan højne din cybersikkerhed.

Enkle løsninger kan beskytte dig 
Første skridt er at etablere en baseline-sikkerhed. Den digitale udgave af at låse døren til sit hus. Det handler ikke om avancerede alarmsystemer, men om det basale: Har vi en lås? Hvem har nøglen? Får vi tjekket låsen jævnligt? 

I praksis betyder det personlige login, multifaktorgodkendelse, løbende opdateringer og backup, der rent faktisk virker. 

Der findes ifølge Christian Ingerslev mange løsninger, som uden at være dyre er ret nemme at implementere. Det vigtige er derfor at finde en it-rådgiver, som kan rådgive om, hvilke produkter og løsninger, der passer til netop din forretning. 

”Min anbefaling er, at det skal være en rådgiver med lokalt kendskab, men med størrelsen til at skalere løsningerne.” 

Næste skridt er at lave en beredskabsplan. Hvad gør du, hvis systemerne er nede i morgen? Hvem træffer beslutningerne, og hvem kontakter du? Planen skal være fysisk tilgængelig, løbende opdateret og kendt af alle i virksomheden med en rolle i krise- situationer. Og så skal du øve dig i katastrofen, så du ved, hvad du skal gøre, hvis den indtræffer, pointerer han: 

”I itm8 har vi et hold af sikkerhedseksperter, der hjælper ved angreb, og de bruger 70 procent af deres arbejdstid på bare at øve sig. Det er nok ikke nødvendigt hos andre, men du skal afsætte tid til at øve din plan.” 

Endelig er træning af medarbejdere også helt afgørende. De fleste angreb går gennem mennesker – eksempelvis phishing- angreb – ikke fordi medarbejderne er uforsigtige, men fordi angrebene bliver stadig mere sofistikerede. Hvis du løbende tester dine medarbejdere, øger du chancen for, at de ikke bliver snydt af de ofte virkelig veludførte angreb. 

”Min anbefaling til virksomhederne er helt enkelt. I skal i gang. Og det er faktisk hverken dyrt eller svært – til gengæld er det nødvendigt,” understreger han. 

Adgangsbilletten 
At holde hackerne ude og undgå et potentielt ødelæggende cyberangreb er ikke den eneste grund til, at virksomhederne skal prioritere cyberbeskyttelse, pointerer Itm8’s topchef. Det handler også om at sikre virksomhedens konkurrenceevne. 

Cybersikkerhed er nemlig i stigende grad blevet en forudsætning for at kunne vinde opgaver og fastholde kunder. Særligt større virksomheder, offentlige myndigheder og internationale koncerner stiller i dag krav til deres leverandører og underleverandører om dokumentation for sikkerhed, beredskab og håndtering af data, forklarer Christian Ingerslev. 

Og i takt med at regulering og compliance-krav som NIS2 kommer til at omfatte flere virksomheder, vil det kun blive mere udbredt. Virksomheder, der er direkte omfattet af reglerne, skal kunne dokumentere deres sikkerhedsniveau – og det samme forventer de i stigende grad af deres leverandører. Det betyder, at også mindre virksomheder vil blive mødt med krav om beredskabs- planer, adgangsstyring og dokumentation, hvis de vil være en del af større leverandørkæder. 

I praksis kan det eksempelvis betyde, at en mindre dansk virksomhed, som leverer services, varer eller rådgivning til en større kunde i Danmark eller udlandet, bliver bedt om at dokumentere sine sikkerhedsinitiativer i forbindelse med et tilbud eller en kontraktforlængelse. Kan du ikke det, risikerer du ganske enkelt at blive valgt fra, forklarer Christian Ingerslev. 

”Derfor skal virksomhederne ikke kun se cybersikkerhed som en defensiv udgift, men som et offensivt træk, der styrker deres konkurrenceevne.” 

Den største barriere 
Den manglende handling skyldes ikke uvidenhed hos virksomhederne, understreger Christian Ingerslev. De ved godt, at truslen er høj. Og i mange af de virksomheder, som itm8 rådgiver, er cybersikkerhed også rykket fra it-afdelingen til ledelses- og bestyrelsesniveau. Det er positivt, for det er her, det hører til, mener han. Men desværre er der stadig langt fra tanke til handling. 

Forklaringen er i høj grad usikkerhed, forklarer Christian Ingerslev. Hvor starter vi? Hvordan får vi overblikket? Hvad er godt nok? Er det ikke alt for dyrt? 

Den usikkerhed ses også i Dansk Erhvervs nyeste medlems- undersøgelse om cybersikkerhed. Her peger virksomhederne på, at de frygter cyberangreb og er bevidste om, at konsekvenserne kan være alvorlige. Men mange virksomheder – særligt de mindre – mangler viden om, hvad de konkret skal investere i, og hvordan krav og regulering omsættes til praksis. 

Ifølge Jakob Ellemann-Jensen, vicedirektør i Dansk Erhverv, er der derfor behov for et markant løft af it-kompetencer i Danmark. Regulering som NIS2 og Cyber Resilience Act er nødvendig, men kan ikke stå alene, hvis virksomhederne ikke har de rette kompetencer til at forstå, implementere og bruge løsningerne. Derfor har Dansk Erhverv i flere politiske udspil peget på behovet for flere cyberkompetencer i erhvervslivet. 

Det kan blandt andet sikres gennem flere cyberværnepligtige, der uddannes gennem Forsvarets cyberværnepligt, hvor de får en målrettet uddannelse i it-sikkerhed og digitalt forsvar. Her opbygger de tekniske kompetencer, som gør dem i stand til at bidrage direkte til arbejdet med cybersikkerhed – både i Forsvaret og senere i virksomheder og organisationer. 

Dansk Erhverv opfordrer også regeringen til at skrotte kandidatreformen, der fjerner pladser på it-uddannelserne: 

”Cybersikkerhed handler naturligvis om teknologi, men i lige så høj grad om mennesker. Uden de rette kompetencer risikerer vi, at nye krav og investeringer ikke omsættes til reel sikkerhed. Det svækker ikke kun vores beredskab, men også innovation og vækst, fordi it-kompetencer er afgørende for at udvikle morgendagens teknologier,” siger Jakob Ellemann-Jensen. 

It skal styrke forretningen 
Rådgivning om cybersikkerhed vokser i øjeblikket kraftigt hos itm8, men virksomheden oplever også en stigende interesse for en mere generel rådgivning om, hvordan it kan optimere forretningen. 

Det hænger ifølge direktøren sammen med, at stadig flere virksomheder oplever, at deres største udfordring ikke er mangel på teknologi, men mangel på sammenhæng og viden om, hvordan systemerne faktisk kan bidrage til forretningen. It-landskaberne er vokset over tid med mange systemer, leverandører og løsninger, som ikke nødvendigvis spiller godt sammen, og det gør både hverdagen mere kompleks og beslutningerne sværere. 

Når virksomhederne henvender sig til itm8, handler det derfor ikke kun om at købe et system. I stedet efterspørger de hjælp til at samle deres løsninger, skabe overblik og få mere værdi ud af de data, de allerede har. Mange vil eksempelvis gerne arbejde mere med cloud og kunstig intelligens, men oplever, at data er spredt, uensartet og svær at bruge i praksis. 

“For mange virksomheder handler det i sidste ende om at få ro i maven og en klar retning – at vide, at deres digitale setup hænger sammen, og at de kan bruge deres data aktivt til at udvikle forretningen. Det kommer til at fylde meget i 2026,” siger Christian Ingerslev.