I takt med at virksomhedernes drift bliver mere og mere afhængig af it, vokser konsekvenserne ved systemnedbrud.
Hver anden danske virksomhedsleder går med frygten om et cyberangreb. Og med god grund. For i gennemsnit blev hver eneste danske virksomhed udsat for 2521 forsøg på cyberangreb om ugen i første halvår af 2023. Ser man isoleret på andet kvartal af 2023, er det en stigning på 83% i forhold til andet kvartal af 2022.
En ny undersøgelse fra Danmarks Statistik, som IT-Branchen har fået indsigt i, viser en bekymrende sandhed, hvor 6 ud af 10 virksomheder ikke vil være i stand til at udføre kerneopgaver, hvis de mister adgang til deres interne it-systemer, fx i tilfælde af et cyberangreb.
Derudover viser et andet resultat af undersøgelsen, at topledelsen i hver sjette virksomhed kun i begrænset omfang eller slet ikke tager stilling til virksomhedens it-sikkerhedsmæssige aktiviteter.
”Cyberangreb kan hurtigt gøre en virksomheds systemer utilgængelige, hvilket kan have ødelæggende konsekvenser for drift og omsætning. At 6 ud af 10 virksomheder bliver lammet ved mistet adgang til interne it-systemer understreger blot vigtigheden af, at virksomhedernes it-sikkerhed i endnu højere grad kommer helt op på topledelsens agenda,” siger Jacob Herbst, CTO i Dubex A/S og forperson for IT-Branchens Policy Board for Cybersikkerhed.
Særligt SMV’erne er udsatte
Selvom nye tal fra Digitaliseringsstyrelsen fremhæver positive skridt i retning af forbedret it-sikkerhed hos danske små og mellemstore virksomheder, er der stadig plads til forbedringer.
35% af SMV’erne har et for lavt digitalt sikkerhedsniveau set i forhold til deres risikoprofil. Til sammenligning lå tallet på 44% i 2022.
Blot 54% af SMV’erne udarbejder dokumentation om forholdsregler, aktiviteter og procedurer vedr. it-sikkerhed.
Spørger man Jacob Herbst, vækker tallene bekymring, da de tegner et billede af, at især små og mellemstore virksomheder endnu mangler at erkende truslen for virksomhedsdriften:
At sikre sin virksomhed mod cyberangreb er ikke kun et spørgsmål om at have den rette software eller firewall på plads. Det handler i lige så høj grad om at have de rette procedurer, uddannelse og en beredskabsplan.
Om blot et år fra nu skal mange danske virksomheder leve op til et nyt EU-direktiv, NIS2-direktivet, der stiller skærpede krav til cybersikkerheden i virksomhederne, herunder krav til ledelsesforankring og -ansvar og dokumentation af sikkerhedsprocedurer.
Selvom de fleste SMV’er ikke vil være direkte omfattede af NIS2, vil de indirekte være nødsaget til at leve op til en række skærpede krav som underleverandører til direkte omfattede virksomheder, fordi der bliver mere fokus på cybersikkerheden i forsyningskæder.
”Mange SMV’er er nødsaget til at stramme op og få cybersikkerhedsindsatsen forankret på ledelsesniveau. Udfordringen bliver at få skærpet og dokumenteret de forskellige tekniske og organisatoriske sikkerhedsforanstaltninger tilstrækkeligt. Det er stadig uvist præcist hvad NIS2 vil få af konsekvenser for underleverandørlaget af SMV’er i Danmark, men mange SMV’er vil i fremtiden helt sikkert møde sikkerhedskrav fra kunderne,” fortæller Jacob Herbst.
Forberedelse er nøglen
Med en eskalerende mængde af cybertrusler er virksomhedernes behov for at forstå truslerne og forberede sig på cyberangreb mere presserende end nogensinde. Ransomware, DDoS-angreb og andre trusler kan lamme virksomhedens it-systemer og drift i en sådan grad, at arbejdet helt må indstilles.
En analyse fra konsulentfirmaet IBM viser, at skandinaviske virksomheder udsat for cyberangreb i 2023 i gennemsnit led et økonomisk tab på 13,5 millioner kroner.
”For virksomheder betyder de potentielle store økonomiske konsekvenser, der er forbundet med et cyberangreb, at der ikke kun er et øget ansvar for at sikre virksomheders it-systemer, men også for at uddanne og forberede virksomheder på, hvordan de kan fortsætte driften, selvom systemerne svigter. Der ligger en stor opgave i at rådgive om og implementere løsninger, der sikrer kontinuitet i forretningen og minimering af driftsstop,” tilføjer Jacob Herbst afslutningsvist.