Hvor cyberkriminelle typisk går efter at tage virksomhedernes data som gidsel, indtil de får udbetalt et ofte substantielt beløb, har Ruslands krig mod Ukraine øget risikoen for, at cybervåben også bruges destruktivt til at ødelægge så meget som muligt.
”Der er flere elementer, man skal være opmærksom på. Først skal man være klar over, at den kriminalitetsorienterede cybertrussel aldrig har været større end den er i dag. Det er verdens 3. største økonomi og en global industri, der bl.a. drives fra Kina, Rusland, Nordkorea og Iran. Det er ikke et spørgsmål om, men hvornår man bliver ramt. Og det går tværs af industrier og virksomhedsstørrelser” indleder advokat og partner Søren Skibsted fra advokatfirmaet Kromann Reumert og tilføjer: ”en anden faktor handler om, at virkningen af et cyberangreb på en virksomhed kan være enorm. Dels kan det koste rigtigt mange penge at betale sig ud af – hvis der er tale om ransomware. Dels er den driftsmæssige risiko, hvor hele virksomheden er nede i en kortere eller længere periode, og ikke kan producere, sende eller være i kontakt med kunderne, meget kostbar. Og disse to ting tilsammen ville normalt, ud fra enhver forretningslogik, påkalde sig allermest fokus på direktionsgangene”.
Sikkerhedsmæssig gæld
I langt de fleste virksomheder halter cybersikkerheden langt efter realiteterne. Ikke mindst fordi IT-sikkerhed ikke alene handler om tekniske sikkerhedsforanstaltninger og hardware og software, men i meget høj grad også om hele virksomhedens robusthed, herunder en tværgående risikovurdering, forståelse for forsyningskæden, træning af medarbejdere m.m. EU barsler med skærpet regulering på cyberområdet, men skønner også, at det vil koste en virksomhed op til 22% af sit nuværende sikkerhedsbudget at bringe cybersikkerheden på plads og implementere de kommende krav.
”Endnu har Danmark isoleret set ikke været mål for de bølger af cyberangreb, som gennem lang tid har skyllet ind over Ukraine. Men der er aktuelt rigtig megen malware i omløb, altså skadelig software der bruges til at udføre cyberangreb. Og virus finder vej ind der, hvor der er huller og sårbarheder, hvilket der altid er ét eller andet sted i kæden – enten teknisk eller menneskeligt. Så selv om et angreb måtte være målrettet ukrainske organisationer, skal der ikke ret meget til, før det kommer ud af kontrol og spredes over hele verden. En del af den malware, vi ser i omløb lige nu, er såkaldt wiper-malware, som ikke blot krypterer, men – som en “vinduesvisker” – ødelægger data og programmer uopretteligt” advarer advokat og partner Christel Teglers fra advokatfirmaet Kromann Reumert.
Beredskabsplanen er uundværlig
Ligesom mange virksomheder har beredskabsplaner i tilfælde af brand, strømsvigt, datanedbrud m.m. er en beredskabsplan i tilfælde af et cyberangreb (eller en “it-sikkerhændelse” som det også kaldes) fuldstændig uundværlig hos virksomheder og organisationer, fordi det rammer så bredt og hårdt.
”Langt de fleste har én eller anden form for beredskabsplan i skuffen. Men mange har ikke løbende sørget for at holde den op imod en opdateret risikovurdering, og tester den heller ikke løbende. Nogle outsourcer deres IT-drift, men glemmer, at man ikke kan outsource risikoen. Og hackerne ved godt, at det er lukrativt at angribe netop IT-leverandører, herunder hostingleverandører, fordi man samtidig kan ramme mange kunder” fastslår Christel Teglers.
Er forsikringen noget værd?
Tegner man som virksomhed en forsikring, der dækker cyber- angreb bidrager man til en relativt sjælden handling, idet det anslås, at blot 1% af alle tegnede forsikringer på verdensplan er cyberforsikringer. De fleste tegner først og fremmest en IT-ansvarsforsikring (overfor kunder mv.). En ansvarsforsikring dækker dog ikke virksomhedens egne – ofte betydelige – omkostninger og tab ved en cybersikkerhedshændelse: herunder til krisehåndtering, genskabelse, undersøgelser, omsætningstab, omdømmetab samt betaling af en evt. løsesum.
”På den ene side vil der altid være en restrisiko, som man aldrig kan komme af med eller pålægge andre – medmindre man tegner en forsikring. På den anden side er cyberforsikringer både et nicheprodukt og lige nu i et “hard market”, hvor forsikringsselskaberne stiller skærpede krav til policerne og kræver højere forsikringspræmier – eller slet ikke ønsker at tegne cyberrisici” pointerer Christel Teglers.
