Selv de mest smarte og intelligente værktøjer er ikke længere nok, når det gælder om at beskytte sin virksomhed mod cyberangreb. God it-sikkerhed kan kun opnås, når der skabes modenhed i virksomheden og forståelse for truslerne. Det er en rejse, der skal involvere alle i organisationen lige fra receptionist til topledelse.
Selv om Danmark er et af de mest digitaliserede lande i verden, med alle de samfundsmæssige og infrastrukturmæssige fordele, det med-
fører, ligger Danmark langt nede på listen, når det gælder cybersikkerhed. Faktisk placerer vi os ifølge Account Director Thomas Hedegaard fra sikkerhedsfirmaet WithSecure helt nede på en position som nummer 32 eller 33 blandt de lande, vi normalt sammenligner os med.
”Det kan umiddelbart lyde lidt underligt, men det hænger blandt andet sammen med, vi danskere af natur stoler på andre mennesker. Vi er tillidsfulde, og det er faktisk en ekstra risikofaktor, der skal lægges til trusselsbilledet, når vi taler om it-sikkerhed”, siger Thomas Hedegaard. Med det mener han så også, at det er et forhold som virksomhedernes ledelse skal have fokus på. It-sikkerhed skal med andre ord integreres som en del af virksomhedskulturen.
Det er en hårfin balancegang
”Det er ledelsens opgave at sikre, at hele organisationen er klar over og bevidst om, hvorledes det skal håndteres, og det gælder alle medarbejdere lige fra receptionisten til direktøren selv”, siger Thomas Hedegaard videre.
Han er udmærket klar over, at virksomhederne er afhængige af åbne kommunikationskanaler, for ellers er det ikke muligt at drive forretning, men i sidste ende handler det altså om at skabe den rigtige balance mellem åbenhed og sikkerhed.
”En ting kan man i hvert fald være helt sikker på, og det er, at de it-kriminelle ikke har nogen respekt for, at danskerne er et tillidsfuldt folk. Tværtimod vil de gøre, hvad de kan for at misbruge den tillid, og det er ekstremt vigtigt, at såvel virksomhedens ansvarlige ledelse som virksomhedens it-sikkerhedsansvarlige, CISO’en, forstår dette”, uddyber Thomas Hedegaard.
Johan Mellin, der er Solution Consultant i WithSecure, er ganske enig.
Sikkerhed er forretningskritisk
”Det er vigtigt at understrege, at hverken Machine Learning eller Artificial Intelligence kan løse sikkerhedsproblemerne. Uanset hvad vi råder over af avanceret teknik, har vi stadig brug for mennesker til at drive de sikkerhedsmæssige processer i virksomhederne. Mennesker, der både forstår teknologien og ikke mindst de it-kriminelles tankegang. Hvis ikke det er tilfældet, får man ikke succes med at opbygge god it-sikkerhed”, siger Johan Mellin.
Han tilføjer, at det er mindst lige så vigtigt, at virksomhedens ledelse ser it-sikkerhed som et værktøj til at holde forretningen i gang i stedet for at betragte det som en omkostning. Det skal med andre ord være en integreret del af virksomhedens forretningsstrategi, for hvis it-sikkerheden er afskåret fra at drive forretning, giver det jo heller ikke megen mening at have et forsvar, mener altså Johan Mellin.
Både en styrke og en svaghed
Samtidig er det vigtigt at holde sig for øje, at hverken teknologi eller mennesker er et hundrede procent skudsikre, hvilket betyder, at der altid vil være en risiko for, at et cyberangreb trænger gennem forsvaret. Blandt andet fordi de fleste sikkerhedsbrud sker på baggrund af menneskelig aktion, f.eks. hvis en medarbejder trykker på et link, som vedkommende bestemt ikke skulle have trykket på.
”De it-kriminelle jo snedige og viger ikke tilbage for at bruge psykologi for at få en medarbejder til at trykke på linket, så i virkeligheden er der tale om et tveægget sværd, hvor medarbejderen både kan være en sikkerhedsmæssig styrke og en sikkerhedsmæssig svaghed. Netop derfor er det så vigtigt, at der opbygges en bevidsthed blandt alle medarbejdere om de udfordringer og farer, som banker på virksomhedens dør hver evige eneste dag”, tilføjer Thomas Hedegaard.
Vær forberedt på det uventede
I den forbindelse understreger Johan Mellin vigtigheden af at være parat og være forberedt på et eventuelt cyberangreb. Trusselsbilledet ændrer sig konstant, og selv om det i dag ikke ser ud som om, risikoen er større end ellers, kan billedet se meget anderledes ud i morgen. Han siger videre, at hvis situationen pludselig spidser til, er det ikke engang sikkert, at virksomheden kan få hjælp, ganske enkelt fordi, den måske kommer bag i køen.
”En del virksomheder tror heller ikke, de er interessante nok til at komme i de it-kriminelles søgelys, men det er alle virksomheder i princippet. Derfor gælder det om at have lavet en aftale med et sikkerhedsfirma om en Incident Response Retainer. Det betyder, at virksomheden har en kontrakt på hurtig assistance, hvilket er essentielt. Faktisk lige så essentielt som at have tegnet forsikring mod brand eller vandskade”, slutter Johan Mellin.
”Risikoen for, at de it-kriminelle trænger gennem sikkerhedsforsvaret, vil altid være der. Derfor handler det om modenhed i virksomheden. Modenhed omkring, hvorledes den bedst muligt kan være på forkant med udviklingen – blandt andet ved at integrere it-sikkerhed som en del af virksomhedskulturen”, siger Johan Mellin, der er Solution Consultant i WithSecure.
Account Director Thomas Hedegaard fra WithSecure fortæller, at WithSecure i en længere årrække har leveret sikkerhedskonsulentydelser samt Managed Detection and Response til virksomheder, der opererer inden for det, man kalder for kritisk infrastruktur, det vil sige finans, energi, kommunikation, logistik, shipping og sundhed.
