Ifølge en ny rapport fra SMV Danmark kniber det gevaldigt med cybersikkerheden blandt Danmarks små og mellemstore virksomheder. Men det er ikke altid naboen, der bliver ramt.
”Der er flere årsager til at det kniber med cybersikkerheden i SMV-segmentet. Dels har mange virksomheder set ind i et optimerings- og vækstpotentiale gennem de seneste fem år, dels har vi set cloud-infrastrukturen blomstre op. Det har medført at man har gjort som vanligt: man har accelereret og optimeret virksomheden, men har ikke nødvendigvis fået tænkt sikkerhed ind i det. Vi har bedre værktøjer i dag, men vi ser stadigvæk en del udfordringer i dette segment” indleder teknisk direktør Christian Rutrecht, Fortinet A/S.
Møder kunderne i øjenhøjde
Hos Fortinet, der blev etableret i 2000 og i dag både tæller små enkeltmandsvirksomheder, mellemstore virksomheder samt nogle af klodens største koncerner blandt sine kunder, møder man altid kunderne ’i øjenhøjde’. For det gælder om at afdække kundernes prioriteringer og i hvilken retning kundens forretning bevæger sig. Og baseret på forretningen om at afdække den risikomodel, man står overfor.
”En stor global virksomhed med en milliardomsætning har sandsynligvis også fornuftigt budget til IT-sikkerhed. Det har tømrermesteren med 27 ansatte ikke nødvendigvis. Uanset virksomhedens størrelse er det de færreste, der kan tåle at blive låst ude fra IT-systemet af en hacker, der kræver løsesum for at låse op, at data bliver krypteret med ransomware eller at data forsvinder. Især for SMV-segmentet ligger der en gensidig forpligtelse over for samfundet som helhed til at sørge for at sikre sin IT-installation, og den kritiske infrastruktur, bedst muligt i forhold til de muligheder, virksomheden har” påpeger Christian Rutrecht.
Vær klar til NIS2
Når EU’s nye direktiv NIS2, som blev vedtaget i maj måned i år, træder i kraft kommer det til at inddrage endnu flere sektorer end forgængeren, NIS. Det drejer sig blandt andet om spildevandssektoren, affaldssektoren og fødevaresektoren. Formålet er at øge IT-sikkerhedsniveauet i Europa på både mellemlangt og længere sigt.
”Til april måned næste år har man 21 måneder til at opfylde kravene, og vi kan se at rigtigt mange produktionsvirksomheder, dem, der hører under kritisk infrastruktur, på OT-siden måske ikke har forholdt sig til sikkerhed på samme måde som på IT-siden. Ikke mindst fordi prioriteringerne er anderledes, når vi taler om OT-miljøer, hvor det primært handler om menneskelig sikkerhed og tilgængelighed. NIS2 kommer på et rigtig godt tidspunkt i forhold til den retning vi globalt er på vej hen geopolitisk. De sikkerhedsprioriteringer som vi har haft i årevis på IT-området skal nu overføres til OT-området, om end der naturligvis skal ske en vis tilpasning baseret på de forskellige risikoprofiler” fastslår Christian Rutrecht.
IT-trusler rammer produktionsmiljøet
I takt med at erhvervslivets IT-miljøer i stigende omfang integreres med produktionsmiljøets OT-værktøjer vil trusler rettet mod IT-systemerne kunne ramme OT-miljøet. Det er set flere gange, fx i forbindelse med angrebet på Colonial Pipeline, der endte med at koste selskabet bag ca. 5 mio. USD for at kunne genåbne tankstationernes olie- og benzinhaner.
”Hackerne gik efter IT-delen, og med den nede kunne olieselskabet ikke håndtere transaktioner, ordrer, kapacitet, volumenmålinger med mere” forklarer Christian Rutrecht.
Sørg for at konsolidere værktøjerne
I forbindelse med en øget fokusering på IT- og cybersikkerhed er det vigtigt at sikre, at de nødvendige værktøjer er konsolideret.
”Der har været en tendens til at man anvender rigtigt mange forskellige værktøjer, der ikke kan udveksle data. Og i en situation som den aktuelle, hvor trafik- og datamængden stiger eksponentielt, antallet af brugere stiger tilsvarende, stiller krav om at vi begynder at overveje nogle smartere platforme. Det er Fortinet Security Fabric platformen er et godt eksempel på en platform, hvor man kan konsolidere værktøjer inden for netværkssikkerhed, endpointsikkerhed og brugersikkerhed på én platform” pointerer Christian Rutrecht afslutningsvis.