Artikel top billede

Derfor er cyberangreb det nye store tabu i it-branchen

Tabu: Alle kan blive ramt af cyberangreb, men ingen vil tale om det og dermed hjælpe sig selv og andre med forebyggelse. Det paradoks vil det offentlige Danmark nu til livs.

Trommehvirvlen til det største cyberangreb på Danmark nogensinde er så småt begyndt.

Således havde Beredskabsstyrelsen sammen med Rigspolitiet og Center for Cybersikkerhed for nylig trommet 180 deltagere sammen i Eigtveds Pakhus ved Udenrigsministeriet i København for at fortælle om cyberangrebet i form af en øvelse, der planmæssigt rammer flere offentlige myndigheder i starten af november.

Allerede ved sammenkomstens indledende strækøvelser er det nok værd at spidse ører til Danmarks evner til at slå et cyberangreb effektivt tilbage.

"Vi har alle noget at lære på dette område," indleder øvelseschef Bjarne Sørensen fra Rigspolitiet sin tale med.

Og så er der vist ikke sagt for meget med årets tidligere angreb på NemID, KL's hjemmeside og ikke mindst Danmarkshistoriens største datalæk hos CSC i frisk erindring.

Afslører danske cyberslæk

Flere gange i Eigtved Pakhus bliver det understreget, at cyberangreb mod landets firewalls er blandt de 10 hændelser, der kan medføre de største ulykker og katastrofer herhjemme - på linje med oversvømmelser og atom-ulykker fra europæiske kraftværker.

Blandt oplægsholderne til temadagen er chefen for Forsvarsministeriets Center for Cybersikkerhed, Thomas Lund-Sørensen, der taler om cybersikkerhed som en problemstilling, der kun bliver mere presserende år for år i takt med, at flere enheder bliver tilsluttet til internettet.

Han nævner blandt andet, at der i 2008 var flere ting end mennesker tilsluttet nettet, mens der er i dag er flere ting på nettet end mennesker på Jorden.

Og der i 2020 vil være op mod 50 milliarder enheder tilknyttet internettet - næsten en tidobling i forhold til i dag - der også åbner sprækker i cybersikkerheden.

"Vi har brugt Shodan-søgemaskinen og lavet en stikprøve på myndighedernes tilslutning til nettet, og uden at gå i dybden fandt vi flere steder, hvor vi kunne se default-brugernavne som for eksempel 'admin' og passwordet 'admin' på enheder, der var knyttet til nettet," fortæller Thomas Lund-Sørensen.

"Det er ikke nogen skam at blive cyberangrebet"

Ingen vil sige noget
Virksomheder er dog ifølge Thomas Lund-Sørensen generelt meget tilbageholdende med at tale om usikkerheder og angreb på deres virksomhed ofte ud fra tre meget forskellige årsager:

Det drejer sig om 1) manglende kendskab til angrebet, 2) vanskeligheder ved at beregne effekten af et angreb, 3) frygt for, hvordan nyheden om et angreb påvirker børskursen.

"Virksomhederne er også tilbageholdende med politianmeldelser og i det hele taget at udstille, at cybersikkerheden er blevet brudt. Men det er ikke nogen skam at blive cyberangrebet. Det vidner bare om, at ens virksomheder er attraktiv," siger Thomas Lund-Sørensen fra talerstolen.

Sådan kommer du i gang med forberedelserne

I lighed med al anden kriminalitet er en politianmeldelse første skridt til at hjælpe sig selv og andre virksomheder med at komme cybertruslen til livs - ligegyldigt om det drejer sig om netværksspioner eller politiske hackere.

Fire punkter med udråbstegn

Chefen fra Center for Cybersikkerhed fremhæver, at ved et cyberangreb er det vigtigt, at alle kan lære fra dem, når de nu engang har fundet sted.

"Både i udlandet og herhjemme har organisationer været meget tilbageholdende med at dele viden på dette område, men vi bliver simpelthen nødt til dele informationer, fordi cyberforsvar er en holdindsats," lyder opfordringen fra Thomas Lund-Sørensen.

Derefter begynder fremviser han en planche, hvor tre hovedpunkter til at modstå cyberangrebene står mejslet med udråbstegn.

Det drejer sig først og fremmest om, at man som organisation skal erkende, at truslen om et cyberangreb er mere håndgribelig end nogensinde før.

Punkt to handler om, at alle organisationer bør gennemføre en risikoanalyse, hvor den enkelte organisation individuelt kan nå frem til, hvad der skal investeres i for at beskytte konkrete datasæt. Og her skal hele virksomheden inddrages.

"Et af problemerne med cybersikkerhed er, at det sjældent bliver løftet op på ledelsesniveau, hvor det hører hjemme sammen med en lang række andre mere traditionelle risici," fastslår Thomas Lund-Sørensen.

Det tredje område er, at enhver organisation bør udarbejde planer, implementere planerne og vedligeholde dem i form af øvelser for at holde sig på tæerne.

Sådan kommer du selv i gang

For at komme i gang med at kigge dit eget cyberberedskab efter i sømmene har Beredskabsstyrelsen fået udarbejdet et såkaldt dilemmaspil, som du kan samle din organisations nøglepersoner omkring for at afdække, hvor jeres cyberberedskab eventuelt halter.

Dilemmaspillet er oprindeligt beregnet til deltagerne i den kommende cyberøvelse, men det kan med lige så stort udbytte benyttes af alle interesserede virksomheder, der enten frygter eller allerede har haft uønskede besøgende på sine firewalls.

Du kan hente Dilemmaspillet og læse mere om det på Beredskabsstyrelsens hjemmeside

Og så har Thomas Lund-Sørensen fra Center fra Cybersikkerhed et godt, jordnært råd, når du fremover indgår it-kontrakter:

"Vores anbefaling er, at sikkerhed skal håndteres allerede i designfasen af et nyt it-projekt, og derfor bør alle ansvarlige overveje sikkerhedskravene kraftigt, når de indgår kontrakter med deres it-leverandører," afslutter han.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk IT-sikkerhedsdag 2022 - identificer, beskyt og forsvar

IT-sikkerhedstruslerne mod virksomhederne er i takt med tiden blevet større og værre, fordi virksomhederne er mere end nogensinde før afhængige af data og IT. Det stiller krav til de IT-ansvarlige, der konstant skal tage bestik af det skiftende trusselniveau. Det kræver blandt andet, at it-sikkerhed bliver sat på den strategiske dagsorden i virksomhederne – men hvordan?

25. januar 2022 | Læs mere


Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere