Tidligere PET-chef: Kulturen er det største it-sikkerhedsproblem i danske virksomheder

Interview: Sikkerheden skal gøres til et fælles projekt på tværs af afdelinger, hvis virksomheder skal have en chance for at beskytte sig mod voksende it-trusler som ransomware og CEO-fraud. Og der er lang vej endnu for det danske erhvervsliv, mener tidligere PET-topchef Jakob Scharf.

Artikel top billede

Foto: Kim Stensdal. (Foto: Kim Stensdal)

"Det kan være fuldstændig ligegyldigt at bruge store summer på firewalls, og hvad man ellers kan få, hvis man ikke har styr på, hvad der foregår bag murene og har etableret en fornuftig sikkerhedskultur. Og det har man ikke i mange danske virksomheder".

Sådan vurderer Jakob Scharf, der tidligere har stået i spidsen for Politiets Efterretningstjeneste, kortfattet det danske erhvervslivs helt store udfordring med it-sikkerhed.

I dag er han direktør i sikkerhedsfirmaet CERTA, som han stiftede efter at have forladt PET i 2013.

Med sig tog han en række folk fra forskellige grene af efterretningsapparatet, og CERTA hjælper blandt andet store danske virksomheder med at få overblik over, hvor godt (eller dårligt) det står til med it-sikkerheden.

Ifølge den tidligere PET-chef griber de danske virksomheder grundlæggende sikkerhedsspørgsmålet helt forkert an.

"Virksomhederne starter simpelthen det forkerte sted. Det giver ingen mening at købe it-sikkerhedsprodukter, hvis du ikke først sørger for at have et klart overblik over, hvad du skal beskytte, og hvad du skal beskytte det fra," siger Jakob Scharf til Computerworld.

"Investeringerne er spildt, hvis du ikke uddanner medarbejdere i at tænke over, hvad de deler på sociale medier, hvilke mails de klikker på, og hvem der bør have adgang til hvilke data. Den kultur skal etableres som det allerførste skridt," tilføjer Jakob Scharf.

It-sikkerhed? Mig?

Når Scharf og CERTA laver en gennemgang af danske virksomheders sikkerhed, er der særligt en ting, der altid får alarmklokkerne til at ringe og peger på, at den sandsynligvis er gal med sikkerheden: Når ledere og menige medarbejdere er uenige om sikkerhedsniveauet i virksomheden.

"Jeg oplever meget ofte en enorm forskel på ledelsens opfattelse af medarbejdernes sikkerhedsbevidsthed og medarbejdernes oplevelse af deres egen rolle i forhold til informationssikkerheden," siger Jakob Scharf og uddyber:

"Den øverste ledelse vil som regel sige og forvente, at medarbejderne er meget sikkerhedsbevidste og tager alverdens forholdsregler. Men medarbejderne vil som regel have en opfattelse af, at it-sikkerhed er noget, de ordner ovre i it-afdelingen, og at det ikke har noget med dem at gøre. Og så du et problem".

Jakob Scharf erkender, at det kan lyde langhåret at snakke om kultur i stedet for konkret it-sikkerhed, når man nu driver et sikkerhedsfirma.

Men han påpeger, at de fleste brud på informationssikkerheden i større organisationer bunder i, at nogen internt i virksomheden har gjort noget forkert.

Det er interne personer, der klikker på den forkerte mail og får installeret ransomware. Det er ansatte der i god tro reagerer på en falsk email fra chefen og overfører penge fra virksomheden til kriminelle.

Det bedste forsvar er derfor, ifølge Scharf, at skabe en bevidsthed på alle niveauer i virksomheden om, at sikkerhed er vigtigt, ligesom der skal etableres fuldstændig klare arbejdsgange og regler for, hvem der har adgang til hvad fra hvilke enheder. Først derefter bliver det relevant at tale om, hvilken it-sikkerhed man eventuelt bør købe.

"Jeg tror sådan set, at NSA har meget godt styr på den tekniske it-sikkerhed. Men pointen er, at hvis en medarbejder bare kan sætte et USB-stik i en computer og tage informationer med ud af organisationen, så kan det jo være lige meget," siger Jakob Scharf og refererer til, hvordan Edward Snowden kunne stjæle og lække fortrolige NSA-dokumenter og værktøjer.

Annonceindlæg fra Computerworld

AI skal frigøre tid og skabe nærvær i samtalen med borgeren

Flere kommuner går nu i gang med at bruge AI-understøttet dokumentation. Målet er, at sagsbehandlere skal bruge mindre tid på referater og registrering – og mere tid på nærvær i mødet med borgeren.

Navnenyt fra it-Danmark

Immeo har pr. 16. marts 2026 ansat Honey Arora som Senior Manager. Han kommer fra en stilling som Data Product Owner hos Centrica Energy. Nyt job

Honey Arora

Immeo

Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

Boris Sudar

Renewtech ApS

Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

Jakob Dirksen

GlobalConnect

Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

Mikkel Bernt Buchvardt

Elbek & Vejrup A/S