Tidligere PET-chef: Kulturen er det største it-sikkerhedsproblem i danske virksomheder

Interview: Sikkerheden skal gøres til et fælles projekt på tværs af afdelinger, hvis virksomheder skal have en chance for at beskytte sig mod voksende it-trusler som ransomware og CEO-fraud. Og der er lang vej endnu for det danske erhvervsliv, mener tidligere PET-topchef Jakob Scharf.

Artikel top billede

Foto: Kim Stensdal. (Foto: Kim Stensdal)

"Det kan være fuldstændig ligegyldigt at bruge store summer på firewalls, og hvad man ellers kan få, hvis man ikke har styr på, hvad der foregår bag murene og har etableret en fornuftig sikkerhedskultur. Og det har man ikke i mange danske virksomheder".

Sådan vurderer Jakob Scharf, der tidligere har stået i spidsen for Politiets Efterretningstjeneste, kortfattet det danske erhvervslivs helt store udfordring med it-sikkerhed.

I dag er han direktør i sikkerhedsfirmaet CERTA, som han stiftede efter at have forladt PET i 2013.

Med sig tog han en række folk fra forskellige grene af efterretningsapparatet, og CERTA hjælper blandt andet store danske virksomheder med at få overblik over, hvor godt (eller dårligt) det står til med it-sikkerheden.

Ifølge den tidligere PET-chef griber de danske virksomheder grundlæggende sikkerhedsspørgsmålet helt forkert an.

"Virksomhederne starter simpelthen det forkerte sted. Det giver ingen mening at købe it-sikkerhedsprodukter, hvis du ikke først sørger for at have et klart overblik over, hvad du skal beskytte, og hvad du skal beskytte det fra," siger Jakob Scharf til Computerworld.

"Investeringerne er spildt, hvis du ikke uddanner medarbejdere i at tænke over, hvad de deler på sociale medier, hvilke mails de klikker på, og hvem der bør have adgang til hvilke data. Den kultur skal etableres som det allerførste skridt," tilføjer Jakob Scharf.

It-sikkerhed? Mig?

Når Scharf og CERTA laver en gennemgang af danske virksomheders sikkerhed, er der særligt en ting, der altid får alarmklokkerne til at ringe og peger på, at den sandsynligvis er gal med sikkerheden: Når ledere og menige medarbejdere er uenige om sikkerhedsniveauet i virksomheden.

"Jeg oplever meget ofte en enorm forskel på ledelsens opfattelse af medarbejdernes sikkerhedsbevidsthed og medarbejdernes oplevelse af deres egen rolle i forhold til informationssikkerheden," siger Jakob Scharf og uddyber:

"Den øverste ledelse vil som regel sige og forvente, at medarbejderne er meget sikkerhedsbevidste og tager alverdens forholdsregler. Men medarbejderne vil som regel have en opfattelse af, at it-sikkerhed er noget, de ordner ovre i it-afdelingen, og at det ikke har noget med dem at gøre. Og så du et problem".

Jakob Scharf erkender, at det kan lyde langhåret at snakke om kultur i stedet for konkret it-sikkerhed, når man nu driver et sikkerhedsfirma.

Men han påpeger, at de fleste brud på informationssikkerheden i større organisationer bunder i, at nogen internt i virksomheden har gjort noget forkert.

Det er interne personer, der klikker på den forkerte mail og får installeret ransomware. Det er ansatte der i god tro reagerer på en falsk email fra chefen og overfører penge fra virksomheden til kriminelle.

Det bedste forsvar er derfor, ifølge Scharf, at skabe en bevidsthed på alle niveauer i virksomheden om, at sikkerhed er vigtigt, ligesom der skal etableres fuldstændig klare arbejdsgange og regler for, hvem der har adgang til hvad fra hvilke enheder. Først derefter bliver det relevant at tale om, hvilken it-sikkerhed man eventuelt bør købe.

"Jeg tror sådan set, at NSA har meget godt styr på den tekniske it-sikkerhed. Men pointen er, at hvis en medarbejder bare kan sætte et USB-stik i en computer og tage informationer med ud af organisationen, så kan det jo være lige meget," siger Jakob Scharf og refererer til, hvordan Edward Snowden kunne stjæle og lække fortrolige NSA-dokumenter og værktøjer.

Event: Cyber Security Festival 2026

Sikkerhed | København

Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

18 & 19 november 2026 | Gratis deltagelse

Navnenyt fra it-Danmark

Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

Daniel Eriksson

Sharp Consumer Electronics

IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

Lasse Hounsgaard

IFS Danmark A/S

Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

Mikkel Bernt Buchvardt

Elbek & Vejrup A/S