Af Henrik Malmgreen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Rapporten fra IT Universitetet og Syddansk Universitet dokumenterer et nedslående billede af it-sikkerheden blandt danske virksomheder. Lederne har ganske enkelt for ringe indsigt i området, hvilket i rapporten blandt andet dokumenteres af, at blandt små og mellemstore virksomheder har kun 26 procent et dedikeret budget til cybersikkerhed. Samme triste billede gør sig gældende for 68 procent af de store virksomheder.
6 anbefalinger fra organisationerne
For at sikre, at indberetninger om databrud kommer bedre i spil, har IT-Branchen og Rådet for Digital Sikkerhed udarbejdet seks konkrete anbefalinger.- Der skal kommunikeres mere brugbar tilbagemelding til dem, der foretager indberetningerne.
- Der skal skabes et overblik over de forskellige myndighedsinstanser, hvortil der indberettes databrud.
- Der skal etableres en række datacentre, hvor data fra indberetningskilderne kan samles og systematiseres.
- Der skal etableres en egentlig hændelsesdatabase, så de indsamlede data kommer flest muligt til gavn.
- Det skal sikres, at der er lovmæssig hjemmel til at anvende de indberettede data i anonymiseret form.
- Indberetningsskemaerne skal udformes med henblik på at optimere samt styrke indsatsen for bedre sikkerhed.
Toplederne i de danske virksomheder ved stadig for lidt om, hvilke konsekvenser truslen fra nettet potentielt udgør for deres virksomhed. Det viser en ny undersøgelse fra IT Universitetet og Syddansk Universitet. En af hovedkonklusionerne i rapporten er, at knapt halvdelen – 48 procent – af de ansvarlige for it-sikkerhed og databeskyttelse erkender, at sikkerhedsprocedurerne i de virksomheder, de arbejder i, langt fra altid overholdes.
Årsagerne hertil kan være mange, men en af de mest bekymrende er, at virksomhedens ledere har for lidt indsigt i cybersikkerhed. Dertil kommer udfordringer som mangel på tid samt ressourcer, og at procedurerne griber ind i organisationens arbejdsgange på en måde, så de ganske enkelt tilsidesættes. Det samlede billede er dermed, at cybersikkerhed fortsat er et underprioriteret område i virksomhederne.
Forældet syn på truslerne
På den ene side anerkender lederne, at cybersikkerhed er vigtig, lige som de godt er klar over, at det er i deres egen interesse, at virksomheden er beskyttet. På den anden side har mange et forældet syn på cybertruslen og lægger ansvaret for sikkerhed over på it-specialisterne i virksomheden. Den manglende bevidsthed samt manglende viden fører dermed til en underprioritering af området, selv om det kan koste virksomhedens eksistens.
”Cyberangreb risikerer jo netop at skade kerneforretningen. Derfor er det set ud fra et forretningsmæssigt perspektiv vigtigt, at top-ledelsen uddannes i cybersikkerhed, således, at den forstår de forretningsmæssige konsekvenser af cybertruslen og bliver rustet til at kunne danne sig et realistisk billede af sårbarhederne.”
Det siger Asmita Dalela, der er forsknings-assistent ved IT Universitetet.
Tillid er et stort problem
Hun bakkes op af lektor ved Syddansk Universitet Jacopo Mauro, der siger, at vi i Danmark har en kulturbåren udfordring, nemlig en tradition for høj grad af tillid, hvilket afspejles i undersøgelsen.
Lederne stoler for eksempel på, at udviklerne har styr på it-sikkerheden og blander sig derfor ikke i deres arbejde. Under coronakrisen har ledelsen endvidere i vid udstrækning ladet medarbejderne tage de bærbare computere med hjem.
”Samtidig forventes det, at medarbejderne har styr på datasikkerheden. Tillid er altså altafgørende, men hvis ledelsen antager, at medarbejderne har viden og kompetencer inden for sikkerhed, som de måske rent faktisk ikke har, er det virkelig problematisk,” siger Jacopo Mauro.
Han understreger dog, at meningen med rapporten ikke er at pege fingre, men at hjælpe til med at identificere problemstillingerne.
”Vores resultater viser, at såvel de tekniske medarbejdere som forretningsspecialisterne har brug for mere viden om cybersikkerhed. Det koster både penge og tid, men det er en nødvendig omkostning,” siger Jacopo Mauro videre.
Forskerne mener altså, det er på høje tid, at virksomhederne opruster inden for cybersikkerhed og samme holdning har Asmita Dalela fra IT Universitetet.
”Vi befinder os i en digital tidsalder, hvor vi alle dagligt benytter teknologi. Hvis ikke der er styr på cybersikkerheden i de virksomheder, der producerer de digitale produkter og services, vi benytter, er det stærkt bekymrende. Manglende sikkerhed i vores digitale produkter påvirker ikke bare tjenesterne i sig selv, men kan også føre til sikkerhedsbrister i andre systemer, som produkterne integreres i,” siger Asmita Dalela.
Manglende selverkendelse
Rapporten viser både, at udviklerne i virksomhederne hverken mener, at ledelsen prioriterer cybersikkerhed, eller at de understøttes tilstrækkeligt på området. Men sværdet er tve-ægget, for rapporten viser endvidere, at udviklerne selv mangler uddannelse i sikkerhed. Blot er det langt fra altid, de selv er opmærksomme på det, og de efterspørger derfor ikke de nødvendige uddannelsestilbud.
Direkte adspurgt svarer mange af de adspurgte ledere, at de gerne betaler for kurser i cybersikkerhed, hvis medarbejderne har brug for det.
Udover at mange af udviklerne ikke selv er bevidste om behov for mere viden, er det også et problem, at medarbejderne ikke stimuleres til at give udtryk for behovet, hvis de mærker, at cybersikkerhed ikke prioriteres fra ledelsens side.
”Set ud fra et forretningsmæssigt perspektiv er det vigtigt, at topledelsen uddannes i cybersikkerhed, således at den forstår de forretningsmæssige konsekvenser af cybertruslerne,” siger forskningsassistent ved IT Universitetet Asmita Dalela.
”Hvis ledelsen antager, at medarbejderne har viden og kompetencer inden for sikkerhed, som de måske rent faktisk ikke har, er det virkelig problematisk,” mener lektor ved Syddansk Universitet Jacopo Mauro.
Fakta om rapporten
Rapporten ”Assesment on the Status of CyberSecurity in Denmark” kortlægger danske virksomheders praksis inden for cybersikkerhed. Resultaterne er baseret på en spørgeundersøgelse foretaget blandt 107 ledere, udviklere, sikkerhedseksperter samt andre typer af medarbejdere i danske virksomheder. Desuden er der foretaget kvalitative interviews med 11 personer i forskellige ansvarsroller. Rapporten er udarbejdet af IT Universitetet samt Syddansk Universitet og er finansieret af Center for Cybersikkerhed.I brancheorganisationen Dansk Industri er fagleder for digital ansvarlighed og cybersikkerhed, Morten Rosted Vang, enig i at it-sikkerhed ikke alene bør placeres hos specialister i virksomheden. Ansvaret bør være en prioriteret del af ledelsens ansvarsområde og en del af almindelige forretningsrisici. Det går ikke at reducere det til en teknisk øvelse hos specialisterne langt fra forretningen.
”Ledelsesforankring kan endvidere medvirke til, at der i virksomheden skabes en fornuftig balance mellem brugervenlighed og sikkerhed. Har ledelsen ikke taget valget om at sikre balancen, risikerer man i en travl hverdag, at medarbejderne selv tager valget, og så er der stor sandsynlighed for, at sikkerhed viger for brugervenlighed i form af, at sikkerhedsprocedurerne tilsidesættes.
Morten Rosted Vang påpeger desuden, at rapporten fra IT Universitetet og Syddansk Universitet viser, at sikkerhed ofte ikke prioriteres i udviklingen af digitale produkter. Hvis sikkerhed skal følge med digitalisering, skal digitale produkter kunne tages sikkert i brug. Derfor arbejder Dansk Industri for, at ”security & privacy by design” skal være et fokusområde i den kommende nationale strategi for cyber- og informationssikkerhed.
Fagleder for digital ansvarlighed og cybersikkerhed i Dansk Industri Morten Rosted Vang mener, det skal være muligt at kunne tage nye digitale produkter i brug, uden at man som bruger skal have særlige it-sikkerhedskompetencer. Sikkerheden bør altså i højere grad være integreret i produkterne.
Danmark topper på hackernes scoreboard
”Danmark er et af de mest digitaliserede lande i verden. Derfor er det egentlig også kun naturligt, at vi er eksponeret rent sikkerhedsmæssigt”.
Det siger Martin Jensen Buch fra brancheorganisationen IT Branchen. Han sidder i organisationens sikkerhedsudvalg og fortæller, at siden databeskyttelsesloven trådte i kraft i 2018, har Datatilsynet modtaget mere end 18.000 indberetninger om databrud.
Dermed er det i Europa kun Holland og Irland, der modtager flere indberetninger pr. indbygger end Danmark. På den ene side kan man sige, at det høje antal indberetninger kan virke bekymrende, men på den anden side udgør det også en ressource for sikkerhedsarbejdet. En ressource, der nu skal udnyttes langt bedre. I hvert fald hvis det står til brancheforeningen IT Branchen og Rådet for Digital Sikkerhed.
Databrud skal i system
Faktum er nemlig, at vi i Danmark går glip af store mængder af vigtig viden, der netop vedrører sikkerhedshændelser. Derfor foreslår de to organisationer, at der i forbindelse med den kommende Strategi for Cyber- og Informationssikkerhed igangsættes et arbejde, som skal sikre systematisering af de hændelser, der indberettes til blandt andre Datatilsynet samt politiets landsdækkende center for it-relateret, økonomisk kriminalitet.
”Det kan i høj grad være med til at øge vores viden om sikkerhedshændelser således, at it-sikkerheden styrkes”, siger Martin Jensen Buch.
Med dette initiativ ønsker man at tydeliggøre det faktum, at der rent faktisk er en mængde værdifulde data tilgængelige, som ikke udnyttes optimalt i dag. Han føjer til, at der i virksomhederne desuden er vist efterslæb, når det gælder fokus på sikkerheden.
Sammenhold gør stærk
”Over en årrække har der været fokus på virksomhedernes digitale transformation, men selv om det er blevet bedre, har ledelsen ikke haft tilstrækkeligt fokus på den nødvendige it-sikkerhed, der automatisk bør og skal følge med”, siger Martin Jensen Buch.
Han føjer til, at god it-sikkerhed i dag er blevet et væsentligt konkurrenceparameter - både i forhold til virksomhedens samarbejdspartnere og kunderne.
”Derfor ser jeg det som en klar fordel, hvis vi kan hjælpe hinanden og sammen skabe en transparent platform for erfaringsudveksling. En platform, der kan give de it-kriminelle kamp til stregen. I den globale konkurrence har danske virksomheder nemlig en interesse i at samarbejde og stå sammen på sikkerhedsfronten og skabe trygt handelsunivers. Så kan de bagefter slås på pris og kvalitet”, slår Martin Jensen Buch fast.
”Over en årrække har der været fokus på virksomhedernes digitale transformation, men selv om det er blevet bedre, har ledelsen ikke haft tilstrækkeligt fokus på den nødvendige it-sikkerhed,” siger Martin Jensen Buch, IT Branchen.