Når skærmene fryser, og it-systemerne ikke længere reagerer, kan et greb gøre en verden til forskel: Hiv internetkablet ud.
Sådan lyder et af de lavpraktiske råd i en ny nødplan, som Styrelsen for Samfundssikkerhed sammen med politiet har udviklet til små og mellemstore virksomheder.
Nødplanen er målrettet virksomheder med færre end 50 ansatte og særligt virksomheder uden en dedikeret it-afdeling eller interne sikkerhedsressourcer.
Formålet med det nye værktøj er at hjælpe virksomheder med at handle hurtigt og strukturere indsatsen, hvis de rammes af et cyberangreb.
Et værktøj til krisesituationer
Planen består af en skabelon, hvor virksomheden på forhånd kan indtaste kontaktoplysninger til vigtige partnere som it-leverandører, hosting-partnere, forsikringsselskaber og relevante interne nøglepersoner.
Det skal være med til at skabe overblik og gør det lettere at reagere i den rette rækkefølge, når presset er størst.
Samtidig følger en guide, der trin for trin hjælper virksomheden med at udfylde planen og holde den opdateret.
Virksomheder opfordres til, at nødplanen printes ud og hænges op fysisk et sted, hvor medarbejderne kan finde den, dog skal man sikre, at følsomme oplysninger ikke hænger frit tilgængeligt.
Blandt de konkrete anvisninger i planen er netop rådet om at afbryde internetforbindelsen som en af de første handlinger, hvis virksomheden pludselig mister kontrol over sine systemer.
Formålet er at forhindre, at skaden breder sig, eller at cyberkriminelle får yderligere adgang.
"Skaden kan undgås eller begrænses"
Ifølge Torsten Schack Pedersen (V), der er minister for samfundssikkerhed og beredskab, er truslen mod små virksomheder reel og kræver, at der også udvikles løsninger.
"Dansk erhvervsliv står over for en alvorlig cybertrussel sammen med resten af Danmark. Det gælder også de små og mellemstore virksomheder. Derfor er jeg glad for, at Styrelsen for Samfundssikkerhed står klar til at hjælpe med den nye nødplan og vejledning. Den kan medvirke til, at skaden undgås eller bliver begrænset," siger han i forbindelse med lanceringen.
Mens store virksomheder og kritiske infrastrukturer typisk er omfattet af regulering som NIS2 eller DORA og har formelle krav til it-beredskab, så står en stor del af de mindre virksomheder uden krav og ofte også uden erfaring.
Det gælder eksempelvis detailbutikker, mindre produktionsvirksomheder eller servicefirmaer, der kan være dybt afhængige af deres systemer, men som sjældent har nedskrevne planer.
Det nye værktøj skal hjælpe med at lukke det hul, forklarer myndighederne, der samtidig understreger, at nødplanen bør suppleres og altså ikke kan erstatte en egentlig it-beredskabsplan.
Nødplan og guide findes her.
