Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Den seneste tid har jeg tilbragt en del timer med ledelser og medarbejdere fra både offentlige og private virksomheder.
De har været igennem et simuleret, men virkelighedsnært, cyberangreb, som har til formål at træne virksomheders reaktionsevne, inden et angreb bliver en realitet.
En ting står lysende klart: Når presset stiger, er det sjældent teknologien, der fejler. Det er kommunikationen mellem mennesker.
For mange virksomheder udstiller det høje stressniveau under et simuleret cyberangreb nogle markante mangler i sikkerheden, og deres oplevelser har lært os noget centralt om det danske samfunds fælles beredskab.
Planer beskytter kun, hvis de trænes
For Danmarks digitale forsvarskæde er kun så stærk som det svageste led. Og særligt blandt mindre virksomheder ser vi en bekymrende tendens.
Omkring 35 procent af danske SMV’er har ikke et sikkerhedsniveau, der matcher deres risiko. Samtidig vurderes det, at én ud af fire små virksomheder i Europa risikerer at lukke som følge af cybersvindel.
Hvis de små aktører sakker bagud, undermineres robustheden for hele landet. Det betyder, at selv hvis større organisationer er godt beskyttet, kan mindre virksomheder, leverandører eller samarbejdspartnere blive den åbning, hackerne kan udnytte.
Ifølge Ateas analyse CIO Analytics 2025 har 62 procent af danske organisationer en beredskabsplan, men kun 38 procent har testet den.
Det svarer til at have en brandplan uden at holde brandøvelser. Ikke optimalt, når det brænder, og panikken spreder sig.
I The Esc Room, som den simulerede cyberøvelse hedder, så vi flere eksempler på, at planer blev overset eller misforstået, fordi deltagerne var under pres.
Når samarbejde under pres skal fungere, kræver det, at organisationer har styr på deres forberedelser. Ikke kun de tekniske, men i høj grad også de samarbejdsmæssige og kommunikative.
I dag ser vi desværre, at mange mindre virksomheder ikke har mulighed for at implementere den nødvendige beredskabstræning, fordi de mangler det økonomiske overskud. Derfor er det vigtigt, at der fra politisk hold sættes større fokus på udfordringerne.
Der bør derfor investeres mere og prioriteres støttemidler fra eksisterende puljer, så danske virksomheder aktivt kan teste deres beredskabsplaner og undersøge, hvordan de bedst værner sig mod konsekvenserne ved et cyberangreb.
For eksempel gennem målrettede tilskud til beredskabsøvelser, rådgivning eller sikkerhedstjek.
Samarbejde under pres kræver træning
De hold, der klarede sig bedst gennem The Esc Room, var ikke nødvendigvis dem med de mest avancerede systemer eller den største viden om cybersikkerhed.
Det var dem med den stærkeste dialog. Hold, der arbejder tæt til daglig, kender hinandens mønstre og tør sige tingene højt, navigerer langt bedre under pres.
For mange deltagere har øvelsen været en øjenåbner: samarbejde er ikke noget, der bare er, men noget, der skal plejes og dyrkes.
Selv når planerne ligger klar og procedurerne er velbeskrevne, har vi mennesker brug for støtte og en følelse af at være del af et hold, der bakker hinanden op. Og konsekvensen af det modsatte bliver tydelig, når kommunikationen sættes under pres.
Vi har for eksempel set deltagerne i en øvelse godkende alle "medarbejdere", der forsøgte at logge på virksomhedens interne systemer.
Hver især troede de, at de andre i rummet allerede havde verificeret dem, og ingen stillede spørgsmålet, om nogen faktisk kendte disse personer, højt. Imens stod virksomheden tilbage som en åben ladeport for hackere.
Teknologien er det første og mest fundamentale værn mod cyberangreb. Men uanset hvilken og hvor god en teknologi man har, er man først for alvor godt rustet, når kommunikationen, rollefordelingen og de menneskelige rutiner er på plads.
Det kræver, at man har talt om og overvejet, hvor virksomheden er mest sårbar, og hvem der har ansvaret, når et cyberangreb rammer.
I vores sikkerhedsforberedelser oplever vi ofte, at virksomheder får afdækket simple, men kritiske forhold: en enkelt computer med alle ordrerne, et bookingsystem der ikke kan genskabes hurtigt, eller centrale processer der kun ligger i én medarbejders hoved. Det er ofte forhold, som kan løses let, når først de er identificeret.
Min pointe er, at samtalen er den vigtigste. Det gælder i de enkelte virksomheder, men staten spiller også en nøglerolle i at oplyse og vejlede.
Rammer, retningslinjer og lavpraktiske løsninger kan hjælpe de virksomheder, som ikke har råd til sikkerhedskonsulenter eller dyre cyberforsikringer.
Formålet er at gøre virksomhederne i stand til at omsætte sikkerhedsplanerne, så de ikke blot eksisterer på papir, men fungerer i praksis, når et cyberangreb rammer. For det er ikke længere et spørgsmål om hvis, men om hvornår.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
