Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Cybersikkerhed fylder stadig mere i danske organisationer. Der bliver udarbejdet strategier, stillet krav og investeret i nye løsninger. Det er nødvendigt.
Men det er ikke nok.
For udfordringen handler ikke kun om, hvor meget opmærksomhed cybersikkerhed får. Det handler også om at mange organisationer, både offentlige og private, grundlæggende arbejder forkert med cybersikkerhed.
Ofte behandles cybersikkerhed som et teknisk problem eller en administrativ øvelse.
Der skrives politikker, udarbejdes kontroller og produceres rapporter. Al sammen nødvendige elementer i enhver sikkerhedsindsats, men desværre ikke nok.
For når et cyberangreb rammer, er det ikke et dokument, der afgør udfaldet. Det er organisationens evne til at handle hurtigt, koordineret og med ufuldstændig information.
I praksis ser vi ofte, at organisationer faktisk har et cyberberedskab. Der findes en plan for, hvem der skal gøre hvad, hvis noget går galt. Problemet er bare, at planen sjældent er testet.
Dét er afgørende. Først når man står midt i en realistisk øvelse, bliver det tydeligt, hvor hurtigt usikkerhed kan opstå.
Hvem træffer beslutningen om at lukke systemer ned? Hvem taler med kunder eller borgere? Hvad gør man, hvis angriberen allerede har adgang til centrale systemer?
I den situation opdager mange organisationer, hvor afhængige de er af klare roller, samarbejde på tværs af afdelinger og ledelser, der kan træffe beslutninger under pres.
Cybersikkerhed er mere forretning end teknik
I den offentlige debat bliver cybertruslen ofte fremstillet som et næsten uoverskueligt kapløb mod stadig mere avancerede angribere.
Kunstig intelligens, kvantecomputere og statsstøttede hackergrupper fylder meget i debatten.
Men virkeligheden er ofte mindre spektakulær.
Mange angreb lykkes, fordi organisationer ikke får lukket sårbarheder, ikke beskytter identiteter godt nok - for eksempel ved at undlade at implementere mulitfaktorgodkendelse - eller ikke har styr på, hvordan de skal reagere, når noget går galt.
Det betyder ikke, at truslen er lille. Tværtimod. Men det betyder, at en stor del af løsningen ikke ligger i futuristisk teknologi. Den ligger i disciplin og forberedelse.
Den ligger i, at organisationer har et reelt overblik over deres systemer, identiteter og data og forstår, hvordan de hænger sammen og påvirker forretningen.
At netværk deles op, så hackere ikke kan bevæge sig frit. At kendte sårbarheder ikke bare registreres, men lukkes. Og at organisationer ikke kun har et beredskab, men også har prøvet det under pres.
Ellers risikerer cybersikkerhed at blive en selvstændig disciplin løsrevet fra den organisation, den egentlig skal beskytte.
Hvis Danmark skal styrke sin digitale modstandskraft, kræver det derfor mere end strategier og nye krav.
Det kræver en kultur, hvor cybersikkerhed er en integreret del af den daglige drift, og hvor beredskab bliver øvet, før krisen opstår.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
