Danmark rangerer blandt de lande, som er mest følsomme over for cyberkriminalitet. Det skyldes, at mange virksomheder er truede, og alt for få tager det alvorligt.

Dansk Erhverv vil ruste deres medlemmer bedre, mens Deloitte henter nye typer af medarbejdere og udvikler nye værktøjer i kampen mod de cyber-kriminelle.

Verdens fjerdemest sårbare land i forhold til cyberkriminalitet. Så højt rangerer Danmark i Deloittes årlige trusselsbarometer, Global Defense Outlook. Det skyldes blandt andet, at danske virksomheder generelt har for lidt styr på deres it-sikkerhed.

Det nævnes også, at mange virksomheder handler uforsigtigt, og at myndighederne – af hensyn til privatlivets fred – er forhindret i at lave forebyggende arbejde.

En virksomhed kan miste sit eksistensgrundlag med et pennestrøg, fordi man ikke sikrer sig på forhånd eller reagerer omgående, når uheldet er ude. Det vil vi gerne ændre på.

“Truslerne er så mangfoldige og de kriminelle så dygtige og innovative, at det er svært at sige, at man til fulde er garderet mod truslen. Der vil altid være en bagdør, der kan bruge en bedre lås, eller en ny form for tricktyv, man ikke har spottet. Vi mærker imidlertid en stigende opmærksomhed på at gøre noget aktivt for at beskytte sig mod cyberkriminalitet,” siger Janus Sandsgaard, fagchef for IT og Digitalisering i Dansk Erhverv.

Problemet tages ikke alvorligt

Konsulenthuset Deloitte har i mange år arbejdet med it-sikkerhed og har blandt andet et Incident Response-team, der rykker ud til virksomheder, så snart der er mistanke om angreb. Her ser man en udfordring i, at mange virksomheder ikke tager problemet alvorligt.

“Vi ser tilfælde, hvor en virksomhed kan miste sit eksistensgrundlag med et pennestrøg, fordi man ikke sikrer sig på forhånd eller reagerer omgående, når uheldet er ude. Det vil vi gerne ændre på,” forklarer Thomas Brun, partner i Deloitte og leder af konsulenthusets Risk Advisory-enhed.

Dilemma

It-sikkerhed præges af samme dilemma som bestræbelserne på at undgå indbrud i hjemmet. Tyverialarmer og –forsikringer kan være dyre, og det kan være, at forsvarsværket aldrig skal bruges. “En virksomhed tænker naturligvis, at det kan være spild af penge at gøre for meget ud af forsvaret mod cyberkriminalitet, men det er lidt at sidestille med tyverisikringen i villakvarteret. Hvis det er synligt, at der er sikret, er det sandsynligt, at forbryderen finder et andet offer,” forklarer Thomas Brun.

Han påpeger, at globalisering og digitalisering har gjort virksomheder mere effektive, givet bedre adgang til data og generelt gjort det lettere at drive forretning. Men den negative konsekvens er, at det er blevet nemmere for hackerne at få adgang til kundedata, forretningshemmeligheder og lignende.

“Vi bør omfavne teknologien, men gardere os bedst muligt med en stærk it-sikkerheds- og risk management-politik,” siger Thomas Brun.

Vindmølleproducenten Vestas er en af de virksomheder, som bl.a. benytter ekstern ekspertise for at sikre, at produkterne lever op til kundernes krav.

“Vores produkter skal indgå som et sikkert element i kundens portefølje. Vi bruger anselige ressourcer på at leve op til de mange krav, der stilles til vores produkter. Her må vi i visse tilfælde trække eksterne ressourcer ind for at være sikre på, at vores produkter lever op til alle standarder,” forklarer Lars Chr. Christensen, Vice President, Plant Solutions i Vestas.

Massiv mangel på ressourcer

Det faktum, at cyberkriminalitet kan ramme både store som små virksomheder, gør det svært at bekæmpe fra centralt hold, og ikke mindst det faktum, at kriminaliteten er så lukrativ, gør, at kriminaliteten er systematiseret og genstand for sofistikeret innovation. En uheldig cocktail, der gør problemet yderst alvorligt.

“Det er også forklaringen på den rivende udvikling inden for eksempelvis ransomware og CEO fraud. På den måde kommer der til at foregå et evigt kapløb mellem de cyber-kriminelle og virksomhederne,” forklarer Janus Sandsgaard.

Så meget desto værre er det, at der slet ikke uddannes tilstrækkelige ressourcer til at bekæmpe kriminaliteten – som oftest styres af autodidakte genier.

“Der er et massivt problem i, at det tager fem år at uddanne en ekspert i at forsvare virksomheder mod kriminalitet, mens en autodidakt på få år kan lære at finde nye veje, som kræver helt nye forsvarsmekanismer. Af samme årsag arbejder vi netop nu på at udvikle miljøer, hvor vi kan uddanne talenter til at bekæmpe cyberkriminalitet,” forklarer Thomas Brun.