Virksomheder og offentlige myndigheder skal forberede sig på, at risikoen for at blive ramt af et cyberangreb fra kriminelle bliver til stadighed større. Det siger direktør Mads Nørgaard Madsen, teknologi og sikkerhed i PwC. 59 pct. af alle CXO’er og it-fagfolk forventer således, at deres virksomheds cyber- og informationssikkerhedsbudget vil vokse inden for de næste 12 måneder. Det fremgår af PwC´s årlige survey inden for cyberkriminalitet 2022.
51 pct. af de danske CXO’er og it-fagfolk svarer i undersøgelsen, at deres virksomhed eller organisation har været udsat for mindst én sikkerhedshændelse inden for det seneste regnskabsår. Trods et mindre fald i forhold til 2021 er det fjerde år i træk, at mere end hver anden har været ramt.
Det er den perfekte storm for en sikkerhedsrådgiver. Virksomhederne bruger flere penge på at beskytte sig og de kriminelle arbejder sammen om at foretage angreb på it-organisationerne.
“Årsagen til den stigende cybertrussel, er, at man i takt med den omfattende digitalisering, virksomheder og it-organsiationer har undergået, ikke i tilstrækkelig grad har tænkt sikkerhed ind. Der gøres et godt stykke arbejde, men truslerne vokser. Derfor er det positivt, at næsten 60 pct. af virksomhederne vil investere mere. Der er jo mange, der allerede investerer i forvejen. Det er jo ikke fordi, folk har siddet på deres hænder og lavet ingenting. Der er jo rigtig mange, der har knoklet med sikkerhed og med at gøre mere for at mindske cyberrisikoen. Mange organisationer er dog ikke i mål, og de må konstatere, at de er nødt til at investere endnu mere for at komme helt i mål med deres cybersikkerhed. Og det vælger jeg at tolke positivt,” siger Mads Nørgaard Madsen.
Ny regulering
Udover at ledelsen i private virksomheder og offentlige myndigheder skal beskytte sig endnu bedre mod udefrakommende cybertrusler, skal de også leve op til ny regulering på området. I kølvandet på GDPR-forordningen fra 2018, har EU-kommisionen vedtaget direktivet NIS2, som er en opfølgning “mod cyberangreb på kritisk infrastruktur”.
Endnu er det ikke vedtaget af Folketinget, hvorvidt kommunerne bliver en del af NIS2-direktivet, men Mads Nørgaard Madsen mener, at der ikke kan herske tvivl om, at kommunerne bliver omfattet, da de sidder på store dele af den samfundskritiske infrastruktur, som el- vand- og varmeforsyning, kommunal hjemmepleje og opsamling af skrald.
“NIS2-direktivet vil udvide kravene til cybersikkerhed og sanktionerne ved manglende overholdelse af dem for at harmonisere og strømline sikkerhedsniveauet på tværs af medlemslandene. Det medfører skærpede krav til flere sektorer og betyder, at virksomhederne og offentlige organisationer skal forholde sig til risikostyring, kontrol og tilsyn”.
“Vi ser også, at flere virksomheder ønsker at arbejde mere helhedsorienteret med cybersikkerhed. Men det er samtidig vores erfaring, at en væsentlig andel af virksomhederne ikke får implementeret vedvarende programmer for håndtering af sikkerhed.”
“Man kan sige, at GDPR på nogle områder virkede. Der er dog også eksempler på, at man slet ikke er i mål. Mit råd er, at ledelser i kommuner og virksomheder skal binde GDPR sammen med NIS2 og cybertruslen. I dag er mange organisationer og virksomheder kun nået til første bølge, som er alt det juridiske med databehandleraftaler og Schrems II-afgørelsen. Man mangler dog fortsat alt det svære. Jeg anbefaler, at man ser aktiviteterne under GDPR, NIS2 og cybertruslen under ét, da de alle peger på det samme. Du skal have styr på din forretning. Du skal vide, hvor dine data er, og at de er beskyttede. Ved at slå aktiviteterne sammen, kan man slå mange fluer med et smæk,” siger Mads Nørgaard Madsen.
Ledelsesansvar
At have styr på forretningen er kernen i det setup, virksomheder og kommuner skal igennem. Der er et helt selvstændigt topledelsesansvar i NIS2 direktivet.
“Topledelser kan ikke bede IT-afdelingen om at tage ansvaret for forretningen. Du kan bede IT-afdelingen om hjælp til at løse det, hvis en kommune er blevet angrebet. I øvrigt har sikkerhedsagendaen sat en fornyet dialog i gang i topledelsen om et beredskab. Et beredskab om, hvordan forretningen kommer op at køre igen, efter den er blevet ramt. Det er ikke IT-afdelingens ansvar. Det er topledelsens ansvar, fordi det handler om forretningsprocesser.”
“Hvis en kommune har fået sit netværk lagt ned, kan man så undervise i folkeskolen uden brug af netværk og computere? Det skal man som minimum vide, om man kan. Kan hjemmepelejen komme ud og besøge ældre i eget hjem uden adgang til data? Det er ikke IT-afdelingens ansvar. Det kræver beredskabsplaner, og det er en interessant vinkel. Ja, men IT-afdelingen har backup, siger ledelsen. Det skal de nok fixe, bare rolig. Det er alle disse workarounds, man skal være forberedt på. Det er forbundet med et ledelsesansvar. Og hvis man ikke påtager sig det, risikerer man at få bøder i en helt ny størrelsesorden,” siger Mads Nørgaard Madsen.
Trusselsbilledet
I PwC´s survey svarer toplederne, at de er mest bekymrede for at blive ofre for de kriminelle bander. Tidligere var truslen at hackerne kom indefra. Det er ikke tilfældet idag, da kriminelle bander forsøger at lokke medarbejderne i virksomheder og organisationer til at begå en fejl. Det kan være et klik på et link i en mail eller udlevering af et password, og så har man balladen.
“De lokker medarbejderne til at gøre noget, de ikke skulle gøre, eller siger de skal reparere radiatoren nede i kælderen, og så åbner de dørene for de kriminelle, og så er de inde. Det er sikkerhedsmæssigt et svagt led. Der skal blot være en medarbejder, der gør fejl, så har vi balladen”
Den viser, at der er meget lille tillid til kommunerne - dvs. blandt alle folk der har deltaget, har de angivet at der er lille tillid til kommunernes ”evne” til at beskytte data.
Den siger ikke om de reelt er dårligere, men at opfattelsen af deres styrke på området ikke er god.