Fortsæt til indhold
Dansk Standard

Sådan stopper virksomheder de it-kriminelle

Syv ud af 10 danske virksomheder var i løbet af et år udsat for cyberangreb, og sidste år anslår Rigspolitiet, at email-svindel kostede danske virksomheder 100 mio. kr. Effektiv risikostyring og internationale standarder er blandt metoderne til at standse de it-kriminelle.

Denne artikel er sponsoreret af

advertiser

I oktober 2016 udgav konsulentfirmaet PWC en undersøgelse, hvor 69 procent af de adspurgte virksomheder svarede, at de havde været udsat for cyberangreb inden for det seneste år. Samtidig var andelen af virksomheder, der havde været udsat for afpresning, som fx ransomware, steget fra 22 procent i 2015 til 67 procent i 2016. Derudover anslår Rigspolitiet, at email-svindel kostede danske virksomheder 100 mio. kr. sidste år.

”It-kriminaliteten er blevet langt mere opfindsom og massiv. Cyberangreb finder sted allevegne – på mail, jobsites, datingsites og sociale medier. Det er uheldigt, fordi vi mister tillid til digitaliseringen og hinanden,” siger Rasmus Theede, der er nordisk sikkerhedsdirektør i teknologikoncernen DXC og formand for Rådet for Digital Sikkerhed.

Samtidig advarer han dog imod unødig frygt.

”Problemet bliver ofte overdrevet, for danske virksomheder er langt fra magtesløse. Hver dag sidder der tusindvis af dygtige sikkerhedsfolk i danske virksomheder og klarer skærene. Men man hører jo ikke om de angreb, der ikke lykkedes,” pointerer han.

Med internationale standarder, god it-hygiejne og uddannelse, der giver medarbejderne en fornuftig it-adfærd er virksomhederne godt rustet mod de it-kriminelle, lyder det fra Anders Linde fra Dansk Standard.

Mange glemmer backup

Hos Dansk Standard har man også fokus på de it-sikkerhedsmæssige udfordringer, som internationale standarder kan være med til at dæmme op for.

”Cyberrelaterede angreb er en trussel, der følger med en digital verden, hvor næsten alt er forbundet via netværk eller koblet til internettet. Firewall og antivirusprogrammer er ikke længere en garanti for sikkerhed. Hackere går efter alt og rammer alle virksomheder uanset størrelse,” siger standardiseringskonsulent Anders Linde, der er ekspert i informationssikkerhed.

Problemet er, at det i dag nærmest er teknisk umuligt at forebygge it-angreb, når stikket til nettet sættes i.

”I stedet må man lægge større tryk på uddannelse af medarbejdere og have fokus den relevante korrigerende indsats, når uheldet er sket. Hvordan reagerer vi? Hvordan får vi virksomheden op at køre igen? Plus noget mange glemmer: Hvilke procedurer sikrer, at vi har en opdateret backup uden for blandt andre hackeres synsfelt?” siger Anders Linde.

Rasmus Theede, der er formand for Rådet for Digital Sikkerhed oplever, at it-kriminaliteten er blevet langt mere opfindsom og massiv de seneste år.

Virksomheder mangler it-hygiejne

Som sikkerhedsekspert er Rasmus Theedes bedste råd til virksomheder at få de it-sikkerhedsmæssige grundprincipper på plads.

”Private virksomheder må være klar over, at det er deres eget ansvar at beskytte sig. Desværre stikker mange virksomheder hovedet i busken og gør ingenting eller gør det forkerte. Det kan virke enormt omfattende og uoverskueligt at få styr på sin it-sikkerhed, men det behøver faktisk ikke være voldsomt ressourcekrævende at få de basale ting på plads. Og det er rigtig godt givet ud,” siger Rasmus Theede.

Sammen med Erhvervsstyrelsen har Rådet for Digital Sikkerhed oprettet Sikkerhedstjekket.dk, hvor virksomheder kan finde ud af, hvor der er svagheder i deres it-sikkerhed, og hvordan de bør sætte ind.

”Hvis man har sine grundprincipper på plads, er man godt rustet. Men mange virksomheder kæmper stadig med den basale it-hygiejne og har ikke styr på brugeradfærd, hvem der har adgang til hvad, om systemerne er opdateret, og at der jævnligt bliver lavet backup.”

ISO 27001 samler best practice

Et af de værktøjer, der kan hjælpe virksomheder til bedre it-strategi er den internationale ledelsesstandard ISO 27001.

”Standarden repræsenterer best practice på området. Den hjælper organisationer til at fastsætte målsætninger for informationssikkerhed og etablere nødvendige politikker og procedurer, som harmonerer med forretningen,” forklarer Anders Linde og uddyber:

”ISO 27001 serverer ikke en færdig checkliste. Standarden opstiller en struktur, som organisationen kan støtte sig til, når den laver sit individuelle sikkerheds-setup. Det indebærer bl.a. en regelmæssig vurdering af risici. Standarden minder desuden virksomheden om bredden i sikkerhedsarbejdet, fx kontroller i forbindelse med ansættelser og afskedigelser, sikring af bygninger og i det hele taget grundlæggende awareness blandt de ansatte.”

ISO-standarderne er internationale, og det er en klar fordel, mener Anders Linde.

”I udviklingen af standarder er det enormt givende at kunne samle og trække på verdens dygtigste eksperter. Udfordringerne er ofte de samme på tværs af landegrænser, og det giver god mening at dele viden og sikre et fælles sprog.”

For at sikre, at ISO-standarder altid er tidssvarende tages de op til revision mindst hvert femte år.

Find råd og vejledning på Sikkerhedstjekket.dk eller læs mere om ISO 27001 på ds.dk