Cyber-ulven kommer – og den kan blæse dit hus omkuld
It-sikkerhed er ikke kun en sag for eksperter. Det er der mange, der tror – og det er en stor fejl.
Dette er et debatindlæg: Indlægget er udtryk for skribentens holdning. Alle holdninger, som kan udtrykkes inden for straffelovens og presseetikkens rammer, er velkomne, og du kan også sende os din mening her.
Når CNN proklamerer, at kineserne forbereder et gigantisk cyberangreb mod USA’s kritiske infrastruktur, som det gjorde i sidste uge, så trækker det ikke just store forsideartikler i Danmark. Det fører snarere til en lille notits, og langt de fleste danskere undrer sig endda over, hvad det egentlig kommer dem ved.
Men det er naivt at tro, at hackere fra Kina, Rusland eller lignende, der måske, måske ikke er statsstyret, vil gå uden om Danmark, bare fordi vi er et lille land. I 2023 blev dele af vores kritiske infrastruktur ramt af hackerangreb. Disse angreb var umiddelbart ikke rettet direkte mod Danmark – men ramte alligevel. Det gjorde de, fordi danske virksomheder kan være en bagdør ind til andre virksomheder og organisationer både i Danmark og i udlandet. Men de ramte også Danmark, fordi når man slipper et såkaldt kaos-angreb løs, så er det umuligt at styre. Det rammer bredt og kan forvolde stor skade.
I it-medierne er man efterhånden mættet af at læse om cyberangreb og det evigt stigende trusselsbillede. Men i dagspressen og medierne til den brede befolkning skrives der intet eller meget lidt om it-sikkerhed.
Det er desværre ikke tilstrækkeligt i dag, hvor Danmark er et af de mest digitaliserede lande i verden. Vi ser allerede eksempler med borgere, der bliver franarret penge, id-oplysninger eller begge dele, fordi det ikke er en del af vores hverdag at være opdateret på de nyeste metoder, som it-kriminelle benytter. Først nu begynder man så småt at orientere disse borgere om de risici og farer, der lurer i den digitale verden.
I erhvervslivet er situationen stort set den samme. Mere end 90 pct. af dansk erhvervsliv består af små og mellemstore virksomheder. I mange af disse virksomheder består it-afdelingen stadig af den ene person, som i tidernes morgen blev udpeget, fordi vedkommende var den, der måske vidste mest om it. Det er desværre ikke tilstrækkeligt i dag, hvor stort set alt er forbundet, og alle brugere har adgang til internettet.
Hvornår begynder man at orientere den del af erhvervslivet, hvor virksomhederne er for små til at have en professionel it-afdeling med en decideret it-sikkerhedsekspert? Snart træder EU’s NIS2-direktiv i kraft. Direktivet er en udvidelse af NIS-direktivet fra 2016, som blandt andet betyder, at flere virksomheder bliver omfattet af direktivet. Men for mange virksomheder er NIS2-direktivet stadig ukendt land.
Det er muligt, at ens virksomhed ikke er direkte underlagt NIS2-direktivet, men som med mange andre krav og forordninger kommer virksomheden alligevel til at skulle leve op til kravene, fordi den for eksempel er leverandør til virksomheder eller offentlige organisationer, der er underlagt direktivet.
Jo mere digitale vi bliver, jo mere sårbare bliver vi også. Jeg ved, det lyder som Peter, der råber: “Ulven kommer, ulven kommer.” Men faktum er, at ulven allerede har været på besøg rigtig mange steder. Nogle steder har besøget kostet mange penge, tab af viden eller mistede kunder. Andre steder har man endnu ikke opdaget, at ulven har været på besøg, for den har endnu ikke udrettet skade, men holder bare en indgang åben til den dag, den får brug for den.