Åbenhed. Uddannelse. Klare regler og krav.
Sådan lyder de anbefalinger i hovedtræk, som Virksomhedsrådet for IT-sikkerhed i eftermiddag vil aflevere til erhvervsminister Brian Mikkelsen (K).
Rådet har i de seneste år arbejdet på at formulere anbefalingerne, som er helt afgørende for erhvervslivet både nu og i de kommende år.
"Man kan i dag ikke sige, at digitalisering uden også at sige, at it-sikkerhed og god datahåndtering er vigtig. Man kan bruge millioner på smarte it-systemer, men det er ligemeget, hvis ikke man har styr på sikkerhed og datahåndtering. Sådan er det i dag," siger Per Palmkvist Knudsen, formand for Virksomhedsrådet for IT-sikkerhed, it-direktør i JP/Politikens Hus og tidligere nomineret til titlen som Årets CIO.
Det gælder ikke mindst de små og mellemstore virksomheder, der udgør den allerstørste del af dansk erhvervsliv, men som ifølge rådet halter langt bagefter, når det gælder it-sikkerhed.
Skal hæve viden og kompetencer
"Vi er nødt til at hæve viden og kompetencer hos de små og mellemstore virksomheder - både fordi truslerne bliver større, men også fordi myndighedskravene bliver højere. Og det er vi nødt til at gøre meget målrettet og meget i øjenhøjde. Og så er vi nødt til at hjælpe dem med at købe mere rigtigt ind, når de køber it-ydelser," siger Per Palmkvist Knudsen.
Han peger på, at langt hovedparten af de små og mellemstore virksomheder ikke har egen it-afdeling, men køber sig til ydelser. Og det sker altid i tillid til, at leverandørerne kan anbefale processer og teknologier, der lever op til it-sikkerhedsmæssige krav og behov.
Men det er langt fra altid tilfældet.
"De køber meget ofte ind uden at stille krav om it-sikkerhed. Vi ser derfor en vigtig opgave i at få kvalificeret deres primære rådgivere - altså eksempelvis revisorer og advokater," siger Per Palmkvist Knudsen.
Her er det også vigtigt, at virksomhederne i højere grad begynder at anvende eksisterende standarder som en slags mærkningsordninger.
Savner klare regler
Per Palmkvist Knudsen og rådet efterlyser desuden, at der bliver opstillet helt klare regler på området. Samt at de bliver håndhævet.
Det er ikke tilfældet i dag, hvor it-sikkerheds-området er præget af uklare krav og tilfældig og sporadisk håndhævelse.
Per Palmkvist Knudsen peger på, at der eksempelvis endnu ikke er udarbejdet noget, der bare ligner en vejledning til den kommende EU-persondataforordning, som bliver indført direkte som dansk lov i slutningen af maj 2018.
"Der er heller ikke et sted, som de kan ringe til og få hjælp, og Datatilsynet kan ikke klare det med den nuværende bemanding," siger han.
Rådet anbefaler også større åbenhed på området. Det er en ting, som Henrik Larsen, chef for sikkerheds-organisationen DK-Cert tidligere har peget på som et vigtigt område.
Det kan du læse mere om her: Derfor skal du fortælle alle om angreb og trusler der rammer dig
"Hvor mange anmeldelser sker der for eksempel til politiet, og hvad er opklaringsprocenten på dem? Vi kender opklaringsprocenterne på cykeltyverier, men ikke på disse samfundsmæssigt vigtige sager. Det handler om klarhed og håndhævelse," siger Per Palmkvist Knudsen.
Også senior-analytiker Jens Monrad har peget på det samme, efter teleselskabet 3 fornylig blev hacket.
Det kan du læse mere om her: Tak til 3: Det er modigt at stå frem og fortælle om problemer med it-kriminelle, der har stjålet data om tusindvis af kunder
Per Palmkvist Knudsen, hvor stort et problem er it-sikkerhed efter jeres opfattelse blandt de små og mellemstore virksomheder?
"Det er sandsynligvis stort, og jeg siger 'sandsynligvis,' for vi ved det ikke med sikkerhed, for der findes ingen præcise tal på det. Men vi ved, at mange eksempelvis bliver ramt af ransomware for tiden. Et af vores opfølgningspunkter bliver netop indsamlingen af data på området."
Hvilken af jeres anbefalinger til ministeren regner I for at være den vigtigste?
"Det nemmeste er i hvert fald at fokusere på viden og vejledning, som ligger lige på den flade. Medarbejderne skal blive bedre. Personligt mener jeg, at det vigtigste punkt er punktet om kvalificeret udbud og efterspørgsel: Altså at vi får klædt rådgiverne ordentligt på, og får virksomhederne til at købe mere sikkert ind. Og så at vi får nogle klare regler."
Hvordan forestiller I jer, at man konkret skal gribe opgaven med at kvalificere udbud og efterspørgsel an?
"Det handler jo først og fremmest om sammen med rådgivernes organisationer at få rådgiverne i tale og så arbejde videre derfra. Videre kunne man for eksempel kigge på at udvikle redskaber til eksempelvis leverandør-styring samt udvikle standard-kontrakter, så vi får klarlagt nøjagtigt hvilke standardkrav, man skal stille til sine leverandører. Og her kan man jo for eksempel bruge de eksisterende standardordninger som en slags mærkningsordning - måske lidt ligesom e-mærket eller den frivillige mærkningsordning, som hostingleverandørerne anvender. Men det må tiden vise."
Hvilke sikkerhedskrav skulle mærkningsordningen efter din opfattelse vise, at leverandøren lever op til?
"ISO 27001 og lignende. På den måde kan man vise kunderne, at der er styr på sikkerheden og processerne omkring sikkerheden. Leverandøren skal kende til krav og systmer og have styr på hvilke processer, der er nødvendige i forskellige sammenhænge, for at have god it-sikkerhed og eksempelvis kunne dokumentere, at der er auditører, der kigger dem i kortene."
I mener, at høj it-sikkerhed kan skabe nye konkurrencefordele for dansk erhvervsliv. Hvad mener I med det
"Der er store muligheder for danske virksomheder i forhold til både forbrugere og B2B-samarbejdspartnere i andre lande, hvis vi kan få skabt et omdømme om, at danske virksomheder altid har styr på it-sikkerheden og datahåndteringen. Tænk på, at EU-persondataforordnignen bliver indført i hele EU. Og modsat kan det have modsat effekt, hvis der ikke er styr på det. På et tidspunkt bliver det jo ‘basic', når alle får styr på det, men det er ikke tilfældet i dag."
Hvad skal der så ske nu?
"Ja, nu er det jo op til ministeren [erhvervsminister Brian Mikkkelsen, red] at beslutte, hvordan anbefalingerne skal bruges, men nogle konkrete anbefalinger kan jo sættes i værk omgående. Det gælder for eksempel fælles indberetning, arbejdet med at få medarbejdere til at ændre holdning og lignende. Her behøver man altså ikke at vente. Det er bare at komme i gang."
Læs mere om anbefalingerne i denne pressemeddelelse : Nye anbefalinger peger på at styrket it-sikkerhed kan give dansk erhvervsliv en konkurrencefordel.
Læs også:
Det er på tide at vi udnævner en it-sikkerhedschef for det offentlige
De fem vigtigste sikkerhedstrends i 2017: Ser vi den første hackede cloud i år?
Fire it-sikkerhedstendenser kommer til at præge det kommende år