Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Som cybersikkerhedsrådgiver og etisk hacker har jeg set, hvordan truslen mod danske virksomheder er vokset markant de seneste år, og hvor mange penge ransomwareangreb koster virksomhederne.
Hackere rundt omkring i verden – ikke mindst i Rusland – står nærmest i kø for at udføre målrettede angreb mod danske virksomheder, ministerier og andre statslige institutioner for derefter at begå økonomisk afpresning.
Det har været en kendsgerning i mange år, så det kan måske undre, at virksomheder endnu ikke har formået at gardere sig mod truslen.
Det er der imidlertid en helt naturlig forklaring på.
Vores forestillingsevne begrænser os
Vores måde at tænke og reagere på som mennesker er ofte en hæmsko, når det drejer sig om at komme katastrofer i forkøbet.
Nogle af de mest opsigtsvækkende tilfælde har nok været 9/11 og Covid-19-pandemien.
Før 9/11 var lufthavnssikkerhed slet ikke på niveau med nutidens sikkerhed. Dengang var der ikke mange lufthavne, som tjekkede passagerernes sko eller havde bevæbnede vagter på området.
Og i begyndelsen af Covid-19-pandemien stod det klart, at de færreste lande havde styr på produktion, indkøb og logistik af værnemidler i tilfælde af en pandemi – en pandemi, der endda havde været advaret imod af flere eksperter i adskillige år.
Den manglende forberedelse har kostet milliarder af kroner og kan ultimativt have kostet menneskeliv.
Den menneskelige forestillingsevne forhindrer os i at forestille os ting, der ikke allerede er sket. Det er derfor, virkeligheden faktisk ofte overgår fantasien.
Men det er nødvendigt med denne abstrakte tankegang – måske særligt i forhold til cybersikkerhed. For mennesker er ikke født til internettet, og derfor kan det være svært for danske virksomheder at forestille sig et alvorligt ransomwareangreb.
Ikke desto mindre ser vi en stigning i alvorlige angreb på dansk jord.
Det er Maersk, Demant og Vestas desværre glimrende eksempler på.
Angrebene endte med at koste Demant cirka 650 millioner kroner og op mod to milliarder kroner hos Maersk.
Danske virksomheder er ganske enkelt nødt til at forberede sig på worst-case scenarier, så de som minimum har en beredskabsplan for, hvad der skal ske hvornår. At undlade dette er som at spise spaghetti og kødsovs iført en hvid skjorte – på et tidspunkt går det altså galt.
Ledelsen har ansvaret
Hvis lederne i de danske virksomheder ikke formår at tage ansvaret på deres skuldre, bliver det svært at opretholde optimismen.
I løbet af mine over 20 år som cybersikkerhedsrådgiver og etisk hacker, heraf 13 år i Danmark, har jeg set lidt af hvert.
Én ting går dog igen, når vi rådgiver danske virksomheder: Ledernes optimistiske tankegang.
De har en tendens til at tænke “det går nok”, når det handler om beskyttelse af virksomhederne.
De fleste har implementeret gode tekniske sikkerhedsløsninger, hvilket selvfølgelig er positivt. Det er bare ikke tilstrækkeligt. For teknologien kan kun løse en del af udfordringerne.
I en stor del af tilfældene er det nemlig menneskelige fejl, der åbner døren på klem for hackere. Og alt for ofte bliver medarbejderne beskyldt for at have en dårlig cyberhygiejne.
God cyberhygiejne begynder imidlertid fra toppen. Så skal resten nok følge med.
Det bliver meget værre, før det bliver bedre
Alt peger desværre på, at tingene skal blive værre, før det bliver bedre; at vi skal være vidne til et katastrofalt angreb på for eksempel kritisk infrastruktur, før vi forstår vigtigheden af cybersikkerhed.
For er vi klar til den slags angreb mod elnettet, sygehusene, vandværkerne eller bankerne? Og hvad sker der, hvis hackere lykkes med det?
Det ligger naturligt til os mennesker at slå ting hen, vi ikke helt forstår omfanget af.
Vi skal dog kraftigt overveje, om denne strategi er gangbar for et moderne samfund som Danmark, hvor virksomheder i høj grad er med til at holde den kritiske infrastruktur i luften.
Og det kræver ikke en fremtidsforsker for at forudsige, at de cyberkriminelle vil intensivere angreb mod kritisk infrastruktur.
Ransomwareangreb uden driftskonsekvenser
Virksomheder bruger enorme summer på cybersikkerhed, og jo tættere man kommer på 100 pct., jo dyrere bliver det.
Virksomhederne spørger os ofte, hvornår de har opnået et tilstrækkeligt sikkerhedsniveau.
Her svarer jeg som regel: Når et ransomwareangreb bare er en helt almindelig torsdag på kontoret. Når man kan fortsætte driften uden de store forstyrrelser eller konsekvenser.
Dels fordi sikkerhedssoftwaren er moderne og opdateret, dels på grund af ledelsens og medarbejdernes sikkerhedskompetencer og dels på grund af en skudsikker backup, der effektivt og hurtigt kan gendanne systemerne uden at gendanne skjult malware.
Det kommer virksomhederne naturligvis ikke sovende til, så der er behov for at trække i arbejdstøjet for ikke at halse bagefter de kreative og skruppelløse hackere.
Uanset om vi vil det eller ej, slipper vi aldrig for alvorlige cybertrusler. Derfor er det fuldstændig afgørende, at vi er bevidste om vores menneskelige begrænsninger og tendenser til at undervurdere trusler, vi endnu ikke forstår omfanget af.
Det kræver en digital adfærdsændring, som virksomhederne rundt omkring i landet må kickstarte. Ellers ender vi med at gå en unødvendig risikabel fremtid i møde.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
