Artikel top billede

(Foto: Computerworld)

Virksomhederne opdager ikke selv cyberangreb

Virksomhederne er stort set blinde overfor egne it-sikkerhedsbrister. Heldigvis for virksomhederne er deres kunder og eksterne sikkerhedsfolk mere årvågne.

Af Rasmus Elm Rasmussen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Kun i omkring 7% af tilfældene er det virksomhedens egne medarbejdere, der opdager en it-sikkerhedsbrist.

I over 50% af tilfældene er det eksterne sikkerhedsfolk og it-leverandører, mens det i 15% af tilfældene er kunder, der opdager, at der har været brud på it-sikkerheden. Det viser seneste Data Breach Report fra Verizon.

Dermed ligger en stor del af virksomhedernes cyberberedskab i hænderne hos folk, der ikke arbejder i virksomheden, og det bekymrer IT-Branchen.

”Virksomhederne er ikke gode nok til selv at finde sikkerhedsbristerne, og er derfor delvist blinde overfor den stigende cybertrussel. Det er et kæmpe problem, da det gør det nemt for de it-kriminelle at udnytte sikkerhedshullerne,” udtaler Bjarke Alling, formand for IT-Branchens it-sikkerhedsudvalg og koncerndirektør i Liga Aps.

It-sikkerhedskulturen skal ned i øjenhøjde

Virksomhederne har internt ofte en række formelle procedurer omkring it-sikkerheden, og laver måske også awareness-kampagner et par gange om året, for at højne medarbejdernes fokus på it-sikkerhed.

For at skabe en reel sikkerhedskultur er det dog ikke altid vigtigt, hvad der står nedskrevet i formelle dokumenter og procedurer. Det handler i langt højere grad om at få skabt en grundlæggende bevidsthed om it-sikkerhedskulturen hos alle i virksomheden.

”Nogle gange fungerer det bedst, hvis man på en relevant og nærværende måde forklarer, hvad det er medarbejderne helt præcist skal gøre. Så det handler ofte om at give medarbejderne en konkret grund og et enkelt værktøj, så det bliver nemt for den enkelte at lave en adfærdsændring.”

For selv den mest effektive firewall er magtesløs, hvis en medarbejder klikker på et link, der lukker skadelig kode ind i systemet. Og står der kun et password mellem hackeren og virksomhedens kritiske data, så hjælper al den øvrige it-sikkerhed altså ikke.

Hverdagens sikkerhedshelte skal hyldes

Mange synes nok, det er pinligt at fortælle, hvis de er kommet til at trykke på et link, åbne et dokument eller reagere på en mail, som viser sig i virkeligheden at være et skjult cyberangreb.

Men det er helt forkert, mener IT-Branchen. Det er netop de mennesker der skal hyldes, hvis de altså deler deres uheld med resten af organisationen.

”Vi skal gøre op med en udbredt kultur, hvor man synes det er flovt, at man er kommet til at klikke på et forkert link. Skal vi have en bedre it-sikkerhed, skal ledelsen også aktiv rose og fremhæve dem, der tør at gå forrest. For det er dem, der er hverdagens helte og bør stå indrammet på direktørens bord,” fortæller Bjarke Alling.

Samtidig skal det være nemt for medarbejderne at indberette ting som it-sikkerhedshuller, ransomware forsøg eller CEO-fraud, så informationen hurtigt bliver spredt til resten af organisationen.

Vær klar, når folk udefra gør opmærksom på sikkerhedshuller

Når en så stor del af sikkerhedsbristerne bliver opdaget af eksterne, er det også vigtigt, at man har sine processer klar, når en udefra gør opmærksom på et sikkerhedsbrist.

”Vi hører desværre om velmenende borgere eller freelance sikkerhedskonsulenter, der gør virksomheder opmærksom på en it-sikkerhedsbrist, men som så efterfølgende bliver truet med bål og brand. Det skal vi have ændret, så man bliver mødt med tak og en flaske vin i stedet for trusler om sagsanlæg,” siger Bjarke Alling.

IT-Branchen har derfor udviklet et kodeks for god adfærd ved it-sikkerhedsbrister, som kan hjælpe både anmelder og modtager med at håndtere eksterne henvendelser om it-sikkerhedsbrister på den rigtige måde.

Du kan læse mere om Kodeks for indberetning af sikkerhedsbrister her.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere