I Danmark er de største virksomheder langt fremme med at sikre sig mod angreb fra stater og kriminelle organisationer, men it-sikkerheden halter hos de små og mellemstore virksomheder, blandt andet fordi sikkerhedsbranchen ignorerer dem, fordi der ikke er nok penge at hente.
“SMV’erne er “the soft underbelly”, når vi taler om IT-sikkerhed på dansk territorium. Men hvis vi kan sikre vores SMV’er, så bliver det ikke de danske døre, der bliver brudt ind,” forklarer Danmarks førende IT-sikkerhedsekspert
IT-sikkerhed har været et af de helt store buzzwords de seneste år, og de store danske virksomheder har været hurtige til at omstille og sikre sig mod angreb fra både fremmede stater og kriminelle. Anderledes står det til, hvis man retter blikket mod SMV’erne, som faktisk udgør 99% af de danske virksomheder.
Men der kan være god grund til at rette fokus mod de små og mellemstore virksomheder, i hvert fald hvis man spørger Troels Ørting, der med en fortid i både PET og Interpol er en af Danmarks førende IT-sikkerhedseksperter:
“SMV’erne er det, man kalder “the soft underbelly”, når vi taler om IT-sikkerhed på dansk territorium, hvilket er paradoksalt, når man tænker på, at de er krumtappen i dansk erhverv. Så hvis vi kan styrke sikkerheden hos de danske SMV’er, så bliver det ikke de danske døre, der bliver brudt ind,” forklarer han og fortsætter: ”Markedet for hacking er så stort globalt set, så der er altså ingen, der gider interessere sig for Danmark, hvis vi kan skrue sikkerheden en tak op. Vi lukker jo ikke ned for alt kriminalitet, men vi kan lukke ned for langt det meste.”
Det kan dog være sværere end som så at sikre sig, når man er en mindre virksomhed uden den store forstand på sikkerhed, og det handler blandt andet om penge:“Problemet med IT-sikkerhedsbranchen er, at der i dag er nogle store, attraktive spillere, og så er der en masse små kunder, der er knap så attraktive, fordi de ikke har så mange penge og så meget forstand og entusiasme omkring cybersikkerhed, som de store. Så der er en gruppe af virksomheder, der bliver glemt af de store IT-konsulenthuse,” forklarer Troels Ørting.
IT-huse malker løs, når SMV’ere er i klemme
Selvom der findes mange udbydere af it-sikkerhed, så kan det være svært at hente hjælp, hvis man som SMV pludselig står med en sikkerhedsbrist. Det erfarer virksomheden Beakon, der har specialiseret sig i at lave sikkerhedspakker til de mindre virksomheder. De mener, at den etablerede branche malker løs, når krisen banker på.
“Hvis du som dansk SMV bliver ramt af et angreb, så har du reelt kun én mulighed for at få hjælp, for du kan ikke få lov at ringe til supporten hos en IT-sikkerhedsleverandør, hvis du ikke er kunde. Du kan til gengæld ringe til deres salgsafdeling, hvor de meget gerne hjælper, hvis du altså køber 12 måneders supportaftale. Det er et totalt overkill for en virksomhedsejer, der mangler hjælp nu og her, og det kan branchen ikke være bekendt,” mener Lars Kristian Jensen, der er IT-sikkerhedsspecialist i Beakon.
Selvom mange måske har et billede af, at de små virksomheder er for uforsigtige og bruger for få penge på sikkerheden, så er virkeligheden ifølge Beakon en helt anden, når det gælder de virksomheder, som allerede én gang er blevet ramt:
“Det er 100% min erfaring, at virksomheder, der er blevet ramt, bruger for mange penge på sikkerhed. ALT for mange penge. IT-sikkerhed har aldrig været sexet. Man forstår ikke altid, hvad der bliver sagt, og de, der bruger pengene, ved nødvendigvis ikke så meget om IT-sikkerhed, så de må blindt stole på dem, der giver dem rådene, så de køber alt, hvad der er på hylderne.”
Og det er et billede Troels Ørting kan genkende: “Hvis en direktør i en eller anden mindre virksomhed ikke aner noget om IT-sikkerhed, og han så går ind det forkerte “butik” for at købe sikkerhed, jamen, så er det da klar, at de prøver sælge ham hele pakken i stedet for det, der passer til den risiko, der rent faktisk er. Og det er klart, at der er vis interesse i sikkerhedsbranchen om at overhype problemet, når det nu er det, man sælger,” fortæller han.
Hvor stor er truslen?
Det er mere reglen end undtagelsen, at vi kan læse om omfattende hackerangreb fra fremmede stater og store internationale, kriminelle organisationer, som udgør en konstant og stigende trussel mod Danmark, men det er helt forkert, at ganske almindelige virksomheder skal bekymre sig om angreb i den størrelsesorden, forklarer Troels Ørting, der også fortæller, at der skal forholdsvis få tiltag til for at sikre den mindre virksomhed:“De mellemstore virksomheder oplever højst sandsynligt ikke kriminalitet fra udenlandske stater, men mere sandsynligt fra kriminelle organisationer gennem fx phishing-kampagner, og fordi mange ikke har nogen egentlig sikkerhed, så er de altid et nemt offer for den slags. Derfor er det vigtigt, at vi får løftet den grundlæggende sikkerhedshygiejne, så den er, hvor den burde være. Gør man det, så er min påstand, at de kriminelle organisationer vil søge videre til andre lande og glemme det danske marked. Kriminelle udøver kriminalitet for profittens skyld. De hacker ikke for sjov. De gider ikke investere en krone for at stjæle 50 øre. Derfor virker sikkerhed og cyberhygiejne.”
Hos Beakon mener man også, at det er meget misforstået, at man skal forsikre sig “i hoved og røv” mod angreb, der aldrig kommer til at ske, for med få tiltag kan man gøre sig fri fra langt de fleste af ens bekymringer.
“Hvis du har en dyr PH-lampe derhjemme, så kan du have hund, alarm, gitter og alt muligt, men hvis tyven vil, så skal han nok få fat i den lampe. Det er det samme med hackerne, hvis de vil ind, så kommer de ind. Men chancen for, at de udvælger sig et nemmere offer er meget stor, når du har taget de forbehold. Vi sikrer ganske almindelig sikkerhedshygiejne, og det kræver ikke den store opsætning eller tre dages konsulentarbejde,” forklarer Lars Kristian Jensen.
Når man lukker vinduerne og låser døren, inden man forlader hjemmet, så har man lavet en risikovurderet sikring af sit hjem, for man ved godt, at tyven stadig godt kan komme ind, hvis han virkelig gerne vil, men man anser også risikoen for at være meget lille. Og det er det samme princip med cybersikkerhed, forklarer Troels Ørting:
“En virksomheds sikkerhed bliver nødt til at være risikobaseret. Hvis vi skal tro på alt, hvad vi læser, så er det jo aldrig muligt at sikre sig – så kan alt jo lade sig gøre. Og teoretisk set er det jo rigtigt nok, men hvad er risikoen for, at det sker? Kriminelle gider ikke bruge to måneder på at komme ind i et system. Man skal kun lave det forsvar, der giver mening i forhold til den risiko der i virkeligheden er.”
