Mens hver tredje nordiske SMV årligt tester, om de kan gendanne deres virksomhed efter et databrud, er det stadig mere end halvdelen, der ikke har gennemført en sikkerhedsaudit indenfor det seneste år.
Det på trods af flere anbefalinger om det modsatte, viser ny rapport fra ESET.
Flere nordiske virksomheder investerer i it-teknologi, der skal beskytte dem mod hackere. Det gælder også mindre virksomheder, der har øget deres budgetter til it-sikkerhed gevaldigt de seneste år. Især fokuserer mindre virksomheder på indkøb af endpoint detection- og managed detection and response-løsninger (EDR/MDR), der sørger for at opdage og beskytte virksomhedens netværk og enheder mod ubudne gæster. Ny undersøgelse fra ESET, der har undersøgt små- og mellemstore virksomheders tilgang til sikkerhed, viser nemlig, at 67 pct. enten allerede benytter EDR/MDR-løsninger, eller har planlagt at investerer i det inden for det næste år.
Men gode tekniske løsninger er ikke nok beskyttelse i det nuværende cyberlandskab. For god it-sikkerhed er tredelt, og for at fungere optimalt bliver virksomheder nødt til at tænke i både teknologi, mennesker og processer. Der er nemlig en hellig treenighed mellem it-løsninger, it-kompetencer og de rigtige processer for, hvad virksomheden gør, når uheldet er ude.
Mindre virksomheder har tendens til at springe sikkerhedsvurderingen over
En af de afgørende processer er en it-sikkerhedsaudit, hvor virksomheder enten via den interne it-sikkerhedsafdeling eller ved hjælp fra eksterne eksperter, gennemfører en risikovurderingen af virksomhedens it-systemer og fastslår, hvor hurtigt virksomheden kan komme tilbage til normal drift efter et muligt cyberangreb. Som udgangspunkt anbefaler både sikkerhedsmyndigheder og it-virksomheder, at man laver en sikkerhedsaudit én gang årligt for at sikre, at alle ved, hvad de skal gøre, hvis virksomheden bliver ramt af et hackerangreb. Alligevel viser undersøgelsen, at 42 pct. enten aldrig har gjort det, eller at det er mere end to år siden sidst.
”Virksomhederne kan godt se vigtigheden i at få foretaget en sikkerhedsaudit, da det på mange måder er ligesom med al anden risikovurdering i en virksomhed. Jeg tror primært, at de manglende rapporter handler om mangel på tid, kompetencer eller ren og skær glemsomhed. Når foranstaltninger som en sikkerhedsaudit ikke er sat i system, kan man hurtig glemme at få det gjort, for ’det går jo meget godt’. Men årene går, og sikkerhedssystemerne ældes, hvis de ikke bliver tjekket op på regelmæssigt. I værste fald får virksomhederne et gevaldigt wakeupcall, når de bliver ramt af et potentielt ødelæggende hackerangreb,” siger Leif Jensen, der er CBO hos ESET.
Af de nordiske virksomheder, der har udført en sikkerhedsaudit, har 39 pct. gennemført vurderingen inden for det seneste år, mens 20 pct. har gennemført vurderingen inden for de seneste seks måneder.
Hver anden nordisk virksomhed (51 %), som rent faktisk har gennemført en sikkerhedsaudit, har valgt at få hjælp fra eksterne managed service providers (MSP).
Sikkerhedsaudits skal op på bestyrelsesniveau
Risikovurderinger, som denne, skal ikke blot bruges som dokumentation overfor virksomhedens direktion, men skal bruges til at sikre, at alt er opdateret, og at der er lagt en plan for hvordan virksomheden kan gendanne data i en situation, hvor systemerne er kompromitterede. Det bør derfor ikke ligge på den it-ansvarliges skuldre, men derimod hos bestyrelsen.
”Det kan ikke siges nok, men it-sikkerhed er og bliver et bestyrelsesansvar. Det kan godt være, at bestyrelser ikke føler, at de er dybt nede i stoffet, men lige præcis risikovurderinger handler mere om processer og planer end om teknik. Derfor kan og bør bestyrelsen være inde over, når der skal tages beslutninger om f.eks. hyppighed. Noget, som tydeligvis halter hos mange nordiske virksomheder,” siger Leif Jensen.
De fem vigtigste områder, som små- og mellemstore virksomheder skal sørge for at have med i deres sikkerhedsaudit, er:
- Identifikation og vurdering af nuværende cybertrusler
- Beskyttelse af enheder
- Beskyttelse af følsomme informationer
- It-uddannelse og træning i at genkende trusler
- Planer for gendannelse af mistede/stjålne data, der er kritiske for virksomhedsdriften