Statusrapport: IT-sikkerhed blandt store virksomheder

Hvordan står det til med IT-sikkerheden hos større nordiske virksomheder? På mange måder dårligt. Halvdelen af alle store virksomheder i Norden mangler beskyttelse mod informationslæk og digitale angreb. Hvorfor nu det? Hvad skal der gøres?

En undersøgelse foretaget af konsulentvirksomheden PWC blandt 9500 virksomheder rundt om i verden giver et situationsbillede: Næsten hver anden virksomhed mangler en overordnet plan for IT-sikkerheden, og 48 procent af de adspurgte siger, at de mangler uddannelsesprogrammer i sikkerhedsspørgsmål til medarbejderne. Hele 54 procent siger, at de mangler processer for, hvordan de skal håndtere hændelser.

– Alt for mange savner en strategi for deres IT-sikkerhed, siger Anne-Marie Eklund Löwinder, sikkerhedschef for Internetstiftelsen i Sverige.

En tungtvejende årsag er, at IT-sikkerhedsspørgsmål sjældent havner på ledelsesniveau, mener hun.

– IT-sikkerheden hos virksomheder i Norden varierer. Nogle virksomheder har en fint udbygget IT-sikkerhed, men mange virksomheder halter langt bagefter. Problemet er ofte, at sikkerheden betragtes som et rent IT-spørgsmål, bestyrelsen ikke involveres i. Nogle virksomheder har ikke indset, at det kræver en strategi fra højeste sted, hvis IT-sikkerheden skal gennemsyre hele organisationen.

I store virksomheder med mange systemer kan IT-sikkerheden være en ekstra udfordring.

– Mange store virksomheder har svært ved at få fuld kontrol over alt det, der kræver beskyttelse i virksomheden, fordi de har komplekse miljøer med mange involverede – nogle gange fra forskellige juridiske enheder.

Guide: Datasikkerhed og datatyveri

Frisk på ny teknologi – mindre interesseret i sikkerhed

Anne-Marie Eklund Löwinder peger også på, at den hurtige teknologiske udvikling er en medvirkende årsag til sikkerhedsproblemerne i større virksomheder.

– Jo mere afhængige vi bliver af IT-tjenester, des mere kompliceret bliver det at holde styr på alle opdateringerne, logins, regler og principper. Vi vil også gerne være på de sociale medier, men vi virker mindre interesserede i at beskytte os mod skadelig kode og angreb. Faktum er, at det er lettere at begå fejl, end vi tror.

– Vi er dumme og vil gerne klikke på links og dele tekster og tips, uden at vide om det fører en skadelig kode med sig. Det er let at få en skadelig kode, der låser tastaturet eller gør din maskine til en del af et botnet.

Sæt personalet på skolebænken

Jonas Lejon er IT-sikkerhedsekspert med en fortid fra FRA og Försvarsmakten og driver blandt andet sitet kryptera.se. Han mener, vi bør indstille os på, at "cyberbusserne" kommer ind i større virksomheder, uanset hvor meget vi beskytter os. Truslerne mod større IT-miljøer er i dag så mange, at det er svært at forsvare sig mod dem alle på én gang. I stedet må de større virksomheder og myndighederne blive bedre til at klassificere og prioritere deres data.

– Vi plejer at sige, at virksomheder burde vide hvilke data, der kan være tilgængelige via internettet og hvilke data, der har en finansiel værdi eller indeholder værdifulde informationer, og som bør være afskærmet fra nettet. Samlet bør man kigge på, hvordan informationen skal beskyttes bedst muligt. Virksomheder skal blive bedre til at vide, hvor de mest følsomme forretningsdata findes, og hvordan de beskyttes. Dernæst skal de have styr på hvem, der har adgang til hvilke systemer.

Han er enig i, at kontinuerlig uddannelse af medarbejderne i større virksomheder i sikkerhedsspørgsmål er utrolig vigtig.

– IT-sikkerhed er ikke svær, men det kræver en vis del engagement og arbejdsindsats fra flere sider. Det er ikke bare noget IT-afdelingen eller en eller anden ildsjæl skal tage sig af. Virksomheden skal hele tiden uddanne sine medarbejdere i sikkerhed, og hvad de skal og ikke skal gøre.

Jonas Leijons 3 tips til virksomheders IT-sikkerhed

  • Sørg for at opdatere gammel software eller ældre versioner af applikationer på mobiltelefoner, tablets eller computere.
  • Engangspassword er en god løsning. Jeg benytter mig af MFA, en multifaktor autentisering som er en god beskyttelse mod, at uvedkommende får adgang til password.
  • Ved indkøb eller anskaffelse af et system eller produkt bør man stille krav om sikkerhed, samt at leverandøren har procedurer for patch management, incident management og sikker udvikling. Lad en uafhængig virksomhed kontrollere, at disse funktioner findes og følger med.

Anne-Marie Eklund Löwinders råd til store virksomheder og deres ansatte

  • Hav forskellige password til forskellige konti. Skift dem ofte.
  • Klik ikke på links i mails uden først at tænke over, hvem afsenderen er, og hvorfor du har modtaget mailen.li>
  • Del ikke ting direkte fra de sociale medier. Brug din sunde fornuft og kildekritik, når det handler om ting som fake news og lignende.
  • Som virksomhed gælder det om, ikke bare at have en sikkerhedsløsning men at have flere lag af beskyttelse. Begræns gerne adgangsrettigheder i systemet og segmenter netværket, så skaden kan begrænses, hvis uheldet skulle være ude.

De største IT-trusler mod store virksomheder

Ransomware

Er en hurtigt voksende trussel, der bevirker, at brugeren narres til at installere en skadelig kode på computeren eller mobiltelefonen. Koden krypterer derefter alt, den kommer i nærheden af. Efterfølgende modtager brugeren en besked på skærmen om at betale en løsesum, hvis man vil have filerne tilbage igen.

CEO fraud

Denne trussel handler om, at nogen udgiver sig for at være chef i en virksomhed og derefter sender en mail på vegne af chefen til økonomiafdelingen, hvor der står, at afdelingen skal overføres penge til en fremmed konto.

Sabotage-angreb

Formålet med angrebene er at ødelægge data, inklusive sikkerhedssystem og backup, hvilket i praksis gør det umuligt for en virksomhed at få sine data tilbage. Det ligner umiddelbart et såkaldt ransomware-angreb, men er reelt konstrueret på en måde, så det ikke er muligt at få sine data tilbage.p>

Phishing-angreb

Angriberne forsøger at benytte sig af navne inden for virksomheden for at gøre det vanskeligt at skelne rigtige mails fra falske mails. På den måde øges sandsynligheden for at medarbejderne klikker på farlige links eller åbner inficerede bilag.

Guide: Datasikkerhed og datatyveri

11 april 2018

Årsagerne til ukendte IT-fejltagelser

Patientsamtaler lægges ud på nettet, og udenlandske aktører fik adgang til vigtige styresystemer. Det er bare to af de seneste store sikkerhedsbrud. Bag mange af dem spiller, den menneskelige faktor en rolle.

10 juni 2019

Hvad er fordelene ved et cloud-administreret netværk?

Cloud-administreret netværk giver masser af fordele sammenlignet med traditionelle løsninger. Har du udskiftet dit gamle netværk endnu?

23 maj 2019

Stort sygehus vælger kompakt ThinkCentre.

Masser af medicoteknisk udstyr og få kvadratmeter. Det er udfordringen på mange sygehuse. Også på Aarhus Universitetshospital, hvor man sparer plads på blandt andet operationsstuerne med kompakte og fleksible ThinkCentre-pc’er fra Lenovo.

20 maj 2019

Cyber crime koster mere end naturkatastrofer

Den voldsomt stigende cyberkriminalitet koster mennesker, organisationer og samfundet enorme summer hvert år. Undersøgelser viser, at nordiske virksomheder ofte mangler det grundlæggende forsvar mod angreb.

15 april 2019

Dustin designer IT-infrastruktur til sundhedssektoren

PatientSky er en åben platform, der gør livet lettere for behandlerne og deres kunder, takket være en automatiseret infrastruktur, som garanterer drift- og datasikkerhed.

13 marts 2019

GUIDE: Cloud-tjenester – sådan virker de

At benytte cloud-tjenester er ikke noget nyt. Men det er inden for de seneste år det for alvor har vokset sig stort og er blevet en løsning, som både privatpersoner og virksomheder har stor gavn af.

21 februar 2019