Statusrapport: IT-sikkerhed blandt store virksomheder

Hvordan står det til med IT-sikkerheden hos større nordiske virksomheder? På mange måder dårligt. Halvdelen af alle store virksomheder i Norden mangler beskyttelse mod informationslæk og digitale angreb. Hvorfor nu det? Hvad skal der gøres?

En undersøgelse foretaget af konsulentvirksomheden PWC blandt 9500 virksomheder rundt om i verden giver et situationsbillede: Næsten hver anden virksomhed mangler en overordnet plan for IT-sikkerheden, og 48 procent af de adspurgte siger, at de mangler uddannelsesprogrammer i sikkerhedsspørgsmål til medarbejderne. Hele 54 procent siger, at de mangler processer for, hvordan de skal håndtere hændelser.

– Alt for mange savner en strategi for deres IT-sikkerhed, siger Anne-Marie Eklund Löwinder, sikkerhedschef for Internetstiftelsen i Sverige.

En tungtvejende årsag er, at IT-sikkerhedsspørgsmål sjældent havner på ledelsesniveau, mener hun.

– IT-sikkerheden hos virksomheder i Norden varierer. Nogle virksomheder har en fint udbygget IT-sikkerhed, men mange virksomheder halter langt bagefter. Problemet er ofte, at sikkerheden betragtes som et rent IT-spørgsmål, bestyrelsen ikke involveres i. Nogle virksomheder har ikke indset, at det kræver en strategi fra højeste sted, hvis IT-sikkerheden skal gennemsyre hele organisationen.

I store virksomheder med mange systemer kan IT-sikkerheden være en ekstra udfordring.

– Mange store virksomheder har svært ved at få fuld kontrol over alt det, der kræver beskyttelse i virksomheden, fordi de har komplekse miljøer med mange involverede – nogle gange fra forskellige juridiske enheder.

Guide: Datasikkerhed og datatyveri

Frisk på ny teknologi – mindre interesseret i sikkerhed

Anne-Marie Eklund Löwinder peger også på, at den hurtige teknologiske udvikling er en medvirkende årsag til sikkerhedsproblemerne i større virksomheder.

– Jo mere afhængige vi bliver af IT-tjenester, des mere kompliceret bliver det at holde styr på alle opdateringerne, logins, regler og principper. Vi vil også gerne være på de sociale medier, men vi virker mindre interesserede i at beskytte os mod skadelig kode og angreb. Faktum er, at det er lettere at begå fejl, end vi tror.

– Vi er dumme og vil gerne klikke på links og dele tekster og tips, uden at vide om det fører en skadelig kode med sig. Det er let at få en skadelig kode, der låser tastaturet eller gør din maskine til en del af et botnet.

Sæt personalet på skolebænken

Jonas Lejon er IT-sikkerhedsekspert med en fortid fra FRA og Försvarsmakten og driver blandt andet sitet kryptera.se. Han mener, vi bør indstille os på, at "cyberbusserne" kommer ind i større virksomheder, uanset hvor meget vi beskytter os. Truslerne mod større IT-miljøer er i dag så mange, at det er svært at forsvare sig mod dem alle på én gang. I stedet må de større virksomheder og myndighederne blive bedre til at klassificere og prioritere deres data.

– Vi plejer at sige, at virksomheder burde vide hvilke data, der kan være tilgængelige via internettet og hvilke data, der har en finansiel værdi eller indeholder værdifulde informationer, og som bør være afskærmet fra nettet. Samlet bør man kigge på, hvordan informationen skal beskyttes bedst muligt. Virksomheder skal blive bedre til at vide, hvor de mest følsomme forretningsdata findes, og hvordan de beskyttes. Dernæst skal de have styr på hvem, der har adgang til hvilke systemer.

Han er enig i, at kontinuerlig uddannelse af medarbejderne i større virksomheder i sikkerhedsspørgsmål er utrolig vigtig.

– IT-sikkerhed er ikke svær, men det kræver en vis del engagement og arbejdsindsats fra flere sider. Det er ikke bare noget IT-afdelingen eller en eller anden ildsjæl skal tage sig af. Virksomheden skal hele tiden uddanne sine medarbejdere i sikkerhed, og hvad de skal og ikke skal gøre.

Jonas Leijons 3 tips til virksomheders IT-sikkerhed

  • Sørg for at opdatere gammel software eller ældre versioner af applikationer på mobiltelefoner, tablets eller computere.
  • Engangspassword er en god løsning. Jeg benytter mig af MFA, en multifaktor autentisering som er en god beskyttelse mod, at uvedkommende får adgang til password.
  • Ved indkøb eller anskaffelse af et system eller produkt bør man stille krav om sikkerhed, samt at leverandøren har procedurer for patch management, incident management og sikker udvikling. Lad en uafhængig virksomhed kontrollere, at disse funktioner findes og følger med.

Anne-Marie Eklund Löwinders råd til store virksomheder og deres ansatte

  • Hav forskellige password til forskellige konti. Skift dem ofte.
  • Klik ikke på links i mails uden først at tænke over, hvem afsenderen er, og hvorfor du har modtaget mailen.li>
  • Del ikke ting direkte fra de sociale medier. Brug din sunde fornuft og kildekritik, når det handler om ting som fake news og lignende.
  • Som virksomhed gælder det om, ikke bare at have en sikkerhedsløsning men at have flere lag af beskyttelse. Begræns gerne adgangsrettigheder i systemet og segmenter netværket, så skaden kan begrænses, hvis uheldet skulle være ude.

De største IT-trusler mod store virksomheder

Ransomware

Er en hurtigt voksende trussel, der bevirker, at brugeren narres til at installere en skadelig kode på computeren eller mobiltelefonen. Koden krypterer derefter alt, den kommer i nærheden af. Efterfølgende modtager brugeren en besked på skærmen om at betale en løsesum, hvis man vil have filerne tilbage igen.

CEO fraud

Denne trussel handler om, at nogen udgiver sig for at være chef i en virksomhed og derefter sender en mail på vegne af chefen til økonomiafdelingen, hvor der står, at afdelingen skal overføres penge til en fremmed konto.

Sabotage-angreb

Formålet med angrebene er at ødelægge data, inklusive sikkerhedssystem og backup, hvilket i praksis gør det umuligt for en virksomhed at få sine data tilbage. Det ligner umiddelbart et såkaldt ransomware-angreb, men er reelt konstrueret på en måde, så det ikke er muligt at få sine data tilbage.p>

Phishing-angreb

Angriberne forsøger at benytte sig af navne inden for virksomheden for at gøre det vanskeligt at skelne rigtige mails fra falske mails. På den måde øges sandsynligheden for at medarbejderne klikker på farlige links eller åbner inficerede bilag.

Guide: Datasikkerhed og datatyveri

11 april 2018

Bliv fri for netværksbekymringer via en tjeneste

Et velfungerende netværk er i dag blevet en grundlæggende forudsætning for skoleaktiviteterne. Indkøb af netværket som en tjeneste er en smart og tidsbesparende måde til at opnå en optimal platform.

4 oktober 2019

Sikkerhed eller brugervenlighed – er man nødt til at vælge?

Virksomheder digitaliseres, og flere og flere arbejder mobilt. Det øger efterspørgslen på sikre og brugervenlige arbejdspladser. Med tjenesten Modern Workplace får din virksomhed en komplet arbejdspladstjeneste med alle de nødvendige værktøjer.

23 september 2019

White paper: Digitalisering, automatisering og innovation gennem hyperkonvergeret infrastruktur

IT-organisationer skal kunne håndtere hurtige forandringer. Vil du lære mere om, hvordan du skaber plads til innovation? Se vores white paper.

20 september 2019

Consafe Logistics har kombineret reducerede IT-omkostninger med højere serviceniveauer

Consafe Logistics er Europas førende leverandør af software til lager- og logistikløsninger. Vi leverer i dag on-site support til hele virksomheden i Consafe Logistics.

20 september 2019

Så meget koster et datatyveri – og sådan beskytter du dig selv

22 millioner kroner. Så meget koster et datatyveri i gennemsnit ifølge den seneste undersøgelse fra Ponemon Institute. Risikoen for at blive udsat for det er større end nogensinde, men du kan minimere risikoen kraftigt med den rigtige beskyttelse.

10 september 2019

CMP er i mål med tjenesteficering af IT-leverancen

Copenhagen Malmö Port AB (CMP) er siden starten af år 2001 vokset og blevet en af Skandinaviens største havneoperatører med virksomheder på begge sider af sundet. I dag har de servicificeret stort set hele virksomheden.

9 september 2019