Cybersikkerhed: Adfærd mindst lige så vigtig som teknik

Mand og kvinde på kontoret drøfter indholdet i et dokument.

Af Bjarke Alling, Koncerndirektør i Liga og formand for den private del af Cybersikkerhedsrådet


Gennem de seneste par år har vi set en lang række spektakulære, kostbare og ekstremt skadelige cyberangreb. Det er på tide, at vi taler mere om, at tekniske mure og eksperter ikke kan stå alene.

Vores fælles adfærd skal også tage højde for truslerne. Vi har alle et ansvar. Vi er alle del af beskyttelsen mod det næste angreb.

Det kræver uddannelse, det kræver opmærksomhed – og det vil tage tid og koste kræfter. Men det er vigtigt at indse, at selv den mest effektive firewall er magtesløs, hvis salgsdirektøren klikker på et link, der lukker skadelig kode ind af bagvejen. Og hvis der kun står et password mellem hackeren og virksomhedens kritiske data, så nytter store budgetter til IT-sikkerhed ikke meget.

Sikkerhed i et samfund båret af tillid

Ja, systemer skal stadig kapsles ind af en ydre mur. Men vores infrastruktur, data og adfærd skal også være modstandsdygtig, hvis angrebet trænger ind. Sikkerheden skal indbygges og tænkes ind overalt.

Det handler i høj grad om kultur. Danmark er et samfund båret af tillid, hvilket kommer os til gavn på mange områder. Ulempen er, at vi kan have svært ved for alvor at erkende, at nogen vil os det ondt. Men cyberangreb er big business og kan købes på nettet, omtrent som når vi betaler for vores Spotify eller Netflix. Hundredtusindvis af automatiserede angreb kan erhverves for overraskende små beløb.

De færreste angreb går ind. Men nogle gør – og det kan være en katastrofe for den enkelte virksomhed. Det er lidt som at brække et ben: Det sker helt uforudset og tager kun et øjeblik. Men der går let 2-3 måneder, før man er på fødderne igen.

”Hvorfor skulle hackerne gå efter os? Vi er jo ikke en global koncern! Ingen kender os uden for branchen.”

For en virksomhed kan det være værre endnu. Hvad hvis hele din digitale infrastruktur forsvinder med ét slag? Ingen ordrer, ingen logistik, ingen fakturaer, ingen finansstyring. Alt er væk.

Alligevel møder jeg ofte virksomhedsledere, der ikke føler sig specielt udsatte for cyberangreb. ”Hvorfor skulle hackerne gå efter os? Vi er jo ikke en global koncern! Ingen kender os uden for branchen.”

Mange bække små

Det er en farlig antagelse. For angrebene rammer i flæng og skelner ikke mellem store og små. Det er ren business, og indtjeningsmodellen er klar: Hvis tilstrækkelig mange mindre virksomheder hver betaler 5.000 dollar i løsesum for at få kritiske data retur, så er det langt lettere tjente penge end at hacke en storbank med omfattende sikkerhedsinfrastruktur og et veldefineret beredskab.

Derfor er det afgørende at være opmærksomme, før ulykken rammer. Vi skal fremelske en adfærd i hele virksomheden, der gør det OK at tale om, at man er usikker på, hvordan man skal reagere, hvis noget ser mystisk ud. At fortælle, man måske har begået en fodfejl og er kommet til at klikke på et link, man måske ikke burde have klikket på.

Det skal altid være i orden at stille spørgsmål. Medarbejderne skal også vide, at de ikke bare skal acceptere en hastemail fra chefen om, at det er afgørende at overføre 100.000 kroner til en eller anden konto i en fart.

Effektiviteten åbner nye flanker

Gennem mere end tyve år har vi bygget onlineøkonomien op og brudt gamle processer ned. Vi har i stor stil afskaffet dobbelte underskrifter på checks, personlige møder i banken og fysiske dokumenter. I stedet er kommunikation og transaktioner blevet digitale, hvilket gør mange ting langt nemmere – men også mere usikkert. Effektiviteten åbner nye flanker. Det kan også være svært at vide med sikkerhed, at en person er den, vedkommende giver sig ud for at være.

Det er vi nødt til at være opmærksomme på og at tale om. Også selv om man har erfaring for, at cyberangreb og netsvindel altid rammer nogle andre end én selv.