Månedens udvalgte: Cybersikkerhed i de danske SMV-virksomheder – hvorfor er det svært?

28. oktober 2021 - En stor del af små- og mellemstore virksomheder har ikke har styr på de basale sikkerhedsforanstaltninger set i forhold til deres risikoprofil, ifølge Erhvervsstyrelsens seneste rapport - og det kan have alvorlige konsekvenser.

Erhvervsstyrelsen udgav i slutningen af september deres årlige analyse af sikkerheden i små og mellemstore danske virksomheder. Undersøgelsen viser at ca. 40% af virksomhederne ikke har styr på de basale sikkerhedsforanstaltninger set i forhold til deres risikoprofil. At de danske SMV-virksomheder ikke har godt nok styr på sikkerheden kan få store konsekvenser for både den enkelte virksomhed og det danske samfund da mange af disse virksomheder er underleverandører til samfundskritiske virksomheder. For den enkelte virksomhed kan en sikkerhedshændelse i yderste konsekvens blive et spørgsmål om virksomhedens overlevelse.

Se hele analysen her her (åbner ny side): Digital sikkerhed i danske SMV'er 2021

Der har efterhånden i en del år været fokus på forbedring af cybersikkerheden i de mindre virksomheder bl.a. gennem det arbejde der er udført i Virksomhedsrådet for IT-sikkerhed og Virksomhedsforumet for Digitalsikkerhed under Erhvervsstyrelsen, men som analysen også beskriver bliver sikkerhedsniveauet kun meget langsomt forbedret. Når man i undersøgelsen spørger virksomhederne selv, hvorfor de ikke gør mere ved cybersikkerheden, henviser de bl.a. til usikkerhed ved den mulige gevinst ved at investere i it-sikkerhedsløsninger, manglende forståelse for hvordan man skal implementere it-sikkerhedsløsninger samt manglende økonomiske ressourcer til at investere i forbedret it-sikkerhed. Virksomhederne oplever det også svært at forstå risikoen i forhold til deres forretning, finde ud af om it-sikkerhed har den rette prioritering samt sikre at medarbejdere har den rette indsigt og awareness omkring it-sikkerhed.

De konkrete udfordringer som virksomhederne påpeger i undersøgelsen, er egentlig symptomer på nogle mere grundlæggende forhold omkring både de trusler virksomhederne står overfor, og de grundlæggende forhold omkring etablering af sikkerhedsløsninger.

Trusselsbilledet
Helt grundlæggende er det vanskeligt at forstå og erkende hvilke trusler man som virksomhed står overfor – og det er uanset om man er en lille eller en stor virksomhed. Imidlertid er trusselsniveauet i dag generelt meget højt for alle typer og størrelser af virksomheder da cyberkriminalitet er en yderst lukrativ forretning for de kriminelle – med tilsvarende mange og dygtige kriminelle aktører. Endvidere er de cyberkriminelle rigtig hurtige og effektive til at forretningsudvikle og finde på nye angrebsmetoder. De cyberkriminelle er også fuldstændig opportunistiske og angriber dem de kan – og skelner kun sjældent mellem store og små virksomheder. Er man som organisation interessant for fremmende efterretningstjenester, er de i dag også rigtig dygtige og effektive i deres angreb – og ikke mindst målrettede.

Alligevel kan det som lille virksomhed, som ikke synes man er særlig interessant og i øvrigt ikke rigtig har noget af værdi, være svært at opfange og realiserer at man i praksis står overfor mange af de samme trusler som de store, kendte og rige virksomheder. Som lille virksomhed er man derfor også nødt til at forvente at man bliver angrebet og derfor tage it-sikkerhed alvorligt. Ofte er de små virksomheder heller ikke klar over hvilke it-leverandører og løsninger de benytter, hvordan der bliver lavet backup – og hvad de skal gøre hvis løsningen ikke fungerer fordi deres leverandør er ramt af et cyberangreb.

" Som lille virksomhed, kan det være svært at opfange og realisere at man i praksis står overfor mange af de samme trusler som de store. "

Passende foranstaltninger
Samtidig kan implementering af såkaldte passende sikkerhedsforanstaltninger være ganske svært og komplekst – for hvad er egentlig passende foranstaltninger? At finde ud af hvad passende foranstaltninger er, kræver indsigt i virksomhedens risikobillede og de trusler virksomheden står overfor – for så derefter at matche det med passende sikkerhedstiltag – processer og værktøjer – som kan mindske risikoen. Selve implementeringen af tiltagene kan derefter være tilsvarende kompleks og forbundet med store økonomiske omkostninger, og ofte kræve særlige specialistkompetence.

Går man videre i analysen kan man læse at virksomhederne efterlyser at de råd de får omkring it-sikkerhed, bliver gjort enklere og mere konkrete og dermed kan adressere nogle af de områder som virksomhederne finder svære bl.a. kunne bruge tilstrækkeligt med tid og ressourcer på de områder der giver mest værdi.

Tilgang til sikkerhed
Udmeldingerne fra de små virksomheder i analysen giver et tydeligt signal om man skal prøve at tilgå arbejdet med at forbedre sikkerhed i de små virksomheder på en lidt anden måde end vi gør i øjeblikket, hvor der er lidt tendens til en one-size-fits-all tilgang dvs. det er altid den store værktøjskasse der tages i brug uanset størrelsen på virksomheden. Som udgangspunkt skal det accepteres at SMV består af mange forskellige typer virksomheder i mange forskellige størrelser der skal håndteres forskelligt – og at nogle få har en anvendelse af it som falder uden for det de øvrige SMV’er gør.

Fælles for alle små og mindre virksomheder er at man er nødt til at gøre it-sikkerhed mere simpel, og det betyder bl.a. at fjerne noget af den kompleksitet it-sikkerhed i dag typisk bliver pakket ind i. For rigtig mange små virksomheder er det alt for komplekst og abstrakt eksempelvis at gennemføre en risikoanalyse – selvom det formelt set er den rigtige fremgangsmåde.

Analysen fra Erhvervsstyrelsen omhandler ikke de helt små virksomheder med under 10 ansatte, men de har naturligvis også et behov for it-sikkerhed. For mange at disse virksomheder er it-anvendelsen ganske simpel og består af nogle ganske få computere, cloud baserede it-løsninger til f.eks. deres økonomisystem eller en brancheløsning og så markedsføring på sociale medier. I forhold til it-sikkerhed bør disse virksomheder behandles på samme måde som man behandler de avancerede private borgere. Den måde de skal tilgå sikkerhed på, er reelt den samme dvs. leve op til helt simple råd som anvendelse af 2-faktor login, opdatering af programmer m.m. Efterlever denne kategori af virksomheder disse råd, kan en meget stor del af sikkerhedshændelserne undgås.

" I ganske mange af disse virksomheder vil man kunne forbedre sikkerheden væsentlig ved simple tiltag. "

De lidt større virksomheder der typisk er mellem 10 og 50 ansatte, er meget ofte familie- eller ejerledet, og har meget ofte ikke en rigtig formel og uafhængig bestyrelse eller direktion. Samtidig er deres it-anvendelse ofte relativ simpel og det er en udfordring for dem at arbejde organiseret med it-sikkerhed. I ganske mange af disse virksomheder vil man kunne forbedre sikkerheden væsentlig ved simple tiltag som bl.a. brug af to-faktor login til services, løbende opdatering af systemerne samt en ordentlig backup. Altså dybest set have en simpel liste over it-sikkerhed best-practice som virksomheden kan arbejde ud fra. Såfremt hovedparten af disse virksomheder blot får styr på de helt gængse basale sikkerhedskontroller, vil det på tværs af virksomhederne løfte niveauet væsentligt og i hvert fald fjerne mange af de hyppigst forekommende sikkerhedsbrud. Der er naturligvis virksomheder der har en it-anvendelse hvor der skal etableres yderligere tiltag, men ofte er de allerede mere modne og dermed klar over dette.

De store SMV’er har typisk et formelt ledelsesniveau med en professionel bestyrelse og dermed også ofte en mere formel struktur til bl.a. styring og prioritering af it-sikkerhed. I denne kategori af virksomheder er it-sikkerhed nødt til at blive forankret på ledelsesniveau, og der skal arbejdes mere formelt med it-sikkerhed for at sikre en ordentlig sammenhæng med forretningen. Disse virksomheder har typisk også nemmere ved at have ressourcerne til at arbejde med sikkerhed på en struktureret måde.

Afslutning
For at opnå markante forbedringer af it-sikkerheden i hele SMV-segmentet er der behov for at lave en væsentlig mere segmenteret og målrettet tilgang til de forskellige størrelser og typer af virksomheder der findes i segmentet. Dette skal kombineres med en væsentlig mere pragmatisk og praktisk tilgang til sikkerhed særligt hos de mindste SMV’er - det er urealistisk at disse nogensinde kommer til at bruge mange ressourcer på it-sikkerhed. Derfor er man i højere grad nødt til at vælge en tilgang hvor der i højere grad stilles simple og forståelige krav til hvad der skal gøres.

Der er stadig en lang række udfordringer for at komme i mål med denne tilgang bl.a. er der stadig en stor udfordring med overhovedet at få mange af disse virksomheder i tale, og få dem til at forstå dette er et område som man er nødt til at prioriterer og tage serøst.