Vi bruger cookies!

amtsavisen.dk bruger cookies til at give dig en god oplevelse og til at indsamle statistik, der kan være med til at forbedre brugeroplevelsen. Hvis du klikker på et link på www.amtsavisen.dk, accepterer du samtidig vores cookiepolitik. Læs mere


Er der styr på virksomhedens kronjuveler?

Modelfoto: Eva Seider/Scanpix

Er der styr på virksomhedens kronjuveler?

Modtagerens email *:
Din e-mail *:
Dit navn *:
Evt. kommentar:

*) skal udfyldes.

En dansk undersøgelse peger på, at tæt på syv ud af 10 virksomheder har haft ubudne cyber-gæster inden for det seneste år - og ofte med afpresning for øje. Samtidig sætter en godkendt EU-forordning fra maj 2018 øgede krav til virksomhedernes p

Black Friday er et af de seneste eksempler på, hvordan it-kriminelle arbejder og forsøger at ramme uforvarende forbrugere.

For oven på forbrugsfesten blev en ny bølge af falske mails sendt ud med såkaldt ransomware. Afsenderen var tilsyneladende PostNord med beskeden om, at man havde en ventende pakke, for hvem skulle ikke forbi den lokale afhenter-central i slutningen af november?

Men det er en dårlig idé at åbne den slags mails. For lyssky bagmænd stod klar til at låse computeren og kræve en løsesum for at give adgang igen til værdifulde og personlige data. En simpel kidnapning som i det vilde vest. Men sådan foregår det altså også i cyberspace.

- I dag er det en bedre businesscase for fire-fem kriminelle personer at sidde på et kontor i otte timer om dagen og stjæle data end det er at røve en bank, siger William Sharp, director for IT Risk Assurance hos PwC i Aarhus, hvor han dagligt rådgiver virksomheder og ledere om it-sikkerhed.

PwC udsendte tidligere på efteråret for anden gang sin Cybercrime Survey med deltagelse af knap 300 danske og 200 norske virksomheder. Og forskellene fra en tilsvarende survey-undersøgelse fra 2015 er slående.

Således meddeler to ud af tre danske virksomheder (67 procent) i 2016-surveyen, at de har været udsat for afpresning for eksempel i form af ransomware inden for de seneste 12 måneder. I 2015 var der blot tale om godt hver femte virksomhed (22 procent). Samtidig oplyser tæt på syv ud af 10 virksomheder (69 procent) i Danmark, at de har været udsat for et cyberangreb i løbet af det seneste år.

Hackerangreb i Randers

Meget højt trusselsniveau

Det stemmer meget godt overens med trusselsvurderingen mod Danmark fra Forsvarets Efterretningstjenestes Center for Cybersikkerhed fra januar 2016. Her er trusselsniveauet for cyberkriminalitet og cyberspionage i begge tilfælde sat til at være meget højt.

- Nu snakker vi ikke om, hvis en virksomhed bliver ramt af cyberkriminalitet, men hvornår virksomheden bliver ramt. Derfor handler det også, om at alle virksomheder skal sikre sig, at beredskabet er i orden, og det er ikke alene en opgave for IT-afdelingen. Det handler meget om awareness, og det skal op på ledelsesbordet og være en fast del af forretningens agenda. Det er det heldigvis også begyndt at komme, forklarer William Sharp og fortsætter:

- Man skal simpelt hen være bedre forberedt på, hvad der kan ske, til at opdage det, når det sker, og være klar til at modstå angrebet. Beredskabsplanen skal hurtigt kunne klarlægge, hvad der er sket, hvordan det er sket, og hvordan man får det stoppet igen.

Alle er i farezonen

IT-sikkerhedseksperten advarer mod at tro, at det kun er store virksomheder, der bliver ramt:

- Der er ofte tale om generiske angreb, og derfor er alle typer af virksomheder, der behandler data udsatte.

Han råder derfor virksomhederne til at få et overblik over 'kronjuvelerne' internt som eksternt.

- Mange virksomheder outsourcer deres IT, og det er ofte med til at højne sikkerheden generelt, men det er vigtigt, at man laver en kontrakt med samarbejdspartneren om, hvad man hver især forstår ved sikkerhed. Og når man lægger sine 'kronjuveler' for eksempel hos en leverandør, så skal de samme sikkerhedsforanstaltninger også gælde dér. Ellers har man en mulig læk til sit eget system, siger William Sharp.

'Kronjuvelerne' er de data-værdier, som en virksomhed ligger inde med. Det kan også være følsomme persondata, som en vedtaget EU-forordning gældende fra 25. maj 2018 stiller endnu større krav til firmaerne om at beskytte i fremtiden.

Retten til at blive glemt

- Persondataforordningen tager udgangspunkt i den registreredes rettigheder. Fra maj 2018 skal virksomhederne have politiker og risikovurderinger på plads, og de skal kunne dokumentere, at data behandles og beskyttes efter reglerne, og for eksempel kan slettes, når der ikke længere er formål, lovhjemmel eller samtykke med behandlingen. Det stiller store krav til strukturen og til det tekniske design. Det handler om at finde ud af, hvor i organisationen og i hvilke afdelinger, man behandler persondata, og hvordan de flyder ind og ud af virksomheden. Man skal være klar til at agere både teknisk og organisatorisk, når man bliver ramt af et angreb, fordi man nu også får pligt til at informere samtlige ramte personer og tilsynsmyndigheden inden for 72 timer, forklarer William Sharp.

Nye forretningsgange nødvendigt

De nye EU-regler om persondata betyder, at de danske virksomheder kommer til at ændre på nuværende forretningsgange for at højne sikkerheden. Det vurderer 77 procent af de deltagende firmaer i PwC-surveyen, og virksomhederne har travlt. Kun godt halvdelen (52 procent) mener, at de kan klare kravene om halvandet år, mens fire ud af 10 virksomheder siger, at de er parate.

Modsat svarer hele 29 procent i undersøgelsen, at de kun i nogen grad forventer at blive klar, mens ni procent forventer det i mindre grad. Endelig ser hver 10. virksomheder sig ikke i stand til at svare på spørgsmålet.

Konsekvensen kan udover tab af værdifulde data - både for virksomheden og andre implicerede - blive et bødekrav i størrelsesordnen på op til fire procent af omsætningen eller 20 mio. euro.