Mange danske SMV’er har outsourcet store dele af deres it-drift og sikkerhed til eksterne virksomheder, men det er ingen garanti for, at de får den beskyttelse, de har brug for, mener ekspert.
Riget fattes cybersikkerhedseksperter, og det mærkes ikke mindst ude i de mange danske SMV’er, hvor hackerne banker på døren, og den interne viden og knowhow ofte er begrænset.
Derfor har mange af disse virksomheder outsourcer drift og sikkerhed til professionelle, der har den ekspertise, de selv mangler i det daglige. Men tror man som SMV, at virksomheden dermed er sikret, så kan man have forregnet sig, mener Morten von Seelen, vice-præsident i og grundlægger af Truesec i Danmark.
“Det er desværre ikke så enkelt at sikre sig, at den virksomhed, man outsourcer sin it-drift og sikkerhed til, rent faktisk lever op til den beskyttelse, man har brug for. De seneste to år har vi i Danmark set flere mindre it-hostingfirmaer lukke og slukke efter alvorlige ransomwareangreb. Først efterfølgende er det gået op for kunderne, at leverandøren ikke levede op til de forventede – og ofte kritisk nødvendige – sikkerhedsforanstaltninger,” siger han.
Problemet stopper dog ikke her, fortæller han videre. Selv større danske hostingleverandører undgår ofte ansvar gennem deres kontrakter, eksempelvis ved ikke at forpligter sig til at holde systemerne opdaterede eller sikre, at deres egne medarbejdere, som har adgang til kundernes systemer, anvender stærke adgangskoder. Resultatet er, at små og mellemstore virksomheder ofte står alene med ansvaret, når noget går galt.
Virksomhederne kan dog tage flere vigtige skridt for selv at sikre sig bedst muligt. Det er essentielt at sikre, at ansvaret for opdateringer, brug af stærke adgangskoder og løbende sikkerhedstests er tydeligt defineret.
Derudover bør backupløsninger testes regelmæssigt ved faktisk at gendanne data – en backup, der ikke er afprøvet, kan være lige så værdiløs som slet ingen backup.
“For at styrke sikkerheden yderligere kan en ekstern sikkerhedsleverandør med fordel benyttes til eksempelvis regelmæssige penetrationstests og overvågning, så alle æg ikke lægges i én kurv. Og så bør systemer opdateres løbende, og medarbejdere trænes i at identificere phishing-angreb,” siger Morten von Seelen.