Et potentielt katastrofalt hackerangreb ramte det danske energinet tidligere i år, hvilket understregede en generelt forhøjet trussel. Alligevel er der tusinder af danske virksomheder, der ikke har styr på basal IT-sikkerhed, skriver Peter Agergaard, CEO, og Kenneth Mikkelsen, COO i Board Education.
I maj måned blev Danmarks energinet hårdt ramt af et potentielt katastrofalt hackerangreb, der truede med at lamme 22 danske forsyningsselskaber.
Et avanceret beskyttelsessystem forhindrede dog, at adgangen til el, vand og varme gik tabt. Dette episodiske trusselsbillede afslørede ikke kun sårbarheder i den nationale infrastruktur, men pegede også på en generel udfordring: tusinder af danske virksomheder har utilstrækkelig kontrol over deres basale IT-sikkerhed.
I en nylig undersøgelse fra Digitaliseringsstyrelsen blev det konstateret, at hver sjette danske SMV mangler selv de mest fundamentale IT-sikkerhedsforanstaltninger, herunder en simpel backup af deres data. Denne mangel på grundlæggende beskyttelse bærer præg af ledelses- og bestyrelsessvigt, hvilket rejser bekymringer om sikkerheden i danske virksomheder.
Det afgørende angreb på energisystemet understreger et trusselsniveau, der ikke bør undervurderes. Ifølge Green Power Denmarks teknologidirektør var der indikationer på, at en udenlandsk statslig aktør var involveret, hvilket yderligere komplicerer sikkerhedslandskabet.
Den nuværende geopolitiske situation, med konflikter i Europa og ustabilitet i Mellemøsten, øger kompleksiteten af trusler mod nationale og private organisationer. Samtidig viser en stigende global usikkerhed, at behovet for robuste IT-sikkerhedsforanstaltninger aldrig har været mere påtrængende.
Trods denne virkelighed viser Digitaliseringsstyrelsens undersøgelse, at 64 procent af SMV-ledelserne i Danmark ikke er tilstrækkeligt involveret i virksomhedens IT-sikkerhed. Dette tal vidner om en manglende opmærksomhed fra ledelsens side, hvilket udgør en potentiel trussel mod virksomhedernes overlevelse og samfundsinfrastrukturen som helhed.
Proaktivt lederskab afgørende for IT-sikkerhed
Eksperter advarer om, at IT-sikkerhed ikke bør overlades udelukkende til IT-fagfolk. De mener desuden, at det bør være en central del af bestyrelsens ansvarsområde og indgå som en fast del af virksomhedens årlige planlægning. Den nuværende tendens, hvor kun 36 procent af SMV-ledelserne er aktivt involveret i IT-sikkerhed, kan ikke blot ses som en dårlig forretningspraksis, men udgør også en potentiel trussel mod virksomhedernes levedygtighed.
En nøje planlagt og fokuseret indsats er uomgængeligt nødvendig for at imødegå den voksende udfordring inden for IT-sikkerhed. Dette kræver allokerede ressourcer og finansielle midler til implementering af robuste sikkerhedsforanstaltninger. Selvom dette ikke nødvendigvis resulterer i øjeblikkelig værdiforøgelse, er det afgørende at anerkende den betydelige risiko ved passivitet.
Det forestående NIS2-direktiv fra EU truer med at stramme reglerne for virksomheder inden for den kritiske infrastruktur. Ud over de skærpede regulativer pålægger direktivet individuelle medlemmer af både ledelse og bestyrelse et ansvar, der kan føre til erstatningsansvar ved grov forsømmelighed i forbindelse med cyberangreb. Dette fremhæver et presserende behov for proaktiv handling og forhøjet opmærksomhed på IT-sikkerhed.
Det er af afgørende betydning, at virksomheder erkender den nye realitet, hvor selv mindre virksomheder udgør interessante mål for hackere. Ledere og bestyrelser må påtage sig ansvaret og handle proaktivt for at sikre, at virksomhederne er rustet til at modstå nutidens komplekse trusler. Et alternativ præsenterer en skræmmende udsigt, som ingen virksomhed ønsker at stå overfor.
Peter Agergaard og Kenneth Mikkelsen er hhv. CEO og COO i Board Education.