Langt størstedelen af it- og sikkerhedschefer er tilfredse med sikkerhedsniveauet i deres organisation, men udtrykker samtidig alvorlige bekymringer for fremtiden. Og det kan der være gode grunde til.
Cybersikkerhed er de seneste år blevet én af de absolut vigtigste og mest presserende emner ude i landets virksomheder og organisationer – ikke desto mindre er der alvorlige knaster i det generelle sikkerhedsniveau.
Det viser en bl.a. ny undersøgelse blandt danske it- og sikkerhedschefer, som Demoskop har lavet for fiberkoncernen GlobalConnect hos virksomheder og organisationer med mindst 150 medarbejdere.
Her vurderer hele 80 procent af de adspurgte, at deres organisations nuværende niveau som enten højt eller meget højt, og 89 procent føler sig godt eller meget godt forberedte på at genskabe mistet data i tilfælde af et cyberangreb. Dog mener otte ud af ti også, at der findes betydelige områder at forbedre i det nuværende it-miljø, og hver ottende mener ligefrem, at de har et problem med brister i for eksempel firewalls og virusbeskyttelse.
”Desværre er det sandsynligt, at mange undervurderer risici og overvurderer deres eget beredskab. Selv om man måske har evnen til at gendanne mistede data, er der sjældent plads i budgettet til de omkostninger, det medfører. Virkeligheden er, at organisationer, der udsættes for et ransomware-angreb, i gennemsnit mister 35 % af deres data for altid,” siger Søren Gjevert Petersen, Head of Security Services i GlobalConnect.
Manglende sikker bekymrer
Samtidig viser en undersøgelse foretage af Ingeniørforeningen, IDA med svar fra 1.500 eksperter med viden om kritisk infrastruktur i forskellige sektorer, at vurderingen af forberedelsen af forsynings-, it-systemer og infrastruktur mod cyberangreb, sabotage eller naturkatastrofer desværre kun er gennemsnitlig.
“Det er ikke sådan, at Danmark står pivåbent for diverse angreb eller naturkatastrofer, men omvendt giver vurderingen fra eksperterne langt fra et prangende resultat, og det ville uden tvivl være mere betryggende, hvis sikkerhedsvurderingen lå et sted mellem fire og fem,” siger formand for IDA, Laura Klitgaard.
Hun mener samtidig, at den nye geopolitiske situation har allerede øget bevågenheden på udfordringerne med hybridkrig, men siger samtidig, at meget peger på, at der skal sættes turbo på, så vores kritiske infrastruktur bliver mere modstandsdygtigt, end tilfældet er i dag.
I undersøgelsen vurderer respondenterne også, hvor udsatte deres sektorer er, og hvilke konsekvenser det vil have for samfundet, hvis de bliver ramt. Elforsyning, it-infrastruktur i sundhedsvæsenet og telekommunikation topper begge parametre, og det er bekymrende, mener Laura Klitgaard.
”Uden strøm og telekommunikation vil meget gå helt i stå. Det er noget af den kritiske infrastruktur, hvor nedbrud vil sprede sig som ringe i vandet til andre områder af den samfundskritiske infrastruktur, hvilket vil kunne få store konsekvenser. Her peger eksperterne på, at der blandt andet skal arbejdes målrettet på at lave opdaterede beredskabsplaner og -øvelser samt backups af både it-systemer og fysisk udstyr.”
GlobalConnects undersøgelse viser desuden, at cyberangreb er mere reglen end undtagelsen, særligt for større virksomheder. Over halvdelen (52 procent) af de skandinaviske virksomheder med en årsomsætning på over 2 mia. kr. har således oplevet et cyberangreb i løbet af de seneste to år.
”En moderne sikkerhedsstrategi, som er gearet til det stigende trusselsbillede, kræver forankring i ledelsen og rutiner, der sidder på rygraden hos medarbejderne. Men her viser undersøgelsen, at der er huller i sikkerhedsniveauet hos mange danske virksomheder, og det noget bekymrende,” siger Søren Gjevert Petersen.
I oktober viste en undersøgelse fra KnowBe4, at 69 procent af medarbejderne i danske SMV’er siger, at de aldrig har modtaget it-sikkerhedsmæssig træning på deres arbejdsplads, hvad end det handler om at spotte et phishing-angreb, hvad et godt kodeord er, eller hvordan de skal behandle sensitive data.