Danske virksomheder har for lidt styr på cybersikkerheden – og det er et ledelsessvigt

Peter Agergaard og Kenneth Mikkels bringer i dagens udgave af Finans et debatindlæg omhandlende cybersikkerhed. Læs mere her

"Et potentielt katastrofalt hackerangreb ramte det danske energinet tidligere i år, hvilket understregede en generelt forhøjet trussel. Alligevel er der tusinder af danske virksomheder, der ikke har styr på basal IT-sikkerhed. Det falder tilbage på ledelser og bestyrelser"

Det kunne være gået helt galt i maj måned. Et storstilet hackerangreb ramte 22 danske forsyningsselskaber, og kun et meget avanceret beskyttelsessystem modvirkede, at vi ikke mistede adgang til el, vand og varme. 

For prøv bare at tænke tanken til ende hvor ødelæggende det vil være for et samfund, hvis strømmen forsvinder. Kommunikation, it-systemer, maskiner og alle dagligdagens fornødenheder er pludselig ikke længere tilgængelige. 

Angrebet blev heldigvis afværget, men selvsamme angreb understreger et trusselsbillede, der er ganske skræmmende. For som Green Power Denmarks teknologidirektør påpegede, var der tydelige tegn på, at en udenlandsk statslig aktør havde en finger med i spillet.

Den geopolitiske situation er markant anderledes end for bare få år siden. Der er krig på europæisk grund, Mellemøsten er på kanten af en omsiggribende konfrontation og magtbalancer forrykkes. Læg dertil, at vi er ét år fra et præsidentvalg i USA, der kan få ganske markant betydning. 

Vi lever med andre ord i en usikker nutid, og intet tyder på, at det bliver bedre fremover.

Alligevel har hver sjette danske SMV-virksomhed så ringe it-beskyttelse, at man end ikke lever op til de mest basale krav om bare at have backup af sine egne data. Det viste en undersøgelse fra Digitaliseringsstyrelsen i sidste måned. 

Nuvel, det er på ingen måde givet, at danske SMV’er angribes af udenlandske hackere, der er støttet af fjendtlige stater, men angrebet på vores energisystem bør alligevel få advarselslamperne til at bimle. Og godt nok viser undersøgelsen, at der er sket en forbedring det seneste år, men den viser også, at hele 64 pct. af ledelserne i danske SMV’er i nogen grad, lille grad eller slet ikke er involveret i virksomhedens it-sikkerhed.

Det er et tal, der må og skal bringes ned. Og skal det ske, må bestyrelserne være helt anderledes opmærksomme på udfordringerne. 

Ii-sikkerhed bør være et fast element i årshjulet for bestyrelser og ikke overlades til fagmedarbejderne i det omfang, de findes. Alt andet er ikke god forretningsførelse, for udgangspunktet bør være, at hackerangreb kommer – ikke at de måske kommer. 

Det kræver en målrettet indsats med allokering af de nødvendige midler, selvom det ikke sikrer en umiddelbar værdiforøgelse. Risikoen ved at lade stå til er alt for stor til at lade være. Og med tanke på, at der i løbet af 2024 kommer markant strammere regler fra EU – det såkaldte NIS2-direktiv – er der nok at tage fat på. 

For direktivet, der netop omhandler it-sikkerhed, udvider mængden af virksomheder, der vurderes til at være en del af den kritiske infrastruktur og dermed skal leve op til flere og mere omfattende regler. 

Udover de nye regulativer vil det også være muligt at gøre individuelle medlemmer af både ledelse og bestyrelse erstatningsansvarlige, hvis virksomheden udviser grov forsømmelighed i forbindelse med et cyberangreb, så der er ganske mange grunde til at prioritere området. 

Vi kan bilde os selv ind, at den enkelte virksomhed ikke er interessante for hackere, men det er en naiv tilgang til en ny virkelighed. Det skal ledere og bestyrelser tage ved lære af. 

Alternativet er skræmmende at tænke på.