Ordet cybercrime kan få selv den mest hærdede IT-leder til at ryste på hænderne. Og de fleste har da også privat stiftet bekendtskab med for eksempel trusselsmails eller ”phishing”, som er en betegnelse for, når nogen prøver at lokke informationer ud af dig for eksempel om dine kontooplysninger.
Men hvordan undgår man at lukke den form for modbydelige gæster inden for i virksomheden, og hvad udgør egentlig de største trusler?
»Det er altid svært, når det gælder cybercrime. Det er et organisk begreb, der dækker over en konstant udvikling, og hvor dem med onde hensigter som regel er et skridt foran,« fortæller Martin Kaae Jensen, som har ansvaret for data- og informationssikkerhed i Randstad Danmark.
Martin fortæller, at selv om der er kommet mere fokus på problemet i dag, så er der stadig rigelig med plads til forbedringer.
»Jeg fornemmer tydeligt, at der er kommet et øget fokus på problemerne, og det har sikkert også hjulpet med de nye regler og forordninger i forhold til håndtering af data (red: eksempelvis persondataforordningen),« forklarer han.
Skal ind i organisationskulturen
Ifølge Martin er det afgørende, at man får IT-sikkerhed helt ind under huden i virksomhedens DNA.
»Det er helt essentielt, at ledelsen i virksomheden i høj grad italesætter vigtigheden af IT-sikkerhed, hvilket også i stigende omfang sker ude i virksomhederne i dag. IT-sikkerheden skal ind og være en del af hele kulturen og virksomhedens værdisæt - på lige fod med virksomhedens værdier på andre områder, integritet og så videre,« fastslår Martin Kaae Jensen.
Christian Kjær, der er partner med ansvar for cyber- og informationssikkerhed i PwC’s Digital Trust team, er helt enig med Martin Kaae Jensen i, at problemerne er eskaleret i de senere år, men at virksomhederne heldigvis samtidig er blevet mere opmærksomme på dem. Han påpeger dog samtidig, at de IT-kriminelle også er blevet langt dygtigere, ligesom markedet inden for IT-sikkerhed og -kriminalitet er eksploderet.
»Da jeg rådgav virksomheder for fem-ti år tilbage, var det typisk kun de større selskabers IT-afdelinger, der så dette som en risiko. Men cybercrime har bredt sig som ringe i vandet, og i dag er det ikke kun de store, multinationale selskaber, der rammes. Det går også ud over andre, herunder også små og mellemstore selskaber – ingen kan sige sig fri. Der er også kommet langt flere kriminelle aktører i markedet, og det er der først og fremmest to grunde til. Dels er gevinsten langt højere ved cybercrime end ved ”normal” kriminalitet, og dels er risikoen langt mindre for den kriminelle. Risikoen for at blive opdaget bag skærmen er simpelthen langt mindre, end hvis man skulle hoppe over hegnet til virksomheden,« siger Christian Kjær.
Det gode eksempel
Ifølge Christian Kjær er IT- og informationssikkerhed ikke længere kun en udfordring for IT-afdelingerne men også noget, som top-ledelsen i stigende grad er nødt til at forholde sig til. Der findes nemlig flere eksempler på, hvor galt det ellers kan gå.
At fokus på cyberkriminalitet i øvrigt skærpes i disse år, vidner en dansk undersøgelse fra PwC også om. Af undersøgelsen fremgår det, at flere virksomheder har haft øgede udgifter til udbedring og efterforskning af sikkerhedshændelser.
Faktisk har 49 procent haft øgede udgifter i forhold til sidste år, og i 2017 svarede 41 procent det samme, i alt svarende til en stigning på otte procentpoint. Af undersøgelsen kan man dog også se, at det øgede fokus har resulteret i en positiv udvikling fra 2017 til 2018 i forhold til antallet af virksomheder, der angiver, at de har været udsat for en sikkerhedshændelse. Her er der nemlig sket et fald på 20 procent i andelen af virksomheder, der angiver, at de har været udsat for en sådan hændelse.
I dag går de kriminelle efter medarbejderne
I takt med at der i dag findes mere og bedre teknologi til at beskytte virksomhedens infrastruktur, så er det ofte den enkelte medarbejder, der er udsat. Og netop derfor skal man gøre endnu mere for, at IT-sikkerhed bliver en naturlig del af virksomhedens kultur.
»Det er helt tydeligt, at de kriminelle i dag går efter virksomhedens svageste led, og at de også vil gøre det fremover. Ved at udnytte medarbejderens manglende viden og lokke disse til at klikke på diverse ondsindede links eller hente software, kan de få adgang til systemer og data i virksomheden,« forklarer Christian Kjær.
Gode råd til hvordan du skærper din virksomheds IT-sikkerhed og mindsker risikoen for at få onlinebesøg af kriminelle:
- Sørg for at ledelsen har informationssikkerhed på agendaen.
- Sørg for at risikoen ved it-kriminalitet bliver belyst med input fra flere afdelinger, herunder bl.a. forretningsledelsen, HR og IT.
- Se problemstillingen som organisk og lad være med at tro, at bare fordi du har et godt sikkerhedssystem i dag, så er det også godt nok i morgen.
- Alle såvel nye som eksisterende medarbejdere skal løbende orienteres om vigtigheden af og konsekvenserne ved ikke at opretholde virksomhedens retningslinjer for sikkerhed.
- Lav løbende oplysningskampagner/tests, som sikrer, at medarbejderne ved, hvad de skal være opmærksomme på, og hvad de ikke må gøre.