Manglende it-sikkerhed bekymrer virksomheder mest
© Colourbox
I weekenden lammede den ondsindede digitale orm Wannacry dele af det britiske hospitalsvæsen og flere virksomheder verden over. Nu viser en rundspørge, at netop manglende it-sikkerhed topper listen over danske erhvervslederes bekymringer.
It-sikkerheden er ikke god nok i danske virksomheder. Det viser en ny rundspørge blandt 500 danske erhvervsledere, som har svaret på, hvilke områder deres virksomhed har mest fokus på i det kommende år.
Rundspørgen er udarbejdet af rådgivningshuset PwC i samarbejde med Dansk Erhverv. Her giver 57 procent af erhvervslederne udtryk for at være bekymrede for cybercrime og manglende it-sikkerhed.
"It-sikkerhed er forudsætningen for at give den digitale transformation fuld skrue. Samtidig rykker truslen fra internetkriminalitet tættere på, og vi hører stadig oftere om virksomheder, der udsættes for angreb. Det får virksomhederne til at skrue op for investeringerne", lyder vurderingen fra Janus Sandsgaard, digitaliseringschef i Dansk Erhverv i en pressemeddelelse.
Angrebet var ikke målrettet, men tilfældigt
Cyberangrebet Wannacry har ikke været målrettet bestemte systemer, men har ramt det på sin vej gennem, det globale it-landskab, der tilfældigvis var sårbart.
Det forklarer Rune Raunow, som er cand. scient. i datalogi og afdelingsdirektør i software- og systemudviklervirksomheden Systematic A/S, som bl.a. leverer it-sikkerhedssystemer og elektroniske patientjournaler til hospitaler rundt om i Danmark.
At cyberangrebet fx har ramt hospitalssektoren i Storbritannien, men ikke den danske hospitalssektor, er derfor mere et udtryk for, hvilke sektorer, som ikke er opdateret, end at angrebet har været konkret målrettet mod hospitalssektoren i Storbritannien.
"Denne cyberware udnytter en svaghed i Microsoft-systemet, som har været kendt i to måneder. I virkeligheden er det mere et spørgsmål om, hvor disciplinær en sektor har været i at holde systemerne opdaterede", siger Rune Raunow.
"Desuden handler det om, hvor bevidste brugerne er om ikke at klikke på sjove mails med mærkelige links. Der var Danmark heldig stillet, fordi angrebet skete på Store Bededag, hvor lang de fleste danskere holdt fri", uddyber han.
Opdateret sikkerhed er afgørende
Hos Systematic opfordrer man generelt sine kunder til at holde it-systemerne opdateret. Især, når en kunde har forskellige it-systemer, som også er aldersmæssigt forskellige.
En produktionsvirksomhed har fx pc’ere, der hænger tæt sammen med maskiner, og de opdateres typisk ikke så ofte. Det gør dem mere udsatte ved et cyberangreb. Det samme gælder hospitaler, som ikke har et ensartet system ligesom fx et sagsbehandlingssystem i en offentlig styrelse. Derfor kan hospitaler være sårbare ved et angreb, hvis sikkerheden ikke er i top.
"Det specielle ved dette angreb er, at det har kunnet sprede sig på interne netværk. Malwaren har typisk trivedes på store interne netværk. Derfor er det især virksomheder med ikke-ensartede systemer, der er ramt", siger Rune Raunow.
Personfølsomme data gik ikke tabt – i denne omgang
Malwaren har ikke dog ikke kunnet hive data ud af huset, men derimod låst maskinerne i huset. Det svarer til, at nogen har taget din bilnøgle, men altså ikke selve bilen. Derfor tyder heller ikke på at personfølsomme data er gået tabt ved angrebet. Men malware kan tage data, og det kan helt sikkert også ske fremover, forklarer Rune Raunow.
"Der er penge i dette. Rigtig mange virksomheder har valgt bare at betale folk bag denne malware, og markedskræfter fungerer derfor også på dette område. Man skal jo ikke købe mange konsulenttimer, før det billigere bare at betale løssummen for at få låst sine data op igen. Derfor skal man som virksomhed hele tiden vurdere, om ens sikkerhed er høj nok", siger Rune Raunow.
Savner klar dansk strategi
Rune Raunow mener, at Danmark som højt digitaliseret samfund bør have en klar strategi for, hvordan vi beskytter vore digitale infratraktur. Det har vi nemlig ikke i dag.
"Myndighederne har et ansvar, og de skal selvfølgelig forvalte det og sørge for, at systemerne fungerer optimalt. Vi skal dele viden om dette og erkende, at der skal være et samspil mellem private og offentlige aktører".
Både private og offentlige institutioner oplever ifølge ham mere og mere sofistikerede angrebsmønstre. Men også ganske simple værktøjer fungerer til at sprede malware med stor skade.
"Vi skal erkende, at cybertruslen er kommet for at blive, og vi skal derfor hele tiden kigge på, hvad man bør gøre for at holde den på afstand, for det kan lade sig gøre", siger Rune Raunow.
Rundspørgen er udarbejdet af rådgivningshuset PwC i samarbejde med Dansk Erhverv. Her giver 57 procent af erhvervslederne udtryk for at være bekymrede for cybercrime og manglende it-sikkerhed.
"It-sikkerhed er forudsætningen for at give den digitale transformation fuld skrue. Samtidig rykker truslen fra internetkriminalitet tættere på, og vi hører stadig oftere om virksomheder, der udsættes for angreb. Det får virksomhederne til at skrue op for investeringerne", lyder vurderingen fra Janus Sandsgaard, digitaliseringschef i Dansk Erhverv i en pressemeddelelse.
Angrebet var ikke målrettet, men tilfældigt
Cyberangrebet Wannacry har ikke været målrettet bestemte systemer, men har ramt det på sin vej gennem, det globale it-landskab, der tilfældigvis var sårbart.
Det forklarer Rune Raunow, som er cand. scient. i datalogi og afdelingsdirektør i software- og systemudviklervirksomheden Systematic A/S, som bl.a. leverer it-sikkerhedssystemer og elektroniske patientjournaler til hospitaler rundt om i Danmark.
At cyberangrebet fx har ramt hospitalssektoren i Storbritannien, men ikke den danske hospitalssektor, er derfor mere et udtryk for, hvilke sektorer, som ikke er opdateret, end at angrebet har været konkret målrettet mod hospitalssektoren i Storbritannien.
"Denne cyberware udnytter en svaghed i Microsoft-systemet, som har været kendt i to måneder. I virkeligheden er det mere et spørgsmål om, hvor disciplinær en sektor har været i at holde systemerne opdaterede", siger Rune Raunow.
"Desuden handler det om, hvor bevidste brugerne er om ikke at klikke på sjove mails med mærkelige links. Der var Danmark heldig stillet, fordi angrebet skete på Store Bededag, hvor lang de fleste danskere holdt fri", uddyber han.
Opdateret sikkerhed er afgørende
Hos Systematic opfordrer man generelt sine kunder til at holde it-systemerne opdateret. Især, når en kunde har forskellige it-systemer, som også er aldersmæssigt forskellige.
En produktionsvirksomhed har fx pc’ere, der hænger tæt sammen med maskiner, og de opdateres typisk ikke så ofte. Det gør dem mere udsatte ved et cyberangreb. Det samme gælder hospitaler, som ikke har et ensartet system ligesom fx et sagsbehandlingssystem i en offentlig styrelse. Derfor kan hospitaler være sårbare ved et angreb, hvis sikkerheden ikke er i top.
"Det specielle ved dette angreb er, at det har kunnet sprede sig på interne netværk. Malwaren har typisk trivedes på store interne netværk. Derfor er det især virksomheder med ikke-ensartede systemer, der er ramt", siger Rune Raunow.
Personfølsomme data gik ikke tabt – i denne omgang
Malwaren har ikke dog ikke kunnet hive data ud af huset, men derimod låst maskinerne i huset. Det svarer til, at nogen har taget din bilnøgle, men altså ikke selve bilen. Derfor tyder heller ikke på at personfølsomme data er gået tabt ved angrebet. Men malware kan tage data, og det kan helt sikkert også ske fremover, forklarer Rune Raunow.
"Der er penge i dette. Rigtig mange virksomheder har valgt bare at betale folk bag denne malware, og markedskræfter fungerer derfor også på dette område. Man skal jo ikke købe mange konsulenttimer, før det billigere bare at betale løssummen for at få låst sine data op igen. Derfor skal man som virksomhed hele tiden vurdere, om ens sikkerhed er høj nok", siger Rune Raunow.
Savner klar dansk strategi
Rune Raunow mener, at Danmark som højt digitaliseret samfund bør have en klar strategi for, hvordan vi beskytter vore digitale infratraktur. Det har vi nemlig ikke i dag.
"Myndighederne har et ansvar, og de skal selvfølgelig forvalte det og sørge for, at systemerne fungerer optimalt. Vi skal dele viden om dette og erkende, at der skal være et samspil mellem private og offentlige aktører".
Både private og offentlige institutioner oplever ifølge ham mere og mere sofistikerede angrebsmønstre. Men også ganske simple værktøjer fungerer til at sprede malware med stor skade.
"Vi skal erkende, at cybertruslen er kommet for at blive, og vi skal derfor hele tiden kigge på, hvad man bør gøre for at holde den på afstand, for det kan lade sig gøre", siger Rune Raunow.