Er din virksomhed sikret? 7 tegn på, at jeres IT-sikkerhed bør styrkes

Styrelsen for Samfundssikkerhed vurderer, at cybertruslen mod Danmark er alvorlig, og at danske myndigheder, virksomheder og borgere dagligt udsættes for cyberangreb. Det gør cybersikkerhed til et grundvilkår for både store organisationer og mindre virksomheder. Se også: Styrelsen for Samfundssikkerheds vurdering af cybertruslen mod Danmark.

For virksomheder betyder det, at cybersecurity ikke kan håndteres sporadisk eller først prioriteres efter en hændelse. Cloud-platforme, eksterne leverandører, fjernarbejde, automatiserede processer og digitale kundedata gør angrebsfladen større. Samtidig kræver kunder, samarbejdspartnere og regulering i stigende grad, at virksomheden kan dokumentere et passende sikkerhedsniveau.

Når en virksomhed bliver ramt, skyldes det sjældent, at alt er svagt. Ofte opstår problemet i overgangen mellem teknik, ansvar og adfærd. Det kan være adgangsrettigheder, der ikke bliver gennemgået. Backup, der findes, men aldrig er testet. Medarbejdere, der ikke trænes i phishing. Eller et uklart ansvar mellem ledelse, IT og leverandører.

Det er netop her, mange virksomheder undervurderer deres reelle risiko. De har enkelte sikkerhedstiltag, men mangler sammenhæng, prioritering og dokumentation.

 

7 tegn på, at jeres cybersikkerhed bør styrkes

• I ved ikke præcist, hvilke systemer og data der er mest forretningskritiske.
• I har backup, men har ikke testet gendannelse og tid til genetablering.
• MFA er ikke aktiveret på alle relevante systemer og brugerkonti.
• Brugerrettigheder bliver ikke gennemgået løbende.
• Medarbejdere får ikke fast awareness-træning i phishing og sikker digital adfærd.
• Ansvar for sikkerhed er uklart mellem ledelse, IT og leverandører.
• I mangler en testet plan for håndtering af sikkerhedshændelser.

 

Modenhedstjek for cybersikkerhed i virksomheder

 

Hvad bør en virksomhed som minimum have på plads?

1. Overblik over systemer, data og kritiske processer

Virksomheden bør vide, hvilke systemer, data og processer der er mest kritiske for drift, kunder og leverancer. Uden dette overblik bliver sikkerhedsarbejdet ofte tilfældigt.

2. Adgangsstyring og MFA

Adgang skal være arbejdsmæssigt begrundet, begrænset efter behov og gennemgås regelmæssigt. MFA bør være aktiveret på alle relevante systemer, især mail, cloud-platforme, administrative konti og fjernadgang.

3. Opdateringer og sårbarhedshåndtering

Forældede systemer og manglende patching er fortsat en væsentlig risiko. Virksomheden bør have en fast proces for opdateringer, sårbarhedsvurdering og prioritering.

4. Testet backup og beredskab

Backup er først en reel sikkerhedsforanstaltning, når virksomheden ved, at data kan gendannes, og hvor hurtigt driften kan genetableres.

5. Beskyttelse mod phishing og svindel

Tekniske filtre reducerer risikoen, men medarbejderadfærd, klare procedurer og løbende awareness-træning er afgørende. ENISA anbefaler praktiske sikkerhedstiltag og cyberhygiejne som centrale elementer for SMV’er. Læs mere her: ENISA’s Cybersecurity Guide for SMEs.

6. Plan for sikkerhedshændelser

Hvis en hændelse sker i morgen, bør virksomheden vide, hvem der gør hvad inden for den første time. Det gælder både teknisk respons, intern eskalering, kommunikation, dokumentation og eventuelle underretninger.

 

Eksempel: Sådan kan et phishing-angreb udvikle sig

En mellemstor virksomhed bruger Microsoft 365 og samarbejder med flere eksterne leverandører. En medarbejder modtager en mail, der ligner en legitim besked fra en kendt samarbejdspartner. Mailen haster, sproget virker troværdigt, og linket fører til en falsk login-side.

Medarbejderen indtaster sine oplysninger. Kort efter får angriberen adgang til mailboxen. Herfra kan angriberen forsøge betalingssvindel, videresende mails, skjule spor og bevæge sig videre i organisationens miljø.

Hvis virksomheden mangler MFA, klare betalingsprocedurer, awareness-træning og overvågning af mistænkelig login-adfærd, kan én phishing-mail udvikle sig til økonomisk tab, driftsforstyrrelse og tab af tillid.

Cybersikkerhed, NIS2 og ISO 27001

For nogle virksomheder handler cybersikkerhed primært om at få de basale sikkerhedsforanstaltninger på plads. For andre handler det også om at kunne dokumentere et passende sikkerhedsniveau over for kunder, leverandører, bestyrelse eller myndigheder.

NIS2 er et EU-direktiv, der stiller krav til cybersikkerhedsrisikostyring, hændelseshåndtering og ledelsesansvar for omfattede virksomheder. Læs mere om NIS2 hos Europa-Kommissionen

ISO 27001 er en international standard for ledelsessystemer for informationssikkerhed. Standarden giver en struktureret ramme for risikovurdering, sikkerhedsforanstaltninger, ansvar og løbende forbedring. Læs mere om ISO/IEC 27001 hos ISO

Det betyder, at moden cybersikkerhed ikke kun består af tekniske værktøjer. Den består af sammenhæng mellem risici, sikkerhedsforanstaltninger, roller, dokumentation og løbende opfølgning.

 

Sådan styrker I , som virksomhed/ledelse, jeres cybersikkerhed

Start med en realistisk vurdering af jeres nuværende niveau. Det bør ikke kun være en teknisk gennemgang, men en samlet vurdering af risiko, ansvar, processer, medarbejderadfærd og dokumentation.

Stil jer selv disse spørgsmål:

• Ved vi, hvilke angrebstyper der er mest relevante for vores virksomhed?
• Ved vi, hvilke systemer og data der er mest kritiske?
• Har vi styr på adgang, backup, opdateringer og phishing-beskyttelse?
• Ved medarbejderne, hvordan de skal reagere ved mistænkelig aktivitet?
• Har ledelsen et klart billede af ansvar, risiko og næste prioritet?
• Kan vi dokumentere vores sikkerhedsniveau over for kunder, leverandører eller myndigheder?

Hos Nesp.ONE hjælper vi virksomheder med at omsætte krav, risici og driftshensyn til praktisk cybersikkerhed. Det kan være i forbindelse med NIS2, ISO 27001, leverandørkrav, modenhedsvurderinger eller styrkelse af den daglige IT-sikkerhed.

Har I brug for at få vurderet jeres nuværende niveau, kan I kontakte Nesp.ONE for en uforpligtende samtale om næste skridt.