Cybertruslen er reel. Og den bekymrer erhvervslivet som aldrig før. PwC har, i deres Cybercrime Survey 2017, adspurgt 250 danske og 100 norske virksomhedsledere, it-chefer og it- og sikkerhedsspecialister omkring diverse problemstillinger inden for cyberkriminalitet. I undersøgelsen tilkendegiver hele 74 % af respondenterne, at de er bekymrede for at blive udsat for cybercrime.
Og det med god grund. Vi ser flere og flere ransomware-angreb i Skandinavien, og de tager tilmed til i styrke. Angrebene har til formål at skade virksomheden betragteligt. Udover at ramme virksomhederne økonomisk, sigter hackerne nu også efter at skade virksomhedens brand, kundetab og nedlægning af it-systemer i længere perioder.
I sommeren 2017 blev Mærsk ramt af et angreb, der ikke bare førte til et økonomisk tab på lige knap $300 millioner, men også lagde it-systemerne ned i en uge. Endvidere rapporterer 64 % af respondenterne i rapporten også, at de har været udsat for angreb. 37 % melder tilmed, at deres brand tog skade, og at kritiske systemer var utilgængelige over længere tid.
Teknologiens hastige udvikling og hackernes kynisme kalder altså på omstilling og nye procedure i danske virksomheders sikkerhedspolitik. Der skal handles nu.
Medarbejderne er det svageste led
Og der skal sættes lidt anderledes ind. Medarbejderne skal nemlig inddrages.
Mads Nørgaard Madsen er Partner, Security & Technology i PwC, og er én af forfatterne bag undersøgelsen. Han forklarer, at hackerne ofte forsøger at ramme virksomhederne gennem deres ansatte. Simpelthen fordi de udgør det svageste led.
Undersøgelsen viser da også, at det netop er medarbejdernes ubevidste adfærd, som de adspurgte er mest bekymrede for i forhold til kommende angreb. 56 % frygter, at en medarbejder vil indtaste personoplysninger eller klikke på et link, der leder til malware i systemer, når virksomhederne udsættes for phishing.
finduddannelse.dk har derfor rådført sig med Mads om, hvordan virksomhederne bedst sikrer sig, at deres medarbejdere er klædt på til at kunne håndtere cybercrime:
Virksomhedens stærkeste forsvar mod cybercrime findes altså in-house.
Medarbejdernes proaktive rolle i kampen mod potentielle angreb negligeres dog alt for ofte. Der fokuseres i al for høj grad på alt det, de ikke må fremfor at inddrage dem i sikkerhedspolitikken. Mads påpeger, at det er en fejlslagen taktik:
“Virksomhederne kan i stedet med fordel fokusere på at træne de ansatte – via facilitering og dialog – til at være mistænksomme og opmærksomme på hændelser, så der hurtigt bliver taget kontakt til fagfolk, når der dukker mystiske ting op i systemerne. Denne type træning er ikke standarden hos de fleste virksomheder i dag, men der ligger uden tvivl et stort potentiale heri for at stå bedre rustet i kampen mod cybercrime.”
Call to action: Virksomhederne kan nemt sikre sig selv
Virksomhederne har rig mulighed for at beskytte medarbejderne langt mere end de fleste gør i dag. Og de ændringer, der vil gøre forskellen er tilmed overkommelige siger Mads:
“Virksomhederne skal sikre, at rettigheder til data er på et “need-to-know”-niveau, og løbende opdatere alle medarbejderes enheder, herunder mobiler, bærbare PC’er og tablets, så er de også hjulpet godt på vej”.
Sagt anderledes så handler det om, at alle medarbejdere i en virksomhed er briefet omkring både de enkelte elementer i sikkerhedspolitikken og de fare, der lurer. Med god digital skik og enkelte sikkerhedsforanstaltninger er alle langt bedre stillet.
Vil du gerne blive endnu klogere på, hvordan du bedst sikrer dig og din virksomhed mod cyberkriminalitet, så se vores oversigt over kurser i it-sikkerhed lige her.