Cybersikkerhed

cybersikkerhed

CYBERSIKKERHED ER BLEVET ET MANGEHOVEDET MONSTER

Natasha Friis Saxberg, adm. direktør i IT-Branchen Læs mere side 4

VI ER PRESSET AF CYBERKRIMINALITET

- MEN SLAGET ER BESTEMT IKKE TABT

Zeki Turedi, Field CTO Europe i CrowdStrike Læs mere side 10

CYBERSIKKERHED ER EN STRATEGISK NØDVENDIGHED

Lars Findsen, oplægsholder på Masterclass Cybersikkerhed og Geopoltik Læs mere side 12

DEN GENERELLE TRUSSEL FRA CYBERANGREB I DANMARK ER MEGET HØJ

Det samme er danske virksomheders kompetence til at levere løsninger, der kan beskytte samfundet, virksomheder og centrale institutioner. Så er det vel bare at gå i gang? Så simpelt er det desværre ikke.

Af Joachim Finkielman, forsvars- og sikkerhedspolitisk chef

Danmark får behov for at øge beskyttelsen af vores samfund mod cyberangreb i fremtiden. Truslen er på visse områder er ”meget høj”, og med tiden forstår vi mere og mere, at cyberangreb potentielt kan lægge vores samfund ned. Derfor er det ikke nogen nem opgave. Leverandørkæder og afhængigheder også på IT området kan være komplicerede og svære at håndtere og forholde sig til. Vi så under corona, at selv vores tætteste samarbejdspartnere havde svært ved at levere kritiske varer som mundbind og håndsprit, på trods af, at vi forinden var under indtryk af, at relationerne var tætte og derfor sikre kilder til leverancer.

Derfor bør vi i bestræbelserne på at skabe et stærkere cyberforsvar også have fokus på forsyningssikkerhed, så vi i enhver situation har de løsninger vi har brug for, og som vi kan have tillid til lige ved hånden. Forsyningssikkerhed har et tilsvarende fokus i den forsvarsforliget som regeringen præsenterede sidste år. Forståelsen af afhængigheder og relationer i cyberspace er ekstremt komplicerede og meget svære af kortlægge. Store dele af den samfundskritiske infrastruktur i dag er privatejet, og derfor i visse henseender udenfor myndighedernes ”rækkevidde”, når det kommer til beskyttelse. Derfor vil det være naturligt, at erhvervslivet og myndighederne i langt højere grad end tidligere får styrket samarbejde i nye partnerskaber. Det handler ikke bare om udveksling af viden om trusler og beskyttelse. Det handler om en ensartet tilgang til beskyttelse og en fælles forståelse af, hvordan sårbarheder kan risikere at ramme. Det handler også om, hvordan vi kan bruge hinandens ressourcer, når uheldet/ angrebet er ude. Og så handler det naturligvis om at investere i løsninger og teknologier, der giver 100% forsyningssikkerhed ikke bare i fredstid, men også i krise og krig.

Det sårbare samfund:

Efterhånden som vores samfund bliver mere og mere digitaliseret bliver vi også mere og mere sårbare overfor trusler i cyberspace. Danmark rangeres i 2023 som det fjerde mest digitaliseret samfund af IMD World Competitivenes center, kun overgået af USA, Holland og Singapore. Sidste år lå vi nummer 1. Landende måles på viden, teknologi og fremtids parathed. Samtidig beskriver en ny rapport fra Check Point Research, at angrebene på cyberområdet er steget med 49% i 2023 fra året før. Det gør Danmark til det mest angrebne land i norden. Det viser noget om, at truslen er reel og at angreb stiger i takt med digitaliseringen. Digitaliseringen knytter bånd mellem sektorer og teknologier, som ikke

tidligere har været forbundne. Den hjælper os med at nyttiggøre de enorme mængder data, som vi indsamler. Digitalisering kan give, den som mestrer implementering og anvendelsen af den, enorme komparative fordele, ikke bare i erhvervslivet, men i samfundet, hvor der kan spares ressourcer, der kan genereres ny viden, og der kan udvikles løsninger på nogle af de mest presserende udfordringer; manglen på arbejdskraft, udvikling af ny medicin, grøn omstilling, håndtering af sikkerhedspolitiske udfordringer for bare at nævne et par eksempler. Digitaliseringen skaber muligheder for vores samfund, men det medfører nye risici for vores samfund som vi i den grad skal tage højde for.. Og disse trusler udvikler sig med samme hast som mulighederne for at udnytte digitaliseringen positivt. Derfor må forsvaret mod cybertrusler gå hånd-i-hånd med digitalisering.

Truslens karakter:

Cyber er efterhånden ved at blive mainstream, når vi taler om udfordringer og trusler. Men begrebet cyber er lang fra nyt og kan blandt andet spores tilbage til 1948, hvor den amerikanske matematikker og filosof Nobert Wiener introducerede begrebet cybernetics. Men mere og mere hører vi om cyberområdet, når vi taler om nye trusler, og trusler som er hybride. Dvs. under tærsklen for konventionelle angreb med militære midler, men samtidig af en karakter, hvor ødelæggelserne potentielt kan være substantielle og samfundstruende.

Center for Cybersikkerhed redegør en gang om året for truslerne på cyberområdet for de næste 2 år. De inddeler truslerne i fem kategorier: Cyberspionage, cyberkriminalitet, cyberaktivisme, destrutive cyberangreb og cyberterror. Den triste nyhed er, at truslen vurderes at være ”meget høj” for spionage og kriminalitet og ”høj” for cyberaktivisme. For destruktive angreb er truslen lav og for cyber terror er vurderingen, at der ikke er en trussel (cyberangreb, som har samme effekt som et konventionelt terrorangreb).

Hvor cyberspionage hovedsageligt begås af stater, særligt Rusland og Kina, med henblik på at få indblik i teknologier, politiske beslutninger m.v., så er cyberkriminalitet organiseret anderledes af individer og grupper, som oftest indgår i netværk og arbejder på tværs af grænser. De kriminelle aktører går målrettet efter økonomiske gevinster.

Flere kilder vurderer, at langt de fleste angreb har kriminalitet som omdrejningspunkt og i mindre grad spionage. Men også truslen fra cyberaktivisme er høj, jf. CFCS’s trusselsvurdering. Det ser vi helt konkret i forbindelse med ukrainekrigen,

hvor pro-russiske aktivister har lavet de såkaldte DDOS-angreb (overbelastningsangreb) både i Europa og USA.

Hvordan håndterer vi truslerne fremadrettet?

Regeringen har ambitioner på digitalisering, som vi har set det med den netop godkendte politiske aftale om en ny digitaliseringsstrategi. Dvs. digitaliseringen intensiveres i de kommende år. Sammenkoblet med den betydeligt forværrede sikkerhedspolitiske situation, så betyder det i mine øjne, at der er behov for yderligere og hurtigere tiltag på cyberområdet. Den nuværende nationale strategi for cyber- og informationssikkerhed udløber i 2024 og først i den forbindelse ønsker partierne i aftalen at drøfte nye tiltag. Det er sent. Vi er ikke for alvor kommet i gang med at forberede os på et cyberangreb, selv om vi er under konstant angreb, og det intensiveres markant i disse år. Derfor er der ingen tid at spilde.

Erhvervslivet har løsningerne:

Når jeg anskuer erhvervslivets kompetencer på dette område, så bliver jeg dybt imponeret over evnen til at udvikle digitale løsninger, der kan afhjælpe samfundsudfordringer. Samtidig er begejstringen lige så stor, når jeg stifter bekendtskab med de efterhånden mange cybervirksomheder, der kan levere konkrete løsninger til at forstå, overvåge, opdage og beskytte vores it-systemer bredt i samfundet. Og også de mange virksomheder, der kan bistå med at genoprette, når først uheldet er ude.

Jeg er ikke ekspert, men jeg oplever, at danske virksomheder i det store hele dækker økosystemet, der er behov for, for at tilrettelægge et bolværk mod de stadigt stigende antal angreb og de høje trusler. Det gælder både hardcore beskyttelse af vores soldater på jorden i operationer og gennem hele kæden op til hovedkvartererne, men det gælder også i samfundet fra beskyttelsen af mobiltelefonen til skattesystemet og elforsyningen.

Men er vi gode nok til at investere i at skabe den forsyningssikkerhed, der vil være behov for, når krisen rammer, og når alle vores partnere i udlandet i første omgang sikrer sig selv? Det mener jeg ikke pt. Det kræver et stærkt partnerskab mellem universiteter, erhvervsliv og myndigheder, det kræver de rette investeringer og det kræver naturligvis, at vi har modet til at træffe de nødvendige politiske beslutninger.

Den danske ekspertise på cyberområdet hjælper i disse dage både i Danmark, Ukraine og bredere i Europa. Vores virksomheder har kompetencer, der sammen med myndighedernes eksperter kan bidrage til at styrke dansk sikkerhed mere markant. Vi er klar til at intensivere dialogen, og der er ikke behov for at vente!

MISINFORMATION OG CYBERSIKKERHED ER DE STØRSTE GLOBALE TRUSLER

Over de næste to år vil AI-genereret misinformation være den største globale trussel skarpt forfulgt at cybersikkerhed.

Det slår over 11.000 ledere fra 113 lande fast i ny rapport.

Af IT-Branchen

Misinformation, AI og cybersikkerhed er hurtigt ved at blive de mest alvorlige globale risikoer, der bl.a. kan true med at forstyrre valgprocesser, forværre samfundsmæssige polariseringer og undergrave demokratiske institutioner.

Sådan lyder nogle af hovedkonklusionerne i The Global Risks Report 2024, der netop er offentliggjort af World Economic Forum. Her er ”Misinformation og desinformation” gået fra en 15. plads sidste år og strøget direkte ind på førstepladsen i år. Cybersikkerhed ligger med en 4. plads også bekymrende højt.

Der er da heller ingen tvivl om, at efterhånden som kunstig intelligens bliver mere tilgængelig for alle, risikerer vi også, at mængden af misinformation og antallet af sofistikerede cyberangreb stiger markant. For pludselig bliver det nemt for alle at bruge AI til at generere falske nyheder, billeder og avanceret stemmekloning. Og det kan have en stor global betydning for vores generelle tillid til samfundet.

Fremtidens teknologi kan true den globale stabilitet World Economic Forum nævner i rapporten, at der i løbet af de næste to år vil være næsten tre milliarder mennesker, der skal stemme i flere lande, herunder USA, Indien, Storbritannien, Mexico og Indonesien.

Her vurderer de adspurgte 11.000 ledere fra 113 lande, at misinformation kan være med til at destabilisere den reelle og opfattede legitimitet af nyvalgte regeringer, hvilket risikerer at øge den politiske uro, vold og terrorisme.

”Vi skal tage truslen om misinformation meget alvorligt, da den kan være med til at forværre den samfundsmæssige polarisering og erodere tilliden til f.eks. regeringer og medier. Det kan føre til en ond cirkel, idet vi alle er mere tilbøjelige til at tro på noget, der bekræfter vores eksisterende overbevisninger og dermed kan sprede falsk information,” udtaler Bent Dalager, partner for NewTech i KPMG og forperson for IT-Branchens policy board for NewTech. Derfor er det også vigtigt, at vi både globalt, nationalt og som enkeltpersoner bliver mere bevidste om risikoen og aktivt modarbejder falske nyheder. Bl.a. ved at få tydeligt markeret, når noget f.eks. er en deepfake.

Anbefalinger fra World Economic Forum

For at imødegå den voksende trussel mod misinformation anbefaler World Economic Forum følgende:

• Invester i forskning og udvikling for bedre at kunne opfange og flage falsk information.

• Udvikling af klare retningslinjer for sociale medier og andre platforme om, hvordan man håndterer misinformation.

• Uddanne borgere om, hvordan man identificerer og undgår falske oplysninger.

• Beskyt ytringsfrihed og borgerlige friheder, samtidig med at der også tages skridt til at bekæmpe spredning af skadelig misinformation.

Cybersikkerhed er en global agenda

Nye AI-baserede værktøjer vil åbne op for nye trusler fra cyberkriminelle, ligesom den stigende automatisering og effektivisering vil gøre it-kriminalitet til en lavrisiko og -investeringsaktivitet.

”Man behøver ikke længere at have tekniske kompetencer for at gå på det mørke internet, og bestille et hacker- eller ransomwareangreb. Alt er professionaliseret med både færdige hackerpakker, succesgaranti, hvidvaskningsløsninger samt 24/7 kundeservice. Den udvikling gør, at vi vil se en fortsat stigning i antallet af cyberangreb,” udtaler Jan B. Lillelund, CTO i IBM Denmark og medlem af IT-Branchens policy board for NewTech. Og med AI som værktøj, kan man hurtigt oversætte phisingangreb til alle sprog samt målrette dem efter helt specifikke personer, på baggrund af personlighedsanalyser. F.eks. kan kriminelle finde ud af, hvornår chefen er på ferie, hvor denne tager hen, og hvordan han/hun normalt kommunikerer, hvorefter de kan skræddersy en mail, hvor de udgiver sig for at være netop chefen, der beder en medarbejder om at overføre penge. Senest har man også. set eksempler på, hvordan it-kriminelle har klonet en datters stemme, og forsøgt at afpresse moderen via en virtuel og falsk kidnapning i håbet om, at datterens desperate (men falske) stemme ville få moderen til at betale en løsesum med det samme.

Cybertruslen er stigende i Danmark

Antallet af cyberangreb mod danske virksomheder steg i 2023 med hele 49% sammenlignet med 2022, og virksomhederne oplever nu i gennemsnit at blive ramt af 2.521 cyberangreb om ugen. På samme tid steg antallet af cyberangreb rettet mod virksomheder blot med 1% globalt, hvilket viser, at cybertruslen mod digitaliserede lande som Danmark er ekstra høj. Det er derfor heller ingen overraskelse, når PwC i deres årlige Cybercrime Survey rapporterer, at 54% da de danske virksomheder bekymrer sig mere for cybertruslen i dag end for 12 måneder siden og at 67% forventer, at deres cyber- og informationssikkerhedsbudget vil vokse inden for de næste 12 måneder.

Jan B. Lillelund, CTO i IBM Denmark og medlem af IT-Branchens policy board for NewTech.

Bent Dalager, partner for NewTech i KPMG og forperson for IT-Branchens policy board for NewTech.

SYV GODE SIKKERHEDSRÅD FRA SIKKERDIGITAL.DK

1. Få overblik over vigtige data og systemer Få overblik over de mest kritiske data og systemer i virksomheden, som bør beskyttes.

2. Opdater programmer løbende Opdatering af programmer og styresystemer hjælper med at lukke flere huller i virksomhedens sikkerhed.

3. Køb antivirus og firewall Antivirus og firewall er to basale sikkerhedsforanstaltninger, som beskytter virksomhedens systemer og data mod angreb.

4. Tag backup af data Mangelfuld eller ingen backup er en af de mest almindelige årsager til, at virksomheder mister deres data.

5. Lær at spotte mistænkelige mails Phishingmails sendt til virksomheder er en udbredt trussel. Klæd virksomheden på til at spotte dem.

6. Lav stærke adgangskoder Stærke adgangskoder har stor betydning for sikkerheden i virksomheden, og gør livet sværere for hackerne.

7. Stil sikkerhedskrav til IT-leverandøren Få hjælp til at stille de rigtige spørgsmål og få bedre styr på sikkerheden i jeres outsourcede IT-løsninger.

CYBERSIKKERHED ER BLEVET ET

MANGEHOVEDET MONSTER

Der går ikke mange dage mellem, at man hører om en ny virksomhed eller branche, der har været udsat for et cyberangreb. Og det er måske ikke så underligt.

Af Natasha Friis Saxberg, adm. direktør i IT-Branchen

Antallet af cyberangreb mod danske virksomheder steg i 2023 med hele 49% sammenlignet med 2022, og virksomhederne oplevede i gennemsnit at blive ramt af 2.521 cyberangreb om ugen. Angreb der ifølge FBI alene i USA gav økonomiske tab for 85,5 mia. kr. i 2023. Samtidig bliver de it-kriminelle mere og mere sofistikerede i deres metoder. Med brugen af kunstig intelligens, automatiserede angrebsprocesser og en strømlinet serviceorganisation i ryggen, er der ingen tvivl om, at vi kæmper mod et mangehovedet monster, der bliver klogere dag for dag. Med andre ord har virksomhedernes cybersikkerhed aldrig har været vigtigere, end den er nu.

NIS2 - En kommende byrde og hjælp

Senere i år træder EU’s NIS2 regulering i kraft, der skal forbedre cybersikkerheden i EU, ved at stille nye krav til virksomheder og offentlige myndigheder.

Det lyder måske som en lille og ligegyldig ting. Men man skal ikke lade sig snyde af den lille intetsigende forkortelse. For NIS2 er nok den største forandring indenfor cybersikkerhed, der nogensinde er kommet fra.

Som udgangspunkt er det ”kun” omkring 1.400 danske virksomheder, der bliver direkte ramt af NIS2-direktivet, og dermed skal leve op til ny omfattende og strikse krav omkring cybersikkerhed.

Men da direktivet kræver, at virksomhederne også skal kunne garantere for alle deres underleverandørers it-sikkerhed og -setup, kommer NIS2 pludselig til også at ramme mange tusinde danske SMV’er, da de typisk er underleverandører til større danske og europæiske virksomheder.

Og da virksomheder, der ikke lever op til kravene, bliver ramt af store bøder, og hvor ledelsen som noget nyt kan miste retten til at være ledere, er der ingen tvivl om, at der vil blive brugte massive ressourcer på at leve op til kravene.

EU-Kommissionen har estimeret, at virksomheder pga. NIS2 fremover skal investere 22% mere i it-sikkerhed, end de gør i dag. Det svarer til en samlet øget udgift på 2,5 mia. kr. for de danske virksomheder.

Der er ingen tvivl om, at NIS2 kommer til at blive set som en ekstra byrde for mange virksomheder. Specielt fordi kravet til dokumentation øges.

Heldigvis vil NIS2 også hjælpe med at løfte den generelle cybersikkerhed på tværs af brancher, så der er god mening med direktivet og investeringerne.

Ansvarshavende redaktør Henning Andersen, henning@partnermedier.dk Projektleder Nicklas Laustsen, nicklas@partnermedier.dk

Journalister Pia Bundgaard Hansen, Henrik Malmgreen Grafisk produktion Majbritt Høger, majbritt@partnermedier.dk Forsidefoto Bax Lindhardt

Cybersikkerheden skal gennemsyre hele organisationen Med det øgede trusselbillede, et kommende NIS2-direktiv samt de store økonomiske konsekvenser for virksomheden, er der ingen tvivl om, at cybersikkerheden ikke længere er noget, der blot skal håndteres i it-afdelingen. Et ransomware-angreb, hvor kriminelle krypter virksomhedernes filer og kræver løsesum, koster i gennemsnitligt 376.350 kroner, for virksomheder med mellem 10 og 49 ansatte. Har virksomheden mere end 50 ansatte, stiger udgiften i snit til omkring 2 millioner kroner ved et angreb, kunne TDC Erhverv fortælle i sidste uge.

Hele virksomheden, fra bestyrelse og ledelse til den enkelte afdeling og medarbejder skal derfor uddannes i, hvordan de kan være med til at spotte og bekæmpe cybertruslen. Ikke bare fra deres arbejdscomputer, men også fra deres mobil, tablet og via hjemmekontoret.

Vi håber derfor også, at denne publikation kan være med til at sætte fokus på de mange områder, man som virksomhed skal mestre og samtidig kommer med nogle løsninger og ideer til, hvordan man kan øge cybersikkerheden i virksomheden.

K ære Læser

Indholdet i denne udgivelse er bl.a. blevet til i samarbejde med vores mange sponsorer og annoncører.

Vores tekstforfattere og journalister har gjort sig umage med at finde og skrive indhold til dig, som vi håber vil give dig god information o g inspiration. God læselyst!

Vi tager forbehold for evt. trykfejl og farveafvigelser.

Udgiver:

Distribueret i samarbejde med Berlingske

SÅDAN SÆTTER LEDELSEN STANDARDEN FOR CYBERSIKKERHED

Når EU’s NIS2-direktivt bliver implementeret i Danmark i efteråret 2024, betyder det skærpede sikkerhedskrav til en bred skare af virksomheder. Med det nye direktiv får ledelsen også et større ansvar. DNV, der er en af verdens førende udbydere af certificeringer inden for cyber- og informationssikkerhed, opfordrer virksomhederne til at bruge den anerkendte ISO 27001 standard til at drive arbejdet med at sikre overholdelse af NIS2. Standarden kobler kravene i NIS2 og informationssikkerhed med god virksomhedsledelse.

Cyberangreb på kritisk infrastruktur bliver hyppigere og er en reel trussel mod de europæiske samfund - også det danske. Det så vi i foråret 2023, hvor en række forsyningsvirksomheder afværgede et angreb. Med NIS2-direktivet bliver der stillet bredere og dybere krav til at øge sikkerhedsniveauet i virksomheder, der arbejder med kritisk infrastruktur. ”Med det nye direktiv er virksomhederne forpligtet til at have en politik, en metode og en frekvens til at evaluere deres informationssikkerhed, hvilket ligger i tråd med at have et ISO-baseret ledelsessystem,” siger Diana Görlitz, der er lead auditor i DNV Business Assurance Denmark A/S, og hun uddyber: ”Cyber- og informationssikkerhed er for alvor kommet på den ledelsesmæssige agenda. ISO 27001 er den ”best practice” standard, der kobler informationssikkerhed og god virksomhedsledelse sammen. ISO 27001 hjælper virksomhederne med at beskytte kritiske oplysninger, data og systemer og med at sikre overholdelse af gældende lovgivning som fx kravene i NIS2.”

Ledelsesstandarden ISO 27001 er en af verdens mest udbredte metoder til at styre cyber- og informationssikkerheden, som allerede bruges af tusindvis af virksomheder globalt. Hvis man arbejder med ISO 27001 og bliver certificeret efter kravene i den, så er det også et krav, at man overholder lovgivningen, også når det gælder NIS2. Derfor er netop ISO 27001 et oplagt værktøj til at drive compliancearbejdet med.

Ledelsen skal kende NIS2

Det nye NIS2 direktiv stiller blandt andet krav til ledelsesforankret risikostyring og fælles indberetning af cybersikkerhedshændelser. Det betyder, at ledelsen helt op på bestyrelsesniveau skal kende kravene i NIS2 og styre risici på et strategisk niveau. ”ISO 27001 tager udgangspunkt i en risikobaseret tilgang til styring af informationssikkerhed. En certificering i standarden er samtidig et udtryk for, at ledelsen kan dokumentere, at de har kompetencerne til at arbejde med sikkerheden og dermed overholde kravene i NIS2,” siger Diana Görlitz og uddyber: ”Fordelen ved at bruge ISO 27001 og blive certificeret er, at virksomhederne får et godt ledelsesværktøj til at nå sine mål og samtidig betyder certificeringen, at virksomheden bliver holdt op på sine processer, så der er en rød tråd for både ledelsen og medarbejderne.”

Kom i gang med certificeringen

For at hjælpe virksomheder godt i gang har DNV, der på verdensplan har udstedt mere end 90.000 certificeringer, skræddersyet en række uddannelser til de virksomheder, der bliver omfattet af det nye direktiv, og som skal implementere et ledelsessystem. Og DNV tilbyder desuden også et gratis kortlægningsværktøj, som kan bruges, hvis man vil i gang med ISO 27001.

”At have de rette kompetencer er afgørende for at drive en ansvarlig cyber- og informationssikkerhed, og det understreger NIS2, når der er krav om, at topledelsen faktisk skal være direk-

te involveret i risikovurderingen. Så for mange ledere vil et kursus ikke bare være en god ide, men en nødvendighed, hvis man skal dokumentere overfor myndighederne, at man overholder den kommende lovgivning”, forklarer Diana Görlitz.

Hvem er omfattet af NIS2?

Det er væsentligt at vide om man er direkte omfattet af NIS2. Og dem, der er direkte omfattet, er blandt andet brancher som energi, transport, bankvæsen, finansielle markedsinfrastrukturer, sundhed, drikkevandsforsyning og distribution, digital infrastruktur og online markedspladser, online søgemaskiner, clouding, spildevand og affaldshåndtering, offentlig administration, rumfart, fødevareproduktion, behandling og distribution, fremstilling af visse vigtige produkter, fx medicinske, post og kurertjenester, fjernvarme og distribution, datacentre og sociale platforme.

Men selv om din virksomhed ikke er direkte omfattet, kan den blive ramt indirekte via kunder eller samarbejdspartnere. Hvis man er i tvivl, er det en god ide, at få foretaget en applicabilitetsvurdering af et advokatfirma med speciale i NIS2. Implementeringen af NIS2 får dansk retsvirkning i efteråret 2024. Selv om datoen er udskudt til efter den oprindelige deadline i oktober 2024, så er tiden knap, hvis man som virksomhed skal nå at have alle de nødvendige sikkerhedsforanstaltninger på plads. Virksomheder, der ikke overholder NIS2-kravene, kan forvente bødestraffe på op mod 2-4 mio. euro eller 1-2% af deres globale omsætning.

DNV er et af verdens førende certificeringsorganer. Gennem certificering af ledelsessystemer og kurser hjælper vi virksomheder med at håndtere risici, sikre overholdelse af krav og skabe bæredygtig drift af virksomheder, for mennesker og i hele værdikæden.

Læs mere på www.dnv.dk/nis2

virksomhederne forpligtet til at have en politik, en metode og en frekvens til at evaluere deres informationssikkerhed, hvilket ligger i tråd med at have et ISO-baseret ledelsessystem

lead auditor DNV Business Assurance Denmark

DIGITALE TRUSLER BEKYMRER DANSKERNE

Er du bekymret for at blive hacket eller for hvilke oplysninger, du giver fra dig, når du bruger internettet? Så er du langt fra den eneste. En undersøgelse foretaget af Elgiganten viser nemlig, at danskerne i stigende grad er bekymret for digitale trusler. Ekspert peger på gode råd og vejledning som et vigtigt redskab i kampen mod digitale trusler.

FAKTA

Om undersøgelsen

Undersøgelsen Tech Trouble er gennemført af analyseinstituttet YouGov for Elgiganten. Der er i alt gennemført 1018 CAWI-interview med danskere i alderen 18+ år i perioden 17. - 20. april 2023. Data er indsamlet, så det udgør et repræsentativt udsnit af den danske befolkning med udgangspunkt i målgruppen. Undersøgelsen giver indsigt i danskernes holdninger, viden og adfærd i forbindelse med teknologi og elektronik i hjemmet. Elgiganten har gennemført denne type undersøgelse siden 2008 med et ønske om at bidrage til et mere inkluderende samfund og mindske den digitale eksklusion.

Læs hele undersøgelsen her: https://www.elgiganten.dk/om-elgiganten/ samfundsansvar/digital-eksklusion

Vores samfund gennemgår i disse år en rivende teknologisk udvikling, hvor flere og flere tjenester digitaliseres. Det gælder både i det offentlige og private. Mange af dagligdagens værktøjer er rykket online, heriblandt e-Boks, Netbank og MitID. Det er noget, der bekymrer mange danskere. For når vi bevæger os rundt på internettet, sætter vi en masse digitale fodspor og afgiver et væld af oplysninger - og med det stiger bekymringen for digitale trusler.

Det viser en undersøgelse foretaget af YouGov for Danmarks førende varehuskæde Elgiganten. Ifølge undersøgelsen er næsten 40% af danskerne bekymrede eller meget bekymrede for at blive hacket. Men hvad skal der til for at minimere bekymringer og trusler om digital sikkerhed?

Elgiganten ser stigning i efterspørgslen på rådgivning om digital sikkerhed

Undersøgelsen afslører en betydelig mangel på viden om digital sikkerhed. Næsten halvdelen af danskerne (45%) ved ikke, hvilke oplysninger de giver fra sig, når de bruger internettet. Mere end hver fjerde (27%) ved ikke, hvordan de finder de data, de har gemt i skyen.

Og hvis man bliver hacket, ved 60% af danskerne ikke, hvor de skal henvende sig.

Hos Elgiganten er man vant til at rådgive kunder om pro-

dukter og det kan mærkes at efterspørgsel på rådgivning om digital sikkerhed er steget markant.

Det er derfor noget, der bruges mere og mere tid på i mødet med kunden for at sikre, at kunderne forlader Elgigantens varehuse med det bedst mulige udgangspunkt for en sikker online færden.

Peder Stedal, adm. direktør for Elgiganten, mener, at store organisationer som dem selv bør spille en aktiv rolle i at rådgive danskerne i digital sikkerhed: “Som markedsleder har vi et ansvar over for både kunder og samfund. Undersøgelsen bekræfter behovet for øget viden om digital sikkerhed – og her vil vi gerne gå forrest. Vi vil ikke kun give danskerne adgang til teknologi og produkter. Vi vil også gerne hjælpe dem med at navigere sikkert i den digitale verden uden at skulle frygte for at blive hacket. Vi forsøger derfor at ruste vores kunder landet over med den nødvendige viden og værktøjer til at beskytte sig selv og deres data online. Tegner man for eksempel en supportaftale hos os, kan man som kunde altid komme forbi med telefon, laptop eller tablet for at få hjælp til vigtige opdateringer og råd om digital sikkerhed.”

Hvem bærer ansvaret?

Men hvem har ansvaret for at sikre den digitale viden og ruste os til digital sikkerhed? Ifølge undersøgelsen mener 28% af befolkningen, at ansvaret ligger hos politikerne. Derimod svarer mere end hver tredje (34%), at ansvaret ligger hos det enkelte individ. Spørger man Jens Myrup Pedersen, der er

40% af danskerne er bekymrede eller meget bekymrede for at blive hacket

45% af danskerne ved ikke hvilke oplysninger de giver fra sig, når de bruger internettet

60% af danskerne ved ikke hvor man skal henvende sig, hvis man bliver hacket

SÅDAN SIKRER DU DIG BEDST MULIGT MOD AT BLIVE HACKET:

• Brug komplekse, unikke adgangskoder for hver online konto. En god adgangskode indeholder både tal, bogstaver (store og små) og specialtegn (#?!).

• Hold alt elektronisk udstyr opdateret. Opdateringer indeholder ofte vigtige sikkerhedsrettelser.

• Brug to-faktorgodkendelse. Det betyder i al sin enkelthed, at man skal gennem to trin for at logge ind.

• Vær kritisk og opmærksom på hjemmesider, e-mails og afsendere, du ikke kender.

• Har du vundet en bil eller en rejse, men har ikke deltaget i en konkurrence? Så er det for godt til at være sandt og du skal lade være med at klikke videre!

HVIS DU ER BLEVET HACKET:

1. Kontakt din bank med det samme, hvis du har oplyst bank- eller kreditkortoplysninger.

2. Skift straks din adgangskode på alle hjemmesider eller tjenester, hvor din adgangskode bruges.

3. Anmeld ID-tyveri til politiet og banken. Anmod om en kreditspærring hos kreditoplysningsbureauerne.

”

Undersøgelsen bekræfter behovet for øget viden om digital sikkerhed –og her vil vi gerne gå forrest.”

Peder Stedal, adm. direktør Elgiganten

professor i cybersikkerhed på Aalborg Universitet, er det et fælles ansvar at sikre digital viden, så vi alle kan begå os mere sikkert på internettet.

Jens Myrup Pedersen: “Det er bekymrende, at så mange danskere ikke ved, hvordan de skal beskytte sig mod digitale trusler. Det er afgørende, at både individer og organisationer arbejder sammen for at uddanne og rådgive folk omkring digitale sikkerhedsforanstaltninger. Jo mere vi ved og forstår, desto bedre er vi rustet til at beskytte os selv og vores data online.” Og det er faktisk nogle simple trin, der skal til for at beskytte sig selv imod digitale trusler.

KOM GODT I GANG MED NIS2

Virksomhederne står over for både tekniske og forretningsmæssige krav, når NIS2-direktivet, der skal styrke cybersikkerheden træder i kraft. Hos it-konsulentvirksomheden og Microsoft partneren Fellowmind er de klar til at guide virksomheder og organisationer, så de lever op til de nye lovkrav.

Hver dag bliver danske virksomheder udsat for cyberangreb. Helt nye tal fra TDC viser, at hver anden store danske virksomhed har været udsat for hackerangreb, og truslen er stigende. Det skader både virksomhedernes økonomi og omdømme, når de bliver angrebet. NIS2 skal sikre, at den kritiske infrastruktur i Europa bliver løftet op på et sikkerhedsniveau, der er forsvarligt i forhold til nutidens risikobillede. NIS2-direktivet stiller derfor krav til virksomhederne om at have en strategi og handleplaner for cybersikkerheden.

”Det nye direktiv stiller krav til ledelsen i virksomheder og organisationer i 19 forskellige brancher, der arbejder med kritisk it-infrastruktur. Direktivet betyder, at ledelsen får et ansvar for måden at håndtere cyberrisici og rapportering til myndighederne, hvis der sker brud på cybersikkerheden,” forklarer Frederik Stengaard Mehlsen, Technical Solution Manager CISM hos Fellowmind. I den paneuropæiske virksomhed arbejder omkring 2.000 konsulenter, der hjælper kunderne med at accelerere deres digitale transformation ved at bruge Microsoft cloud-løsninger, implementere integrerede platforme og hjælpe slutbrugere.

Ledelsen bliver stillet til ansvar

NIS2 kommer til at betyde, at ledelsen i virksomheder og organisationer får et direkte ansvar for it-sikkerheden i virksomheden. Kravene til sikkerhedsforanstaltningerne i virksomheder og organisationer bliver skarpere, ledelsen kan blive holdt ansvarlige for brud på direktivet, og endelig vil der fra myndighedernes side blive ført skarpere tilsyn.

Direktivet stiller krav om øget uddannelse af både ledelsen samt personale, så de er i stand til at vurdere risici forbundet med cybertruslen.

”De forretningsmæssige krav i NIS2 handler blandt andet om at få uddannet ledelsen til at arbejde med cyberrisici og sikkerhed generelt, så de har en strategi for virksomheden, hvis den bliver angrebet. Derudover skal medarbejderne også trænes i sikkerhed, så medarbejderne ved, hvad de skal være opmærksomme på af cybertrusler, samt hvordan de skal agere, hvis uheldet er ude,” forklarer Frederik Stengaard Mehlsen.

Bliv trænet til NIS2

Hos Fellowmind har de udviklet et træningsprogram, der klæder virksomhederne godt på til at forstå kravene i NIS2, få direktivet implementeret og få lagt en strategi om cybersikkerhed.

HVAD SKAL VIRKSOMHEDER OG ORGANISATIONER EFTERLEVE?

Artikel 21 i direktivet fremsætter de krav, som en enhed underlagt NIS2 direktivet som minimum skal efterleves:

1. Politikker for risikoanalyse og informationssystemsikkerhed

2. Sikkerhedsforanstaltninger i forbindelse med håndtering af hændelser, herunder forebyggelse opdagelse og reaktion

3. Sikkerhedsforanstaltninger i forbindelse med driftskontinuitet og genskabelse

4. Sikkerhedsforanstaltninger i forbindelse med forsyningskædesikkerhed, herunder leverandørstyring

5. Sikkerhedsforanstaltninger i forbindelse med erhvervelse og udvikling af informationssystemmer

6. Test og revision til vurdering af effektiviteten af foranstaltninger

7. Sikkerhedsforanstaltninger i forbindelse med brug af kryptografi og kryptering

Læs mere på www.fellowmind.com

”Den tekniske del af NIS2 handler om at sikre alt - lige fra medarbejderne bruger multifaktor på deres enheder til at spotte, hvis uvedkommende enheder er på netværket. virksomhederne skal være klædt på til at lokalisere og modstå et angreb.”

Kom godt fra start

Virksomheder og myndigheder har allerede stiftet bekendtskab med gennemgribende ændringer som NIS og GDPR, og nu kommer turen til NIS2. De væsentligste forskelle til NIS-direktivet er, at med NIS2 bliver langt flere sektorer omfattet. Lovkravene i NIS2 vil bl.a. omfatte private virksomheder i it-, energi-, transport-, sundheds-, finans- og fødevaresektoren samt den offentlige sektor.

”Vi vil anbefale virksomhederne at komme i gang med at implementere NIS2, så de ikke venter til sidste øjeblik,” siger Frederik Stengaard Mehlsen og uddyber:

”Vi er klar til at klæde virksomhederne og organisationerne på til de nye lovkrav. Vi har specialister i særligt Microsoft baserede sikkerhedsværktøjer, kan analysere risici, uddanne medarbejdere og ledelse samt hjælpe med overvågning af infrastrukturen.”

”Vi vil anbefale virksomhederne at komme i gang med at implementere NIS2, så de ikke venter til sidste øjeblik ”

Frederik Stengaard Mehlsen, Technical Solution Manager CISM Fellowmind

MOBILTELEFONEN UDGØR EN TRUSSEL MOD SIKKERHEDEN HOS SMV’ERNE

”Virksomhederne bør derfor have en politik og en handlingsplan for, hvad der sker, når en mobil enhed bliver angrebet, hvilket det nye NIS2-direktiv også lægger op til,” udtaler Mikkel Kruse, direktør for Telenor Erhverv.

Smartphones bliver angrebet på lige fod med computere, men mange virksomheder overser, at mobile enheder som telefoner og tablets kan udgøre en sikkerhedsrisiko. Det er især et problem for de små og mellemstore virksomheder, hvor medarbejderne oftere arbejder fra mobilen.

Tal fra Check Point Research viser, at antallet af cyberangreb mod danske virksomheder steg med hele 49 % i 2023 sammenlignet med tallene fra 2022. Samtidig har hver sjette af landets små og mellemstore virksomheder ifølge Digitaliseringsstyrelsen ikke implementeret backup af data og systematisk opdatering af software, som er blandt de mest basale it-sikkerhedstiltag. Tallene viser med al tydelighed, at de små og mellemstore virksomheder er udsatte.

”Over 50% af brister i cybersikkerheden skyldes menneskelige fejl; fx når en medarbejder kommer til at trykke på et ondsindet link. Derfor bruger virksomhederne naturligt mange ressourcer på at sikre computerne, men mange overser, at mobilen har erstattet pc’en, når medarbejderne går på nettet, fx for at læse en arbejdsmail. Den samme telefon bliver brugt til online-shopping, til private opdateringer på sociale medier, socialt samvær og opbevaring af personlige billeder,” siger Mikkel Kruse, der er direktør for Telenor Erhverv, og han uddyber:

”Her står de små og mellemstore virksomheder i en særlig sårbar situation, da de ofte har begrænsede ressourcer til at holde sig opdaterede på de nyeste tendenser, til at investere i de nødvendige it-tiltag og til at uddanne medarbejderne. Tre helt grundlæggende elementer i et godt cyberforsvar.”

Telenor Erhverv er derfor gået sammen med Cisco om at udvikle en række opkvalificerende digitale tilbud, der er nemme at gå til for de små og mellemstore virksomheder.

Truslen tages ikke seriøst nok

I en befolkningsundersøgelse foretaget af Telenor i 2023 svarede kun 15 % af danskerne, at de er bekymrede for at miste arbejdsrelateret information på mobilen, mens hele 46 % er bekymrede for at miste personligt indhold på telefonen.

”Tallene viser tydeligt, at sikkerheden på de mobile enheder ikke prioriteres højt, selv om enhederne indeholder virksomhedsinformation og derved kritisk data, som ofte er helt ubeskyttet, og så står døren potentielt åben for hackerne,” forklarer Mikkel Kruse.

Nye angreb kalder på nye politikker Telenor Erhverv opfordrer blandt andet virksomhederne til at have retningslinjer og politikker for brug af mobile enheder, at sikre at mobilernes styresystemer er opdaterede og at træne medarbejderne i cybersikkerhed, så de fx bruger sikre passwords.

I den senere tid er der kommet nye former for ransomwareangreb. Tidligere var tendensen, at hackere krypterede virksomhedernes data og opkrævede en løsesum for at frigive dem. I dag har hackerne fokus på datatyveri, hvor de afpresser virksomheder ved at true med at offentliggøre stjålne data. ”Hackerne leder hele tiden efter nye veje, så virksomhederne bør være på forkant og opdatere deres sikkerhedspolitikker og forsvarsmetoder,” siger Mikkel Kruse og uddyber: ”Virksomhederne bør derfor have en politik og en handlingsplan for, hvad der sker, når en mobil enhed bliver angrebet, hvilket det nye NIS2-direktiv også lægger op til. ”

Få den rette løsning

Den øgede sikkerhedstrussel er en af årsagerne til, at sikkerhed fylder stadig mere hos Telenor Erhverv. Ifølge Mikkel Kruse kan man ikke længere tale om telefoni og internet uden også at tale om sikkerhed, og derfor tilbyder Telenor Erhverv i dag en række løsninger til virksomheder i alle størrelser, både private og offentlige, som kan mindske truslerne mod bl.a. de mobile enheder. Virksomhederne kan styre graden af beskyttelse for de mobile enheder, begrænse brugen af specifikke apps og wipe enhederne eksternt, hvis de skulle falde i de forkerte hænder eller blive tabt, så virksomhedens data ikke misbruges af uvedkommende. Derudover tilbyder Telenor Erhverv produktet SafeZone, et såkaldt DNS-filter, som gennem automatisk blokering af mistænkelige hjemmesider beskytter virksomhedernes data, når medarbejderne surfer på mobilnetværket. Med SafeZone lander medarbejdere ikke på en svindelside, men blokeres i stedet, hvis de klikker på et ondsindet link.

”SafeZone er et rigtig godt eksempel på, at der allerede nu findes omkostningseffektive sikkerhedsprodukter på markedet, som er lige til at tage ned fra hylden. Det er med kombinati-

onen af lettilgængelige plug’n’play-løsninger og en høj grad af opmærksomhed og bevidsthed om cybertruslerne at vi kan få skabt et mere sikkert erhvervsklima,” siger Mikkel Kruse fra Telenor Erhverv.

Kom godt i gang

Hos Telenor Erhverv er sikkerhedskonsulenterne klar til at rådgive virksomhederne og hjælpe med at implementere løsningerne, så medarbejderne trygt kan bruge de mobile enheder.

FAKTA

Tre gode råd til at sikre virksomhedens smartphones:

1. Opsæt et sikkerhedsfilter, som blokerer for adgangen til svindelsider, hvis medarbejderne kommer til at klikke på et skadeligt link.

2. Implementer såkaldt Mobile Device Management, som sikrer, at enhederne styres centralt, så virksomhedens data kan låses eller slettes, hvis enheden kompromitteres.

3. Prioritér uddannelse og awareness. Langt de fleste angreb sker på grund af menneskelige fejl, så hvis man uddanner sine medarbejdere og holder dem på tæerne, mindsker man risikoen markant.

Læs meget mere på

www.telenor.dk/erhverv/sikkerhed/

VI ER PRESSET AF CYBERKRIMINALITET - MEN SLAGET ER BESTEMT IKKE TABT

Selv om ”2024 Global Threat Report” fra it-sikkerhedsvirksomheden CrowdStrike viser, at hackergrupperne virkelig har trådt på speederen og intensiveret deres angreb mod virksomheder og organisationer, har vi ikke tabt slaget. Vi kan sagtens hamle op med hackerne og beskytte os, men det kræver agilitet og ikke mindst investeringer.

Det kan næppe komme som nogen overraskelse, at truslen fra cyberkriminalitet er støt stigende. Vi ved alle, at hackerne står lige uden for døren og banker på, og bankelydende bliver stadig mere intense. Det der for alvor må chokere, er den utrolige hastighed og opfindsomhed hackerne benytter sig af for i det skjulte at trænge ind i en virksomheds eller organisations it-infrastruktur. Dynamikken i angrebene er ganske enkelt blevet langt mere intens end tidligere. Således viser ”2024 Global Threat Report” fra den amerikanske it-sikkerhedsvirksomhed CrowdStrike, at især hastigheden for et angreb er blevet alarmerende højere. I forhold til sidste år er gennemsnitstiden fra indtrængen til angreb således faldet fra 84 til 62 minutter, men i den seneste rapport dokumenteres det også, at det

hurtigste angreb blev rullet ud blot 2 minutter og 7 sekunder efter, at hackerne var trængt gennem forsvarssystemerne.

Skyen er den nye slagmark

Det er tiende gang, CrowdStrike offentliggør sin årlige sikkerhedsrapport, og den analyserer aktiviteterne fra mere end 230 internationale hackergrupper. En af de mest tydelige tendenser i rapporten er, at hackerne - eller eCrime Actors, som CrowdStrike kalder dem i deres terminologi - for alvor har fået øjnene op for cloudmiljøet. Det må siges, at være dybt bekymrende, fordi virksomheder og organisationer i stadig højere grad bliver tiltrukket af mulighederne i skyen. Skyen som ny slagmark dokumenteres af, at det, som rapporten kalder for angreb, der bevidst er målrettet skyen, er steget med intet mindre end 110% samt, at 84% af disse er udført af professionelle hackergrupper, altså de såkaldte eCrime Ac-

tors. Gennemgående er rapporten ganske trist og nedslående læsning, og et helt naturligt spørgsmål at stille er, om ikke vi har tabt slaget og bør flytte alle data hjem i kælderen. Til det siger Field CTO Europe i CrowdStrike, Zeki Turedi:

Vær parat til at møde truslerne

”Overhovedet ikke. Alle it-systemer, også on-premise, kan udfordres, så det bliver skyen selvfølgelig også, men det er vigtigt at understrege, at når en virksomhed eller organisation begynder rejsen ind i skyen, er det ekstremt vigtigt, at alle aktiviteter pakkes ind i sikkerhed lige fra start. Det kan ikke nytte noget at vente med sikkerheden til senere. Den skal på plads med det samme, og det kan sagtens lade sig gøre,” siger altså Zeki Turedi.

Han understreger ligeledes, at vi bestemt ikke har tabt slaget mod hackerne og, at vi med det rette kendskab til og den ret-

te forståelse for de trusler, vi møder i hverdagen, sagtens kan være et skridt foran hackerne i stedet for at være et skridt bagefter. Det kan godt være, at hackerne bliver dygtige til at anvende kunstig intelligens i deres angreb, men virksomheder og organisationer kan være mindst lige så dygtige til at undgå dem, hvis de investerer i sikkerhed, mener altså Zeki Turedi.

Pas på identitet og adgangskoder

Selv om mange taler om det, mener han ikke, det er kunstig intelligens, der er den største udfordring rent sikkerhedsmæssigt. Naturligvis spiller kunstig intelligens en rolle, men den gør det i kombination med en række andre udfordringer. Så hvis Zeki Turedi skal udpege ét alt over skyggende problem i diskussionen om it-sikkerhed, påpeger han, at langt de fleste angreb initieres på baggrund af tyveri af identitet og adgangskoder.

”Derfor er det vigtigere end nogensinde før, at virksomheder og organisationer sørger for at beskytte både medarbejdere, kunder, borgere og samarbejdspartnere således, at vi kan sikre følsomme data, blandt andet gennem Endpoint Security, altså sikkerhed gennem hele kommunikationskæden. Vi har værktøjerne til det, og det værste, vi kan gøre, er ikke at tage udfordringen seriøst,” uddyber Zeki Turedi.

Oplysning er det bedste forsvar

Awareness, altså opmærksomhed på problemerne og udfordringen, er et begreb, der ofte anvendes i forbindelse med it-sikkerhed, og især mangel på samme.

Derfor ser Zeki Turedi da også en opdragende effekt i den årlige sikkerhedsrapport, selv om den principielt kan være trist læsning.

Det er vigtigt at forholde sig til de sikkerhedsemner, som rapporten beskriver, og de skal bestemt ikke læses som noget negativt, men være med til at åbne vores øjne, for hvad det er nødvendigt at gøre.

”Sandheden er, at alle organisationer vil blive ramt og, at alle virksomheder vil opleve sikkerhedsbrister. Derfor starter enhver indsats med Awareness, og det er helt klart et af formålene med vores rapport. Vi er nødt til at oplyse omverdenen ud fra et sikkerhedspolitisk perspektiv med henblik på at undgå

at din virksomhed eller organisation bliver det næste offer. Men det kræver både en hurtig indsats og de rigtige værktøjer,” forklarer Zeki Turedi.

Flere skræddersyede angreb

Som nævnt viser rapporten en kraftig stigning i antallet af angreb via tyveri af identitet og adgangskoder. Det hænger blandt andet sammen med, at antallet af de såkaldte ”handson-keyboard” aktiviteter er steget med 73% alene i sidste halvår af 2023. Det betyder, at hackergrupperne ikke længere blot fyrer scripts med spredehagl ud i cyberspace, men at en hacker så at sige personligt og individuelt retter angrebet mod et specifikt mål.

”Blandt andet derfor ser vi også en stigning i antallet af angreb rettet mod skyen, hvor det i forhold til et proprietært on-premise system kombineret med en teknologi som kunstig intelligens kan være svært at gennemskue, hvad der er normal, og hvad der er skadelig trafik i en virksomheds eller organisations it-infrastruktur. Alt andet lige er kunstig intelligens nemlig med til at sænke barren, når det gælder kendskab til at udføre angreb, lige som de bliver mere avancerede,” siger Zeki Turedi.

En trussel mod demokratiet?

Angrebene kommer altså i mange skikkelser og ud over at rette sig mod virksomheder samt organisationer og deres it-infrastruktur, retter de sig i stadig højere grad også mod den samfundsmæssige infrastruktur. Ifølge CrowdStrike er der planlagt nationale valg i mere end 40 lande alene her i 2024, lige som der tegner sig et amerikansk præsidentvalg i horisonten. Ud over Ddos-angreb, tyveri af data og afpresning skal misinformation også anses for en risikofaktor.

”Vi skal klart tage den risiko, der ligger i misinformation alvorligt. Hvis ikke vi gør det, kan hackergrupperne sagtens være en trussel mod demokratiet, det vil sige både vores samfund som et hele og mennesket som enkeltindivid. Jeg tror dog ikke, der er nogen grund til at gå i panik, for grundlæggende synes jeg de demokratiske samfundssystemer er ganske stabile - men vi skal klart være bevidst om risikoen,” slutter

Zeki Turedi.

”De såkaldte eCrime Actors har i høj grad forstået og lært, hvorledes cloudmiljøerne skal angribes. Derfor er det essentielt, at virksomheder og organisationer tænker sikkerhed ind i alle de aktiviteter, der foregår i skyen.”

FAKTA

5 GODE RÅD FRA CROWDSTRIKE

• Effektiv identitetsbeskyttelse er en nødvendighed. Benyt multifaktorgodkendelse.

• Prioritér beskyttelse af alle applikationer og aktiviteter i skyen.

• Skab transparens på tværs af de mest kritiske systemer i virksomheden.

• Hackergrupperne har trådt på speederenkan din virksomhed følge med?

• Opbyg en sikkerhedskultur i virksomheden eller organisationen.

Læs mere på www.crowdstrike.com

Lars Findsen, oplægsholder på Masterclass Cybersikkerhed og Geopoltik

CYBERSIKKERHED ER EN STRATEGISK NØDVENDIGHED

En stærk bestyrelse med de rette kompetencer er et afgørende skridt i at beskytte sig effektivt mod cybertrusler. Board Education ApS har lanceret Masterclass Cybersikkerhed og Geopolitik, der bl.a. forbereder virksomhederne på NIS2. En af underviserne på uddannelsen, tidligere chef for PET og FE, Lars Findsen, fortæller om, hvorfor det er vigtigt, at bestyrelsen og ledelsen forstår det geopolitiske landskab og den voksende trussel, som cyberangreb udgør, og aktivt deltager i beslutninger om cybersikkerhed.

Truslen om cyberangreb er blevet en del af hverdagen for danske virksomheder, og det er mere relevant end nogensinde, at direktions- og bestyrelsesmedlemmer forstår dette - samt de ændrede geopolitiske vilkår på globale markeder, så de kan håndtere de risici og muligheder, der eksisterer i det omskiftelige trusselslandskab.

PwC’s Cybercrime Survey 2021 viser, at der er plads til forbedring, når det kommer til bestyrelsesmedlemmers træning i cyber- og informationssikkerhed. Analysen viser, at kun 37 % af de adspurgte angiver, at de modtager træning i cyber- og informationssikkerhed.

”Cyberkriminelle er lige så opportunistiske som simple indbrudstyve. Derfor går de efter de virksomheder, som er svagest beskyttet. Så er din virksomhed dårligere beskyttet end andre virksomheder, er du langt mere udsat for, at det netop er din virksomhed, der bliver ramt. Og det kan blive rigtig dyrt - både på pengepungen - og renomméet,” understreger Lars Findsen, der er en af oplægsholderne på Masterclass Cybersikkerhed og Geopolitik, der nu lanceres af Board Education. Virksomheden tilbyder bestyrelsesuddannelser og sparring til både erfarne og mindre erfarne bestyrelsesmedlemmer samt personer, der har interesse i at arbejde med bestyrelsesarbejde. Board Educations bestyrelsesuddannelser er Danmarks ældste og har været udbudt i mere end 20 år, og mere end 1.500 har gennemført uddannelserne.

Vær godt forberedt til NIS2

Det kommende NIS2-direktiv fra EU betyder, at ledelsesansvaret for cybersikkerhed ikke længere kun er en teknisk udfordring, men en strategisk nødvendighed, fordi ledelsen kan blive stillet til ansvar, hvis den ikke har en strategi og handleplaner for at håndtere cyberangreb. NIS2 lægger vægt på, at ledelsen er forpligtet til at uddanne sig, og uddanne medarbejderne så de opnår tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici.

Derfor er det helt centralt, at bestyrelsesmedlemmer får nøgleindsigter og strategier, der styrker virksomhedernes evne til at tackle de cyberrisici, virksomheder møder i dag. Board Education har udbudt masterclassen for at ruste de danske virksomheder og ikke mindst ledelser og bestyrelser til at imødegå de stadigt mere komplekse cybertrusler, der udspiller sig. Masterclass giver indsigt i strategisk tænkning omkring cybersikkerhed og geopolitik.

Ledelsen får et nyt ansvarsområde Implementeringen af NIS2-direktivet betyder også, at topledelsen og bestyrelsen skal være i stand til at vurdere virksomhedens sårbarheder og risikovillighed og på den baggrund tage ansvar for virksomhedens cybersikkerhed. For mange ledelser og bestyrelser betyder det, at de har brug for træning og uddannelse for at blive godt rustet til de kommende krav.

FAKTA

LARS FINDSEN’S FEM GODE RÅD OM AT LEVE

OP TIL KRAVENE I NIS2

1. Virksomhedens ledelse og bestyrelse skal sørge for at få talt om cybertruslen og den betydning, den har for virksomheden. Det er ikke nok bare at gøre én gang, det er noget, der skal ske løbende.

2. Det er afgørende at få gjort sig helt klart, hvilke systemer og data der er forretningskritiske. Altså hvilke, der har den største indvirkning på virksomhedens kerneaktiviteter, kundeservice, indtjening og omdømme. På den måde kan man bedre prioritere ressourcer til at sikre deres stabilitet, sikkerhed og tilgængelighed.

3. Bestyrelsen/ledelsen skal få afklaret og fastlagt virksomhedens risikovillighed. På den måde kan man balancere mellem at forfølge muligheder og minimere potentielle trusler, hvilket er essentielt for bæredygtig vækst og succes.

4. Der skal investeres i og iværksættes de nødvendige risiko-reducerende tiltag i virksomheden. Det er afgørende, da det hjælper med at beskytte virksomheden mod potentielle tab eller skader, der kan opstå på grund af uforudsete begivenheder eller problemer i forretningsdriften. Dette sikrer virksomhedens stabilitet, værdier og langsigtede succes.

5. Ledelsen og organisationen skal holdes op på ansvaret for at få gennemført de nødvendige tiltag, og sørg for at opretholde løbende rapportering både på implementering af tiltagene, men også af de hændelser, der indtræffer.

Læs meget mere om mulighederne og om masterclass på www.board-education.dk

Cybersikkerhed:

En strategisk nødvendighed

En effektiv måde at styrke sig imod cybertrusler er ved at have en stærk bestyrelse, som forstår den voksende trussel, cyberangreb udgør, og som aktivt deltager i beslutninger vedrørende cybersikkerhed.

I en digitaliseret verden står bestyrelsesmedlemmer over for afgørende udfordringer ved at sikre organisationens bæredygtighed og ledelsesmæssige integritet. Med hyppigere og sofistikerede cyberangreb globalt er det afgørende, at bestyrelsesmedlemmer forstår truslen og deltager aktivt i cybersikkerhedsbeslutninger.

For at klæde virksomheder bedst muligt på, afholder vi tre masterclasses i 2024, der alle afdækker emner som relevant lovgivning,

herunder NIS2, Persondataforordningen (GDPR), DORA, Straffeloven m.fl., geopolitiske operationsvilkår på de globale markeder, samt strategisk og praktisk implementering indenfor cybersikkerhed. Sammen med førende eksperter indenfor forskellige discipliner af cybersikkerhed og geopolitik, heriblandt Lars Findsen, Jacob Kaarsbo og Rune Fog Hansen, Christel Teglers og Martin Kofoed stiller vi skarpt på, hvordan man som virksomhed skal forholde sig til de trusler og

Program

Det juridiske grundlag og ledelsesansvaret

V/CHRISTEL TERGELS

Geopolitik

V/LARS FINDSEN OG JACOB KAARSBO

Cybersikkerhed

V/LARS FINDSEN OG RUNE F. HANSEN

Praktiske erfaringer med cybersikkerhed V/MARTIN KOFOED

TILMELD DIG PÅ BOARD-EDUCATION.DK/TILMELD

Yderligere oplysninger kontakt KENNETH MIKKELSEN

+45

muligheder, der opstår på baggrund af en mere reguleret hverdag og usikker verdensorden.

Deltag i Masterclass Målgruppen for masterclassen er ejerledere, bestyrelsesmedlemmer, advokater, revisorer, CIO’s, direktører m.v., der ønsker at opnå en større indsigt indenfor cybersikkerhed og geopolitik, og få redskaber til at implementere konkrete initiativer i egen organisation for at imødegå det stigende trusselsbillede.

Datoer

2.

København

09.00-17.00

Masterclassen er forhåndsgodkendt af Advokatsamfundet og tæller 8 lektionspoint

PRIS 7.500 kr.

EKSKL. MOMS

DET HANDLER IKKE OM COMPLIANCE MEN OM FORANDRINGSLEDELSE

NIS2 er på vej, men hvis man som virksomhedsleder blot tror, det er endnu et EU-direktiv, der skal kunnes udenad og overholdes efter lovens bogstav, er indsatsen for at være en resilient og robust virksomhed tabt på forhånd.

Det kan næppe komme bag på nogen, at tiderne er usikre. Cyberangreb flyver på kryds og tværs af landegrænser og sætter såvel virksomheder som organisationer under et mere eller mindre konstant pres. Selvom krige på et tidspunkt stopper, bryder andre ud, og inden for overskuelig fremtid er der ikke udsigt til, at trusselsbilledet bliver mindre. Så spørgsmålet er, om virksomheder og organisationer er parate til at modstå truslerne.

I EU er man klar med NIS2-direktivet der betyder, at medlemslandene fra oktober måned bliver underlagt skærpede krav til håndtering af deres cyber- og informationssikkerhed. Det afløser NIS1-direktivet fra 2016, og målet er i langt højere grad at øge modstandsdygtigheden over for cybertrusler på tværs af EU for virksomheder. Blandt andet inden for en lang række sektorer og for offentlige myndigheder som anses for at være kritiske for såvel samfund som økonomi.

Giver stor anledning til bekymring

”Det er godt, at vi har fået NIS2, men jeg bliver noget bekymret, når jeg møder ledelsen i en virksomhed, hvor fokus ligger på efterlevelse af lovens bogstav i direktivet frem for reelt at hæve niveauet og øge modstandskraften. Hvis du som virksomhedsleder har fokus på at forsvare dig mod tilsyn, vil jeg vove den påstand, at du allerede har tabt kampen mod den reelle modstander, nemlig de cyberkriminelle.” Sådan siger Frederik Helweg-Larsen, der er partner i konsulenthuset Devoteam. Han understreger, at denne oplevelse faktisk slet ikke er så sjælden endda, og argumentet er, at alt for mange virksomheds-

Vil du vide mere?

Lad dig inspirere med et gratis on-demand webinar om forandringsledelse, eller få nye idéer om emnet her.

ledere ikke har forstået, at NIS2 - der jo reelt har været flere år undervejs - ikke handler om compliance, men om forandringsledelse. Det er et af arbejdsområderne hos Devoteam, som er et af Europas største konsulenthuse inden for digitalisering, og hvor cyber- og informationssikkerhed naturligvis indgår i en del af de kundeprojekter, man arbejder med.

Har grebet processen forkert an ”Vi er specialister i digitalisering i bred forstand, men især når det gælder resiliens og robusthed over for dagens trusselsbillede, er netop forandringsledelse en vigtig disciplin. Faktisk er det en meget gammel disciplin, så selv om trusselsbilledet naturligvis har udviklet sig over tid, synes jeg, det er lidt deprimerende at se, hvor mange virksomheder, der rent faktisk ikke har fundet frem til en effektiv måde, hvorpå de kan håndtere risici,” siger Frederik Helweg-Larsen videre.

I hans optik er en af årsagerne, at der mangler transparens i virksomhederne. Der er ofte meget langt fra sikkerhedspolitikkerne til de reelle handlinger samt it-systemernes opsætning, og det er rent faktisk her, at problemet ligger. Funktionerne i virksomheden er opdelt i siloer, hvilket gør det svært for ledelsen at få et samlet overblik. Dermed er det også svært at få defineret det samlede målbillede, der er så essentielt for virksomhedens indsats.

Skal tænke årevis ud i fremtiden

”I dag er det ikke længere nok blot at skrive nogle retningslinjer ned på et stykke papir. Det handler om, at menneskers adfærd skal ændres, og at it-systemerne skal indrettes anderledes. Vi kan ikke blive ved med at gentage de samme handlinger og forvente nye resultater. Det giver ingen mening, lige som det heller ikke giver nogen mening blot at læne sig op ad standarder eller Best Practice, som vi ikke tidligere er lykkedes med at implementere. Forandringsledelse kræver i langt højere grad en pragmatisk tilgang samt ikke mindst løbende forandring og tilpasning,” uddyber Frederik Helweg-Larsen. Hos Devoteam rådgiver man ofte store offentlige og private virksomheder med et højt modenhedsniveau og store ressourcer. Selv her er man udfordret, så når risikouniverset er svært at gennemskue selv for de dygtigste, må det være betydeligt

sværere for mange andre. Især fordi det for Frederik HelwegLarsen handler om at tænke langsigtet. Det er slet ikke nok blot at tænke frem mod oktober 2024, hvor NIS2-direktivet træder i kraft.

I sidste ende har kun én ansvaret

”Cyber- og informationssikkerhed er en kontinuerlig proces, der aldrig stopper, og jeg ved godt, det handler om hårdt arbejde. Derfor anbefaler vi da også, at virksomhederne starter med et realistisk ambitionsniveau og får bygget nogle processer op, der virker i praksis. Så kan man altid bygge på hen ad vejen. Det allervigtigste er imidlertid at være operationel og at kunne handle. Blandt andet ved at investere de nødvendige ressourcer,” siger Frederik Helweg-Larsen.

Ånden i NIS2-direktivet er altså ikke, at man skal kunne et regelsæt udenad og efterleve det. NIS2 handler om en langvarig indsats med henblik på at øge virksomhedens modstandskraft. Det kan godt være, det kommer som en overraskelse for nogle administrerende direktører, men uanset hvor mange sikkerhedsspecialister, en virksomhed har, er der i sidste ende kun én, der har ansvaret for resultatet - nemlig den administrerende direktør, understreger Frederik Helweg-Larsen.

”En af de store udfordringer er, at en virksomheds sikkerhedsfunktioner organisatorisk er kommet på alt for stor afstand af ledelsen. Det gælder om at samle alle interessenter i organisationen og skabe et fælles, transparent målbillede. Det skal være med til at ændre adfærden i hele virksomheden,” siger Frederik HelwegLarsen fra Devoteam.

”Det kan være svært for virksomhederne at overskue, hvad de nye krav indeholder. Men der er hjælp at hente. For eksempel kan en revisorerklæring hjælpe virksomheder med at attestere og kommunikere deres håndtering af cyberrisici i forbindelse med risikostyring.”

FORBERED DIN VIRKSOMHED PÅ NIS2 MED EN REVISORERKLÆRING

Med en revisorerklæring kan virksomhederne dokumentere, at de lever op til kravene i NIS2. Erklæringen er særligt egnet til de virksomheder, der er underleverandører til virksomheder omfattet af NIS2. Hos revisions- og rådgivningshuset Grant Thornton hjælper de virksomhederne godt i gang med at møde kravene i det nye direktiv, så virksomhederne kan vælge de rette løsninger og leve op til loven.

Af Pia Bundgaard Hansen

Halvdelen af store danske virksomheder har været ramt at cyberangreb; det viser en rapport, som TDC har offentliggjort i forbindelse med årets Cybersecurity-dag. Der er ikke tegn på, at angrebene i fremtiden vil blive mindre, tværtimod peger analyser på, at de vil blive mere omfattende. Cyberangreb er en alvorlig trussel mod virksomheders drift, økonomi og deres omdømme. Med den kommende implementering af NIS2-direktivet i dansk ret kommer der skærpede krav til virksomhederne og organisationernes cyber- og informationssikkerhed, samt krav om tilsyn og rapportering. Virksomheder og offentlige organisationer fra 18 forskellige sektorer, der er en del af Danmarks kritiske infrastruktur samt visse leverandører til NIS2-omfattede virksomheder, kan være omfattet af det nye direktiv. Virksomheder med færre end 50 ansatte vil som udgangspunkt ikke være omfattet. ”Det kan være svært for virksomhederne at overskue, hvad de nye krav indeholder. Men der er hjælp at hente. For eksempel kan en revisorerklæring hjælpe virksomheder med at attestere og kommunikere deres håndtering af cyberrisici i forbindelse med risikostyring,” forklarer Martin Brogaard fra IT Risk Assurance and Advisory Services hos Grant Thornton. I afdelingen sidder rådgivere med stor erfaring i revisorerklæringer, compliance og relevante ISO-standarder klar til at hjælpe arbejdsgiverne godt i gang med at implementere NIS2.

Erklæring som strategisk redskab

Revisorerklæringen, der er lanceret af FSR - danske revisorer, er en rapporteringsramme, som viser ledelsen og interessenter, hvordan kontrollerne til cybersikkerhed fungerer.

”Erklæringen er især interessant for virksomheder, som er underleverandører til de virksomheder, der er omfattet af NIS2. Rapporten giver netop indsigt i, hvordan leverandøren styrer risici, der er relateret til cybersikkerhed. På den måde kan erklæringen også være et strategisk værktøj, der kan styrke konkurrenceevnen for de virksomheder, som er underleverandører,” forklarer Martin Brogaard.

Revisorerklæringen er også relevant for virksomheder, som af egen vilje ønsker at vise investorer og bestyrelse, hvilket sikringsniveau virksomheden har i forhold til cybersikkerhed.

Byg videre på eksisterende

Hos Grant Thornton er de klar til at hjælpe virksomhederne godt i gang.

”Jeg vil gerne mane til ro, fordi NIS2 ikke er en enkeltstående silo, der skal have sit eget kontor. Mange af kravene i NIS2 kender virksomhederne allerede. Da GDPR kom, var der også en masse nervøsitet, men virksomhederne kom godt igennem og implementerede en lang række krav, som NIS2 kan bygge ovenpå,” siger Martin Brogaard og uddyber: ”Mange virksomheder har allerede implementeret en række tiltag som eksempelvis sikkerhedsstandarden ISO 27001, hvis programramme ligger godt i tråd med NIS2. Derfor opfordrer vi virksomhederne til at se på, hvad de allerede har, gøre brug af de eksisterende politikker og så bygge videre på det fundament. På den måde bliver NIS2 ikke en uoverskuelig opgave.”

Kom godt i gang

Martin Brogaard understreger, at tankerne bag NIS2 netop giver god mening, da virksomhederne kun kan have en interesse i at stå stærkere i forhold til cybersikkerhed og på den måde beva-

re konkurrenceevnen, fundamentet for at drive virksomhed og samtidig være med til at beskytte kritisk infrastruktur i Danmark og EU.

”Den nye lovgivning træder snart i kraft, så vi anbefaler, at virksomhederne kommer i gang med de indledende processer,” understreger Martin Brogaard.

FAKTA

Grant Thornton, der er et revisions- og rådgivningshus, hjælper virksomheder med skræddersyede løsninger, giver perspektiv og har en ægte glæde ved at skabe sikkerhed og ’arbejdsro’ for kunderne. I Danmark er 580 medarbejdere klar til at hjælpe virksomhederne med regnskab, management consulting, rådgivning, skat og konsulentydelser.

Læs meget mere på

https://www.grantthornton.dk/kompetencer/ it-revision-og-radgivning/

DIVERSITET

Danmarks nye podcast om Diversitet & Inklusion

I Business Review´s nye podcast ”DIVERSITET” gives talerøret til nogle af de personer og virksomheder, der har valgt at tage diversitet og inklusion til sig, som et fælles mål. Vi dykker ned i de mange facetter, der er ved diversitet og inklusion, og om hvordan vi kan ved at løfte den enkelte, også kan løfte i flok. I stærkt samarbejde med IT-branchen sætter vi også fokus på nogle af de udfordringerne der måtte være, når man som leder skal skabe et inkluderende arbejdsmiljø, samt nogle af de succeshistorier der er, hvor inklusion/diversitet har skabt værdi.

DIVERSITET

Pink washing

DIVERSITET

FREMTIDENS LEDER:

CAROLINE FARBERGER IT-Branchen & Partnermedier

- i stærkt samarbejde mellem

Podcasten vil være tilgængelig via de største podcastplatforme; Spotify, Apple podcast, Podimo m.fl . og vil desuden kunne tilgås direkte via IT-branchens hjemmeside samt på businessreview.dk. IT-branchen og Partnermedier sikrer i samarbejde en bred promovering af podcasten via bl.a. kampagner på SoMe, annoncering i udvalgte tillæg i bl.a. Berlingske og Børsen samt digitale links til podcasten, hvor mere end 100.000 faste e-avis læsere på Berlingske.dk og borsen.dk med et enkelt tryk kan afspille og lytte med.