Medlemslandene i EU har vedtaget Netog Informationssikkerhedsdirektivet (NIS2), der træder i kraft næste år. Kra vene til sikkerhedsforanstaltningerne i virksomheder og organisationer bliver skarpere, ledelsen kan blive holdt an svarlige for brud på direktivet, og ende lig vil der fra myndighedernes side blive ført skarpere tilsyn. ”Det nye direktiv NIS2 stiller krav til ledelsen i virksomheder og organisationer i en lang stribe brancher, hvor der er kri tisk it-infrastruktur. De nye regler betyder, at ledelsen får et ansvar for måden at håndtere risici og rapportering til myn dighederne, hvis der sker brud på cybersikkerheden,” forkla rer Frederik Stengaard Mehlsen, Technical Solution Manager
CISM hos Fellowmind. I den paneuropæiske virksomhed arbejder omkring 2.000 konsulenter, der hjælper kunderne med at accelerere deres digitale transformation ved at bruge
Microsoft cloud-løsninger, implementere integrerede platfor me og hjælpe slutbrugere med at lære at anvende teknologien.
”NIS2 kommer til at betyde, at ledelsen i virksomheder og or ganisationer får et direkte ansvar. Det kræver handleplaner, uddannelse og systemer for afrapportering for at leve op til de nye lovkrav,” fortæller Frederik Stengaard Mehlsen.
Kom godt i gang med implementeringen Virksomheder og myndigheder har allerede stiftet bekendtskab med gennemgribende ændringer som NIS og GDPR, og fra 2023 er turen kommet til NIS2. De væsentligste forskelle til NIS-direk tivet er, at med NIS2 bliver langt flere sektorer omfattet. Lovkra vene i NIS2 vil bl.a. omfatte private virksomheder i it-, energi-, transport-, sundheds-, finans- og fødevaresektoren samt den of fentlige sektor.
”Mange oplevede udfordringer med at implementere GDPR. Så selv om virksomhederne stadig har 18 måneder til at imple mentere NIS2, vil vi anbefale at komme i gang,” siger Frederik Stengaard Mehlsen og uddyber: ”Vi er klar til at klæde virk somhederne og organisationerne på til de nye lovkrav. Vi har specialister i sikkerhedsværktøjer, kan analysere risici, uddanne medarbejdere og ledelse samt hjælpe med overvågning af infra strukturen.”
Truslen for angreb er meget høj
Center For Cybersikkerhed vurderer i deres årlige rapport, at truslen mod danske virksomheder og organisationer ligger i kategorien Meget Høj. Hver dag oplever virksomheder og orga nisationer angreb på cybersikkerheden. To af de metoder, som oftest bliver brugt af cyberkriminelle er ransomware-angreb og phishing. Så kom i gang med omstillingen til de nye
til cy bersikkerheden.
Hvilke krav stiller NIS2 til virksomheder og organisationer?
• Ledelsen skal kende NIS2 direktivet og risi kostyringsindsatsen. Ledelsen får et direkte ansvar for, at cyberrisici bliver identificeret og håndteret.
• Virksomheden skal styre og implementere tiltag, der reducerer risici og konsekvenser, hvis de it-kriminelle slår til. Minimumskrav er fx incident management, sikring af cybersik kerhed i forsyningskæder, netværkssikkerhed, adgangskontrol og kryptering.
• Virksomheden skal have en strategi for, hvordan den vil sikre forretningskontinuiteten i tilfælde af, at cybersikkerheden bliver brudt. Det indebærer fx genopretning af systemer, nødprocedurer og etablering af en kriseorganisation.
• Virksomheden skal have processer for korrekt afrapportering til myndigheder, hvis uheldet er ude. Større hændelser skal rapporteres inden for 24 timer.
Hos konsulenthuset Automize gør man en dyd ud af, at it-sikkerhed skal være forståelig. Samtidig tager man kunderne i hånden og guider dem gennem det virvar af sikkerhedsindstillinger samt løbende opdateringer og nyheder i deres Microsoft-løsning, som kan være svære at gennemskue.
Af Henrik Malmgreen
Samtidig med at it-sikkerhed bliver mere og mere essentiel for alle virksomheder, bliver it-sikker hed også mere og mere kompleks. Derfor har man hos konsulentvirksomheden Automize lan ceret begrebet it-sikkerhed i øjenhøjde. Det bety der, at man altid forsøger at rådgive kunderne på en forståelig måde og i klar tale. Målet er, at der i videst mulige omfang skal være transparens for kunderne i alle aspekter, der relaterer sig til it-sikkerhed.
”Vi er i høj grad et Microsoft-hus, og langt de fleste af vores ydel ser er baseret på funktionaliteten i Microsofts produkter, blandt andet konfiguration af Microsoft 365. Det forholder sig nemlig sådan, at eksempelvis Microsoft 365 er en virksomhedsplatform, der har en lang række sikkerhedsfunktioner indbygget, men ud fordringen er, at mange virksomheder har svært både ved at kon figurere dem og senere følge op på dem”. Det siger Operations Manager Kim Johansen fra Automize.
Han rådgiver sammen med sine kolleger dagligt virksomheder i, hvorledes de lige præcis får sammensat en løsning, der passer til deres specifikke behov. Hos Automize har man flere kompe tenceben at stå på. Sikkerhed er et af dem, men dertil kommer cloud samt ikke mindst drift af kundernes it. Alle sammen kom petencer, der er nært forbundet. En del af rådgivningen går på, hvorledes kunderne kan få glæde af allerede indkøbte, men uud nyttede licenser.
”På Microsoft siden benytter vi os af deres ressourcer og tilfører yderligere værdi således, at vi kan skabe Added Value i forhold til kunden. Vi har arbejdet med it-drift i en årrække og har op bygget både en række Best Practises og en række Good Practises, hvilket betyder, at vores indgang til kunderne er effektiv og pro fessionel. Især, når det gælder sikkerhedsindstillinger, for det er her, de ofte farer vild”, siger Kim Johansen videre.
Behøver ikke være svært
Nicklas Lorenzen, der er en af Microsoft konsulenterne hos Automize føjer til, at det betyder, at en virksomhed forholdsvis enkelt kan optimere sin sikkerhedsscore, hvilket er essentielt i en tid, hvor flere sikkerhedstrusler end nogensinde før skal hånd teres. Han forklarer det på den måde, at man så at sige lægger et ekstra Automize lag oven på it-installationen, som giver den bedst mulige end-to-end sikkerhed.
”It-sikkerhed handler nemlig ikke kun om at beskytte kundens data, hvad enten de ligger på en server on-premise, eller de befin der sig i skyen. It-sikkerhed handler ligeledes om brugerkontrol og brugeradgang, kort sagt det, vi kalder for identitetsstyring”, forklarer Nicklas Lorenzen.
Nervecenteret i det hele er det Managed Security Operationscen ter, hvor Automize så at sige sidder for bordenden 24-7 og 365 dage om året.
Agerer på kundens vegne
”Grundlæggende kan man sige, at langt de fleste virksomheders behov for it-sikkerhed er relativt ens, i hvert fald, når det gælder om at beskytte sig mod indtrængen. Men det er klart, at der der til kan lægges en række individuelle og fleksible ydelser, som vi hjælper den enkelte virksomhed med at sammensætte.
Hvorledes vi skal respondere på helt konkrete scenarier er såle des aftalt med kunden på forhånd”, forklarer Kim Johansen vide re. Nicklas Lorenzen føjer til:
”Vores Managed Security Operationscenter bygger på Microsoft Azure Sentinel, som er en Security Information and Event Mana
gement (SIEM) løsning. Den overvåger såvel softwareprodukter som tjenester, når det gælder styring af sikkerhedsinformations samt, hvorledes sikkerhedshændelser skal håndteres. Løsningen giver ligeledes en analyse i realtid af sikkerhedsadvarsler genere ret af applikationerne”.
Bedste ydelse til prisen Når løsningen sammensættes, involveres den enkelte kunde i, hvorledes Automize skal håndtere sikkerhedsevents, og Nicklas Lorenzen fortæller, at man både kan overvåge cloud miljøer,
on-premise miljøer hos kunden samt en kombination, altså et hybridt miljø.
Alle Automizes løsninger er cloudbaseret således, at der kan skrues op eller ned efter behov, og hvad der lige nu er brug for med henblik på at sikre at kundens virksomhed er sikret bedst muligt.
”Samtidig arbejder vi også løbende med at optimere kundens brug af såvel Microsofts som vores ydelser. Lige præcis her ram mer vi nemlig et sweetspot med vores Managed Security Opera tionscenter”, slutter Kim Johansen.
”På
siger
arbejdet
i en årrække
og en række
Kim Johansen fra
”It-sikkerhed handler ikke kun om at beskytte kundens data, hvad enten de ligger på en server on-premise, eller de befinder sig i skyen. It-sikkerhed handler også om brugerkontrol og brugeradgang, det, vi kalder for identitetsstyring”, siger konsulent Nicklas Lorenzen fra Automize.
Krig er blevet hverdag i cyberspace. Hvert 11. sekund kan virksomheder globalt forvente, at cyberkriminelle forsøger at stjæle deres data eller tvangslukke it-sy stemer for så at forlange skyhøje løsesummer. Fænomenet, når hackere tager data som gidsel, kaldes ransomware.
Problemet er massivt - og stigende. Tilbage i 2016 oplevede erhvervslivet på global plan ransomware-forsøg hvert 40. sekund, men frekvensen er fløjet i vejret de senere år, og bare under krigen i Ukraine er antallet af cy berangreb steget mærkbart.
Præcis derfor har det været tydeligt, at EU har været nødt til at opdatere fællesskabets lovgivning for cybersikkerhed, selv om reglerne kun er seks år gamle. Således går EU’s direktiv for cybersikkerhed snart fra at hedde NIS til NIS2.
”Hackerne har overhalet lovgivningen med lynets hast. Cy berangreb er en af de største trusler mod både erhvervslivet og borgernes data, og det kræver selvsagt politisk handling.
Krigen i Ukraine har for alvor understreget det akutte behov for at opgradere sikkerheden,” fastslår Morten Løkkegaard, gruppeformand for Venstre i Europa-Parlamentet og eneste danske forhandler på de kommende regler for cybersikkerhed i EU.
Den forværrede cybertrussel går hånd og hånd med digitali seringen. Digitaliseringen tilbyder et ocean af nye muligheder for virksomheder, men den skaber også sårbarheder, som kan udnyttes af hackere.
Samtidig sidder mange virksomheder samt myndigheder med
ansvaret for kritisk infrastruktur, der rammer hele samfundet, hvis deres it-systemer kommer under hackerkontrol.
”Hvis en hacker nedlægger it-systemet på et hospital eller vandværk, kan det åbenlyst skade hele samfundet. På samme måde er eksempelvis online søgemaskiner og sociale medie platforme central infrastruktur, som vi også er nødt til at stille cybersikkerhedskrav til, uddyber Venstres gruppeformand, som var chefforhandler i Europa-Parlamentets udvalg for EU’s Indre Marked.
Netop behovet for ens krav tager den kommende lovgivning for cybersikkerhed fat på. Som forhandler har Morten Løkke gaard arbejdet for at løfte sikkerhedsniveauet i hele EU.
Et af de vigtigste formål med at opgradere reglerne er at har monisere dem på tværs af medlemslande.
Lovgivningen fra 2016 lod det være op til de enkelte lande at afgøre, hvorvidt bestemte sektorer skulle omfattes. De nye regler sørger for ens implementering på tværs af grænserne.
Det samme gælder for virksomheder. Nu strømlines kravene til virksomheder, så de er ens for virksomheder i de sektorer, som indbefattes.
For Morten Løkkegaard har det været vigtigt at skabe flek sibilitet i lovgivning for start-ups samt små og mellemstore virksomheder.
Nationale myndigheder kan derfor undtage disse, hvis de vur deres ikke at råde over kritisk infrastruktur.
”Det er centralt for mig, at vi ikke overbebyrder mindre virk somheder, der reelt ikke udgør en sårbarhed for resten af sam fundet. Vi skal undgå unødvendigt bureaukrati, hvis vi kan,” fremhæver Løkkegaard.
De kommende regler forpligter virksomheder, der er omfat tet af reglerne, til at indrapportere eventuelle cyberangreb. Hyppigere indrapportering sikrer bedre koordination mellem medlemslande og giver mulighed for bedre advarselssystemer. Dertil kommer konkrete krav til sikkerhedsniveauet for it-sy stemer.
Sidst men ikke mindst giver de nye regler mulighed for bøder, hvis virksomheder ikke overholder reglerne. Pointen er at få cybersikkerhed øverst på dagsordenen hos ledelsen i europæ isk erhvervsliv, fordi vi i EU alt for længe har haltet bagefter, forklarer Morten Løkkegaard: ”Tidligere har det for ofte kun været it-afdelingen, som be kymrede sig om sikkerhedshuller, men nu skal fokus på cy bersikkerhed også fylde i bestyrelseslokalet. Risikoen for bøder er noget, som fanger opmærksomheden. Og derfor er det et nødvendigt onde for at få erhvervslivet til at investere endnu mere i deres sikkerhed.”
Lovforslaget vedtages endeligt i november i Europa-Parla mentet, og fra lovgivningen træder i kraft har medlemslande 21 måneder til at gennemføre direktivet.
Ansvarshavende redaktør Henning Andersen, henning@partnermedier.dk
Projektleder Emma Nordahl Jepsen, emma@partnermedier.dk
Journalister Peter Klar, Henrik Malmgreen, Michael Fahlgreen, Lars Graabek
Grafisk produktion Majbritt Høger, majbritt@partnermedier.dk
Distribueret
K ære Læser
Indholdet i denne udgivelse er bl.a. blevet til i samarbejde med vores mange sponsorer og annoncører.
Vores tekstforfattere og journalister har gjort sig umage med at finde og skrive indhold til dig, som vi håber vil give dig god information o g inspiration. God læselyst!
for evt. trykfejl og farveafvigelser.
”Der er flere årsager til at det kniber med cybersik kerheden i SMV-segmentet. Dels har mange virk somheder set ind i et optimerings- og vækstpo tentiale gennem de seneste fem år, dels har vi set cloud-infrastrukturen blomstre op. Det har medført at man har gjort som vanligt: man har accelereret og optimeret virksomheden, men har ikke nødven digvis fået tænkt sikkerhed ind i det. Vi har bedre værktøjer i dag, men vi ser stadigvæk en del udfordringer i dette segment” indleder teknisk direktør Christian Rutrecht, Fortinet A/S.
Møder kunderne i øjenhøjde Hos Fortinet, der blev etableret i 2000 og i dag både tæller små enkeltmandsvirksomheder, mellemstore virksomheder samt nogle af klodens største koncerner blandt sine kunder, møder man altid kunderne ’i øjenhøjde’. For det gælder om at afdække kundernes prioriteringer og i hvilken retning kundens forret ning bevæger sig. Og baseret på forretningen om at afdække den risikomodel, man står overfor.
”En stor global virksomhed med en milliardomsætning har sandsynligvis også fornuftigt budget til IT-sikkerhed. Det har tømrermesteren med 27 ansatte ikke nødvendigvis. Uanset virksomhedens størrelse er det de færreste, der kan tåle at blive låst ude fra IT-systemet af en hacker, der kræver løsesum for at låse op, at data bliver krypteret med ransomware eller at data forsvinder. Især for SMV-segmentet ligger der en gensidig for pligtelse over for samfundet som helhed til at sørge for at sikre sin IT-installation, og den kritiske infrastruktur, bedst muligt i forhold til de muligheder, virksomheden har” påpeger Christi an Rutrecht.
Vær klar til NIS2
Når EU’s nye direktiv NIS2, som blev vedtaget i maj måned i år, træder i kraft kommer det til at inddrage endnu flere sektorer end forgængeren, NIS. Det drejer sig blandt andet om spilde vandssektoren, affaldssektoren og fødevaresektoren. Formålet er at øge IT-sikkerhedsniveauet i Europa på både mellemlangt og længere sigt.
Inden for de seneste otte år er vi gået fra det vilde vesten til at have en række større aktører rent IT-sikkerhedsmæssigt; derfor står vi i dag i et væsentligt bedre udgangspunkt
Christian Rutrecht, teknisk direktør Fortinet A/S
”Til april måned næste år har man 21 måneder til at opfylde kravene, og vi kan se at rigtigt mange produktionsvirksomhe der, dem, der hører under kritisk infrastruktur, på OT-siden
måske ikke har forholdt sig til sikkerhed på samme måde som på IT-siden. Ikke mindst fordi prioriteringerne er anderledes, når vi taler om OT-miljøer, hvor det primært handler om men neskelig sikkerhed og tilgængelighed. NIS2 kommer på et rigtig godt tidspunkt i forhold til den retning vi globalt er på vej hen geopolitisk. De sikkerhedsprioriteringer som vi har haft i årevis på IT-området skal nu overføres til OT-området, om end der naturligvis skal ske en vis tilpasning baseret på de forskellige risikoprofiler” fastslår Christian Rutrecht.
IT-trusler rammer produktionsmiljøet
I takt med at erhvervslivets IT-miljøer i stigende omfang inte greres med produktionsmiljøets OT-værktøjer vil trusler rettet mod IT-systemerne kunne ramme OT-miljøet. Det er set flere gange, fx i forbindelse med angrebet på Colonial Pipeline, der endte med at koste selskabet bag ca. 5 mio. USD for at kunne genåbne tankstationernes olie- og benzinhaner.
”Hackerne gik efter IT-delen, og med den nede kunne oliesel skabet ikke håndtere transaktioner, ordrer, kapacitet, volumen målinger med mere” forklarer Christian Rutrecht.
Sørg for at konsolidere værktøjerne I forbindelse med en øget fokusering på IT- og cybersikkerhed er det vigtigt at sikre, at de nødvendige værktøjer er konsoli deret.
”Der har været en tendens til at man anvender rigtigt mange forskellige værktøjer, der ikke kan udveksle data. Og i en si tuation som den aktuelle, hvor trafik- og datamængden stiger eksponentielt, antallet af brugere stiger tilsvarende, stiller krav om at vi begynder at overveje nogle smartere platforme. Det er Fortinet Security Fabric platformen er et godt eksempel på en platform, hvor man kan konsolidere værktøjer inden for net værkssikkerhed, endpointsikkerhed og brugersikkerhed på én platform” pointerer Christian Rutrecht afslutningsvis.
Vidste du det om Fortinet?
• Etableret i 2000 i Sunnyvale, Californien
• Blev børsnoteret i 2009
• Har aktuelt næsten 600.000 kunder spredt over hele verden
• Har godt 11.500 ansatte
• Har 1.500 ledige stillinger
• Omsatte i Q2 2022 for 1,3 mia. USD
• Har fået udstedt næsten 1.300 patenter globalt
mere på www.fortinet.com
Af Lars Graabek
Mængden af cyberkriminalitet, hvor hackere stjæler data eller afpresser pri vate og offentlige virksomheder, stiger voldsomt i disse år. Det har udviklet sig til en milliardindustri, hvor de kriminel le bruger meget tid på at forske og gøre deres angreb smartere, hurtigere og bed re hele tiden. Det indebærer blandt andet, at hackerne i langt højere grad end tidligere også bruger kunstig intelligens i deres angreb på virksomhederne.
Det er derfor umådeligt vigtigt, at man som potentiel udsat virksomhed har et cyberforsvar, der kan matche udviklin gen. Truslen om, at ens data enten stjæles og sensitive doku menter eksempelvis offentliggøres, eller man bliver udsat for ransomware-angreb, er ekstremt problematisk. Det oplevede eksempelvis en stor virksomhed som Vestas for nylig på egen krop. Men at sikre virksomhedernes cybersikkerhed i dag sva rer lidt til at lede efter en nål i en høstak.
Det er årsagen til, at Muninn, som har kontor i Lyngby, har udviklet en avanceret og effektiv AI-platform, som dels kan se, hvordan hackerne sniger sig under radaren igennem længere tid, dels stoppe dem, inden det bliver for sent. Med et automa tiseret AI-værktøj som Muninns softwareløsning har man en langt bedre mulighed for at være forberedt på et ødelæggende cyberangreb.
Mangel på innovativ teknologi
Muninn er stiftet af administrerende direktør Andreas We howsky, der har en ingeniøruddannelse fra amerikanske MIT samt en fortid i Center for Cybersikkerhed under Forsvarets Efterretningstjeneste (FE), hvor han var med til at skabe det nye cyberforsvar mod angreb på kritisk dansk infrastruktur.
”Efter det arbejde var færdiggjort, vurderede jeg markedet og observerede, at de teknologier, der var udviklet til moderne cyberforsvar for små og store virksomheder, ikke var helt tids svarende. Der manglede ny innovativ teknologi, der på en me get mere effektiv måde forstår, hvordan et computernetværk i
dag fungerer, hvordan hackere arbejder, og hvordan man auto matiserer “threat detection” ved hjælp af kunstig intelligens. Det er baggrunden for, at vi har udviklet vores AI-platform, der sikrer virksomhederne mod alle mulige former for cyber angreb,” siger Andreas Wehowsky.
Skalerbar løsning Muninns AI-løsning er skalerbar og deres målgruppe er typisk private og offentlige virksomheder med mere end 100 medar bejdere. Muninn kan håndtere meget store virksomheder og organisationer og har eksempelvis for nylig vundet et udbud til 115 mio. kr., hvor de skal overvåge og sikre den danske sund hedssektors systemer mod cyberangreb. For at sikre virksom hederne med cyberangreb har Muninn blandt andet udviklet løsningen Muninn AI Detect, som går ind og kigger på net værkstrafikken samt en række andre forhold i en virksomhed.
Den undersøger, hvad de forskellige brugere foretager sig, hvordan de interagerer med servere, printere og andre devices med henblik på at lære, hvad den normale adfærd i virksom heden er. Det gør løsningen i stand til at opdage unormal og potentielt kompromiterende adfærd.
”Det er en vigtig metode til at opdage den type angreb, som man ikke på forhånd har regnet med ville komme. Traditi onelt forsvar af cyberkriminalitet bruger kendte regler, altså hvad man på forhånd kalkulerer med at opdage ud fra andres erfaringer. Problemet er, at de kreative hackere sniger sig ind under radaren og blender sig med normal trafik,” siger Andre as Wehowsky og tilføjer: ”Nutidens cybertrusler er mere sofi stikerede, hurtigere og ødelæggende end tidligere. Med vores løsning får man et langt mere præcist redskab, der giver virk somheden kontrol og indsigt i, hvad der sker i netværket. Man kan hurtigere opdage og reagere på de forskellige angreb på ens netværk. Med Muninn AI Prevent kan man tilmed stoppe angrebene i realtid. Da cybertruslen kun er blevet større i de seneste år – yderligere forstærket med krigen i Ukraine – er vores AI-løsninger mere relevante end nogensinde.”
Muninn AI Detect er et stykke software, der typisk kører på en fysisk eller virtuel appliance, dvs. en server, man nemt indsæt ter i virksomhedens netværk. Det kan gøres på under en time, og man behøver ikke installere “agenter” på andre enheder i netværket.
Når løsningen er sat i drift, kan man selv drive den, og det er forholdsvist enkelt at lære, og kræver ikke mange interne resourcer.
Driften kan også outsources, så andre kan overvåge løsningen, hvis man ønsker det. I denindledende periode, når man køber produktet, er der en onboarding-fase, hvor man sammen med Muninn arbejder med systemet og laver en såkaldt baselining. Her lærer man systemet, hvad det skal ignorere, og hvad det især skal være opmærksom på i virksomhedens kontekst. På den måde kan man fjerne en masse støj og falske positiver, hvilket er et af de største problemer i traditionelle cybersik kerhedsløsninger. En falsk positiv er en alarm, som systemet opfatter som en trussel, men som viser sig ikke at være det alligevel. Det skaber en masse forvirring og unødigt arbejde i it- eller sikkerhedsafdelingen, der driver systemet.
”Her har vi skabt en velfungerende løsning, der hurtigt kan fortælle os om det netværk, den opererer i. Den kigger på, hvad der er normalt, og hvad der er unormalt, og på den måde hurtig fjerne det meste støj,” siger Andreas Wehowsky.
Mere dybdegående værktøj
Han glæder sig over, at mange virksomheder i dag har indset, at network detection and response (NDR), som kategorien af cybersikkerhedsløsninger Muninn hører hjemme i, er noget, de bør investere i. ”Vi giver vores kunder et helt nyt værktøj, der på en mere dybdegående måde kan forstå, hvordan et net værk normalt fungerer samt udpege, hvor hackerne er henne i systemet og på den måde få stoppet dem. For cybertrusler ne bliver kun endnu mere udfordrende, og man får brug for AI-værktøjer som vores, der meget nøje kan holde øje med, om hackerne sætter nogle fodspor i netværket og derefter ef fektivt stoppe dem,” konkluderer Andreas Wehowksy.
DanskeDa USA’s præsident Biden i fredags offentliggjor de en ”Executive Order On Enhancing Safegu ards For United States Signals Intelligence Acti vities,” var der flere, herunder IT-Branchen, der jublede, mens andre rystede på hovedet. Men hvad er egentligt op og ned – og er der overhovedet grundt til at være glad eller sur? Det har vi spurgt DAHL Advokatpartnerselskab om. Hvad er det for et problem, som USA og EU forsøger at løse?
Siden Schrems II-afgørelsen har det i praksis været næsten umuligt at behandle persondata udenfor EU/EØS. Det har sær ligt ramt brugen af cloud-tjenester hårdt, da de fleste af disse på en eller anden måde har forbindelse til USA.
Og selvom forskellige europæiske datatilsyn efterfølgende har udgivet flere vejledninger omkring overførsel af data til f.eks. USA, så har praksis vist sig, at det for langt de fleste virksomhe der blot er en teoretisk mulighed.
I foråret 2022 meldte USA og EU derfor ud via et fælles presse møde, at de nu ville sætte sig sammen, og fjerne de knaster, der har været, så det igen ville være muligt at overføre persondata til USA. Efter flere måneders samarbejde kunne præsident Bi den så fredag d. 7. okt. udstede en Executive Order, der skulle løse udfordringerne.
Har USA så løst problemet?
Ja og nej vel det mest korrekte svar. Dekretet fastlægger, i fæl lesskab med de eksisterende forordninger, en række juridiske mekanismer, der skal løse de problemer, som Schrems II-dom men fastslog.
Bl.a. bindende sikkerhedsforanstaltninger, som begrænser de amerikanske efterretningstjenesters adgang til data, en uafhæn gig og upartisk klagemekanisme samt en adgang for EU-bor gere til at få domstolsprøvet indsamlingen af deres persondata i USA.
Dermed er en stor del af løsningen faktisk på plads, da den grundlæggende lovgivning nu er ændret og allerede fik virk ning fra fredag d. 7. okt. Og det var en af grundende til, at vi i IT-Branchen jublede i fredags. For med en ny lovtekst og juri diske forandringer i USA, så mener vi, at målet er så godt som nået.
Hvad mangler der så?
Ordningen skal formelt godkendes i EU-systemet. Det skal vurderes, om den nye Executive Order giver tilstrækkelig sik kerhed for EU-borgere til, at der kan udstedes en positiv til strækkelighedsvurdering.
Da EU og USA under hele forløbet har arbejdet tæt sammen
omkring indhold og tekst, er selve godkendelsen nok mere formalia end en reel usikkerhed. Men ikke desto mindre er EU-processen ikke helt simpel.Først skal EU-Kommissionen forfatte et udkast til en vurdering. Den forventer vi naturligvis er positiv. Derefter skal vurderingen i høring hos Det Euro pæiske Databeskyttelsesråd, ligesom EU-parlamentet også har mulighed for at kommentere. Næste skridt er så en formel godkendelse i EU efterfulgt af den endelige godkendelse hos EU-Kommissionen.
Den samlede godkendelsesproces forventes at tage 4-6 måne der. Men da EU har været med inde over hele processen, for venter man ikke de store ændringer, og da slet ikke et nej.
Selvom processen i EU ikke er afsluttet, har virksomheder fort sat mulighed for at anvende EU-Kommissionens standardkon traktbestemmelser (SCC), som sammen med udarbejdelsen af en Transfer Impact Assessment (TIA), kan danne grundlaget for lovlig overførsel til USA.
Selvfølgelig forudsat, at vurderingen i TIA fører til, at det er sikkert at behandle data i USA. Og her kan den nye Executive Order fra Det Hvide Hus måske indgå i vurderingen, som til strækkeligt grundlag.
Flere
Faktisk er det i stigende grad de små- og mellem store virksomheder – ofte underleverandører til andre - som er i hackernes søgelys. Dels fordi de ikke har de samme sikkerhedsmuskler som de store koncerner, dels fordi hackerne opfatter dem som det svageste led – en bagvej – ind i de store virksomheder. Og i dag skal der ikke mere end et enkelt kompromitteret password til at lægge hele drif ten ned – med store økonomiske og omdømmemæssige kon sekvenser til følge.
- Virkeligheden er desværre den, at it-kriminalitet er i hastig vækst, antallet af angreb stiger, og trusselsvurderingerne mod Danmark taler et tydeligt, foruroligende sprog. Samtidig ser vi, at hackerne bliver stadig mere professionelle og avancerede i deres metoder, siger chef for Industriens Fonds Cybersikker hedsprogram, Malene Stidsen og tilføjer:
- Med det afsæt er det helt afgørende, at landets små- og mel lemstore virksomheder i langt højere grad får prioriteret cy bersikkerhed i alle processer, løsninger og afkroge af organi sationen.
Med store udfordringer kommer også nye muligheder. Fokus på cybersikkerhed vil kun fortsætte med at stige - både fra myndighedernes, samarbejdspartneres, investorers og kun ders side. Både i takt med at digitaliseringen af samfundet tager fart, og især fordi trusselsniveauet er meget højt.
- Dermed er et stærkt cyberværn både en investering i et for svar mod it-kriminalitet og i virksomhedens konkurrenceev ne. Kan man som virksomhed dokumentere et stærkt digitalt forsvar, så er der ingen tvivl om, at man står markant stærkere end de konkurrenter, der hænger i bremsen.
- Virkeligheden er desværre den, at it-kriminalitet er i hastig vækst, antallet af angreb stiger, og trusselsvurderingerne mod Danmark taler et tydeligt, foruroligende sprog. Samtidig ser vi, at hackerne bliver stadig mere professionelle og avancerede i deres metoder
Malene Stidsen, chef for Industriens Fonds
Og de muligheder, der ligger i at vende cybertruslen til en konkurrencefordel, når man møder markedet, skal vi have endnu flere virksomheder til at få øjnene op for, siger Malene Stidsen.
- Det kræver et nyt mindset, hvor digital sikkerhed ikke står alene som endnu en obligatorisk compliance-øvelse, som er ‘need-to-have’, men derimod som et redskab, der kan bruges proaktivt til at tiltrække nye kunder, udvikle forretningen og styrke konkurrencekraften.
Sagt helt enkelt, hvis man investerer i sin sikkerhed nu, så vinder man konkurrencekraft i morgen, siger Malene Stidsen. Industriens Fonds Cybersikkerhedsprogram er sat i søen for
at sikre netop det: - De projekter, vi støtter, har det tilfæl les, at de arbejder med cybersikkerhed og konkurrenceevne som to sider af samme sag. Uanset om de er målrettet le delsen i virksomhederne eller nye, kommende cybersikker hedseksperter. Cybersikkerhed er i dag en helt fundamen tal del af at drive en sund og attraktiv virksomhed, siger Malene Stidsen.
Et godt eksempel er det nye såkaldte NIS2-direktiv, der har direkte kurs mod dansk lovgivning og danske virksomhe der. Direktivet udvider NIS-kravene, som medfører, at flere sektorer – herunder fødevareindustri, affaldshåndtering og hele forsyningskæder - inden længe vil blive mødt af nye og strammere krav til it-sikkerhed.
Allerede nu står det klart, at direktivet vil medføre en stribe udfordringer og omkostninger – men også muligheder for dem, der går foran.
Med det afsæt har Industriens Fond nu igangsat en kortlæg ning, der først og fremmest skal skabe klarhed over, hvem, der er omfattet og herefter afsøge omfang, konsekvenser og muligheder for dansk erhvervsliv. En stærk følgegruppe med repræsentanter fra både myndigheder og brancheorganisati oner vil løbende drøfte og kvalificere arbejdet. Det skal sam tidig sikre, at danske virksomheder er på forkant med udvik lingen.
- Udvidelsen af NIS-direktivet vil ramme virksomhederne forskelligt, men allerede nu står det klart, at flere brancher skal til at se sig selv som samfundskritiske og agere derefter –og lykkes man med det før de andre, så slipper man ikke bare for skrappe sanktioner, man står også stærkere konkurrence mæssigt, siger Malene Stidsen.
Desværre er der en del virksomheder, som ikke har noget overblik over, hvor de står rent it-sikkerhedsmæssigt. Der er et misforhold mellem deres opfattelse af sikker hedsniveauet i virksomheden og det sikker hedsniveau, der reelt er tale om Jens Bertelsen, forretningsudvikler Bureau Veritas
Mange danske virksomhedsledere er ikke i stand til at identificere, hvilke komponenter i deres forretningsstrategi, der vil være mest sårbare, hvis virksomheden udsættes for et cyberangreb. Den analyse er de ganske enkelt nødt til at lave, siger en sikkerhedsekspert.
Af Henrik Malmgreen”På det seneste har vi tydeligt set en øget interesse for it-sikkerhed, blandt andet fordi trusselsbilledet er blevet kraftigere. Men desværre er der en del virk somheder, som ganske enkelt ikke har noget over blik over, hvor de står rent sikkerhedsmæssigt. Der er simpelthen et misforhold mellem deres opfattelse af sikkerhedsniveauet i virksomheden og det sikker hedsniveau, der reelt er tale om”. Det siger forretningsudvikler og konsulent Jens Bertelsen fra Bureau Veritas. Her har man specialiseret sig i test, inspektion samt certifice ring, og man opererer i en række forskellige sektorer som f.eks. byggeri, offshore, finans samt energi- og forsyning
Træning og test i laboratoriemiljø
”It-sikkerhedsarbejdet kan f.eks. ske gennem penetrationstest og modenhedsanalyser, men vi arrangerer også det, man vel nærmest kan kalde for simulationsunivers, hvor ledelsen i sikre rammer kan forberede forskellige risikoscenarier - altså nu er der en krise, og hvad gør vi så? Dermed er vi med til at forbere de ledelsen på, hvorledes man bedst muligt håndterer f.eks. et hacker- eller ransomwareangreb således, at virksomheden ikke fanges på hælene”, forklarer Jens Bertelsen. Sådan et simulationsunivers giver nemlig et overblik over, hvor det er nødvendigt for ledelsen at sætte ind - især hvis en ISO-certificering skal komme på tale enten i forhold til f.eks. forretningskontinuitet eller informationssikkerhed.
Ledelsen har ansvaret
”Det er ekstremt vigtigt, at ledelsen forholder sig til disse pro
blematikker. Hvis ikke det er tilfældet, ja så forholder resten af organisationen sig heller ikke til dem. I sidste ende er det altid et ledelsesansvar, at virksomheden er compliant med de sikkerhedsmæssige retningslinjer, og det er et ansvar, der skal være forankret både i direktionen og i bestyrelsen”, uddyber Jens Bertelsen. Men det alene er ikke nok.
Ledelsen skal også være helt skarp på, præcis hvilke forret ningsmæssige komponenter, der er mest udsat. Alle forret ningsenheder er i dag afhængige af informationsteknologi, men hvilke enheder, der er de mest sårbare, det skal ledelsen have et klart svar på. Er det ordrehåndtering, ERP-systemet, mailsystemet eller noget helt fjerde? Det er et spørgsmål, som mange virksomhedsledere ikke forholder sig til, mener Jens Bertelsen.
Samfundet er følsomt
”Min påstand underbygges af adskillige undersøgelser, og jeg synes, det er en meget vigtig analyse at lave”, forklarer Jens Ber telsen. Hos Bureau Veritas vil man altså rigtig gerne supporte re virksomhederne, træne dem og hjælpe dem bedst muligt på vej ind i et trygt sikkerhedsunivers.
”Jeg kan ikke understrege nok, hvor vigtigt, det er at have it-sik kerheden i orden, og det gælder alle virksomheder, store som små. Vi lever i et samfund, hvor en masse tandhjul skal arbejde sammen for at få de store samfundshjul til at snurre rundt, og som bekendt er ingen kæde stærkere end det svageste led. Vi har allerede nu set en række eksempler på virksomheder, der har måtte lukke ned i en periode, Bliver vi ramt på den måde nationalt, frygter jeg det værste”, slutter jens Bertelsen.
Øget interesse fra den traditionelle industri Når det gælder it-sikkerhed arbejder Bureau Ve ritas blandt andet inden for områderne industriel cybersecurity (OT), tilsluttede produkter (IOT), informationsteknologi (IT) samt med certifice ringer såsom ISO 22301 (forretningskontinuitet) og ISO 27001 (informationssikkerhed). Inden for de senere år har man blandt andet oplevet en øget interesse fra industrien, det vil sige de traditionel le produktionsvirksomheder.
De retter i stigende grad fokus mod området. Det skyldes, at den slags virksomheder i stadig højere grad anvender højteknologisk produktionsudstyr, der både rummer avanceret software og ikke mindst er forbundet til omverden via internettet. Således vil en lang række produktionsvirksomhe der også være omfattet af EU’s nye Net- og Infor mationssikkerhedsdirektiv, NIS2, der forventes at træde i kraft i 2024.
Læs mere på www.bureauveritas.dk
En massiv bøderegn er ved at trække ind over det danske virksomhedslandskab i form af EU’s nye IT-sikkerhedsdirektiv, NIS2, som træder i kraft i 2024. Derfor er en lang række danske virksom heder netop nu i gang med at bygge læ ved at implementere nye løsninger, politikker og ret ningslinjer for IT-sikkerheden i virksomheden. IT-sikkerhedsspecialist Karsten Vandrup mener dog, at der er et vigtigt fokus, som mange organisationer overser. Skal man tætne alle huller i ens IT-sikkerhed, skal man fra ledelsen for stå, at IT-sikkerhed handler om menneskers adfærd og vaner. ”Når man som virksomhed skal øge ens IT-sikkerhed, skal man først og fremmest lave en sårbarhedsvurdering, og den vil ofte vise, at den største sårbarhed en virksomhed har, er den men neskelige trussel, som opstår, når medarbejdere bliver pålagt forandringer og ny adfærd,” indleder IT-sikkerhedsspecialist og konsulent Karsten Vandrup fra konsulenthuset ChangeGroup.
For medarbejdere vil nye IT-sikkerhedstiltag medføre nye ar bejdsvaner og opgaver. Disse vil eksempelvis være i form af nye systemer, anvendelse af two-factor authentication på alle arbejdsplatforme eller at medarbejderne skal overvåge hvil ke udefra komne mennesker, som bevæger sig i nærheden af virksomhedens kritiske infrastruktur. I sit arbejde som IT-sik kerhedsspecialist ser Karsten, at man fra ledelsens side ofte glemmer at se på, hvordan alle disse forandringer påvirker de medarbejdere, som skal arbejde med tiltagene i praksis.
”IT-sikkerhed er forbundet med en masse nye tiltag, som kan besværliggøre arbejdsdagen for en hel del medarbejdere. Det skaber to typer af forandringsrisici, som kan spænde ben for virksomhedens IT-sikkerhed,” forklarer Karsten og uddyber, ”For det første kan mange forandringer på én gang skabe foran
IT-sikkerhed og forandringsledelse går hånd i hånd. Det bliver svært at implementere de forandringer, som øget IT-sikkerhed vil medføre, hvis man ikke får taget hånd om forandringerne 360 grader rundt i organisationen, og her skal ledelsen stå i front
Karsten Vandrup, IT-sikkerhedsspecialist og konsulent fra konsulenthuset ChangeGroup
dringsmæthed hos medarbejderne, som gør det svært for dem at absorbere alle de nye vaner, som er nødvendige. For det an det kan det være svært for dem at se, hvad disse ændringer, som presser deres hverdag, bidrager til. De mangler et solidt HVOR FOR, og derfor er viljen til at inkorporere disse forandringer ret lille,” forklarer IT-sikkerhedsspecialisten.
Succes med IT-sikkerhed kræver mobilisering af ledelsen Karsten Vandrup råder derfor virksomhederne til at aktivere ledelsen i forbindelse med implementering af nye eller flere IT-sikkerhedstiltag. Ledelsen skal agere som sponsor for for andringerne, og her er en klar forandringsfortælling omkring, hvorfor disse forandringer er nødvendige og vigtige helt essen tielt.
”IT-sikkerhed og forandringsledelse går hånd i hånd. Det bliver svært implementere de forandringer, som øget IT-sikkerhed vil medføre, hvis man ikke får taget hånd om forandringerne 360 grader rundt i organisationen, og her skal ledelsen stå i front,” forklarer Karsten, og uddyber yderligere:
”Vi vil jo gerne have, at vores medarbejdere bruger de nye løs ninger korrekt og at de ikke omgår dem, og vi skal derfor have indarbejdet en sikkerhedskultur, der støtter op om sikkerhe den. Det kræver ofte kun én sårbarhed at ramme hele syste met,” understreger han. Fremtiden ser dog mindre tung ud for medarbejderne ifølge Karsten Vandrup, som deltager i konfe rencer over hele verdenen og derfor ser de nyeste innovationer indenfor IT-sikkerhed.
”Indenfor de senere år er der kommet smartere og mindre tun ge sikkerhedsforanstaltninger, som ikke får samme betydning for medarbejdernes arbejdsgange. Derfor kan man som virk somhed med fordel gøre brug af IT-sikkerhedsrådgivere, som holder sig opdaterede med de nyeste agile sikkerhedsløsninger,” råder Karsten Vandrup.
ChangeGroup er et konsulenthus, som rådgiver om digitalisering, IT og forandringsprocesser, og har hver dag konsulenter engageret i at hjælpe danske virksomheder og offentlige organisationer med at løse udfordringer med digitale forandringer. Karsten Vandrup er ChangeGroup-sikkerhedskonsulent, lektor og forfatter til bogen ”It-sikkerhed i praksis”.
Webinarakademi med ChangeGroup og Karsten Vandrup om NIS2: Skal din virksomhed også være klar til NIS2? Den 16., 23. og 30. november fra kl. 09.00-10.00 kan du deltage i et gratis NIS2-webinarakademi med ChangeGroup og IT-sikkerhedsspecialist Karsten Vandrup.
Tilmeld dig nu på ChangeGroup.dk under Kurser.
Mennesker og adfærd er nøglen til et compliant IT-sikkerhedssystem ifølge IT-sikkerhedsspecialist Karsten Vandrup fra konsulenthuset ChangeGroup. IT-sikkerhed handler om at understøtte dine forandringer, understreger han.
Om mindre end to år træder en ny udgave af
Af Henrik MalmgreenHen over sommeren har EU-Kommissionen vedtaget tre nye regelsæt inden for it-sikker hed, som virksomhederne inden for en tidsfrist på to år skal kunne leve op til. Der er tale om DORA, Digital Operational Resilience Act, som henvender sig til finanssektoren, der er tale om CER, Resilience of Critical Infrastruc ture, som gælder for virksomheder, der kan betegnes som kritisk infrastruktur og omfatter evnen til at kunne mønstre fysisk sik kerhed ved f.eks. naturkatastrofer, og så er der tale om NIS2, som er anden udgave af Network and Information Security Directive. NIS1 direktivet stammer tilbage fra 2016, og blev implementeret i Danmark i 2018. Det dækkede også sektorer såsom sundhed og drikkevand, men angik alene net og informations- sikkerhed. Udfordringen har imidlertid været, at medlemsstaterne har haft ganske stor medbestemmelse i forbindelse med, hvorledes NIS1 skulle implementeres.
Nu falder EU’s store hammer
”Det har blandt andet betydet, at implementeringen er sket me get uens. Tilsvarende har det været frivilligt, om der skulle være mulighed for at sanktionere med bødestraf. Den mulighed har vi ikke anvendt i Danmark, så reelt har NIS1 haft lille betydning her i landet. Vi har set bødestraf i øvrige medlemsstater, men gene relt har implementeringen været forskellig hen over Europa”. Det siger partner og advokat Julie Bak-Larsen fra det internationale advokatfirma Bird & Bird, der som internationalt techkontor ar bejder med informationssikkerhed i hele Europa.
Samtidig har myndighederne generelt haft meget lidt fokus på at håndhæve regelsættet i NIS1, men nu kan man roligt sige, at EU-Kommissionen tager skeen i den anden hånd, hvilket Julie Bak-Larsen, set i lyset af den stigning, der har været blandt de cyberkriminelles aktiviteter over de senere år, egentlig mener er ganske rimelig. Hun tilføjer, at det ligeledes er hendes erfaring, at it-sikkerhed for alvor er kommet på nethinden hos langt de fleste virksomheder.
Større krav til ledelsesansvar
”Fælles for alle de tre nye regelsæt er, at der er tale om mini mumsregulering, hvilket betyder, at man i forbindelse med ud arbejdelsen har sat barren højt. Det kommer til at gælde både i forbindelse med muligheden for at give bøder samt de krav, der
af
fremover vil blive stillet til ledelsen i en virksomhed. Der bliver tale om et ansvar, som nu for alvor skal forankres i såvel direktion som bestyrelse”, siger Julie Bak-Larsen videre.
Hendes klienter vil meget gerne allerede nu have en indikation af, om de er omfattet af NIS2, hvorledes de i givet fald bliver om fattet, hvilke krav der vil blive stillet til organisation samt imple mentering og krav til håndtering af forsyningskæden. De kender tilgangen til implementering af et tilsvarende fintmasket regelsæt som GDPR og ved også, at der foran dem ligger en krævende samt omstændig proces, der løbende skal forankres i den lokale og globale koncern.
Væsentlige og vigtige sektorer ”Med NIS2 bliver antallet af omfattede sektorer markant forhø jet til mere end det dobbelte i forhold til NIS1. Samtidig bliver forpligtelserne udvidet, muligheden for tilsyn bliver strammet, og som nævnt kommer der skrappe krav til bøder samt ledel sesansvar. Reglerne er dog ikke helt firkantede, for selv om små virksomheder som udgangspunkt ikke er omfattet, vil de i kon krete tilfælde kunne anses som så vigtige, at de alligevel bliver det”, uddyber Julie Bak-Larsen.
Det kan f.eks. være virksomheder inden for telesektoren, og des uden skelner man mellem væsentlige sektorer og vigtige sektorer, hvor den største forskel er, at de væsentlige sektorer vil kunne opleve både mere proaktive tilsynsmyndigheder samt større bø der. Som noget helt nyt er de offentlige myndigheder ligeledes omfattet af NIS, men medlemsstaterne kan selv bestemme, om offentlige myndigheder skal underlægges bødeansvar.
”Hvis man summerer op, maler NIS2 med en bredere pensel end NIS1, både når det gælder mængden af omfattede virksomheder, ledelsesansvar samt ikke mindst risikostyring gennem hele forsy ningskæden, f.eks. leverandører og samarbejdspartnere. Ligele des betragtes fødevareproduktion samt produktion af maskiner datacentertjenester, cloudcomputing, kommunikationstjenester, udbydere af managed services og managed security service også som omfattede virksomheder”, forklarer Julie Bak-Larsen. Som tilføjelse til det faktum, at der nu stilles væsentlig større krav til det ledelsesmæssige ansvar, er det endvidere vigtigt at nævne, at ledelsen også skal trænes i it-sikkerhed, således at man bedst muligt kan sikre, at ansvaret forankres ned gennem hele organi
sanktionsmulighederne skærpes markant.
sationen. Julie Bak-Larsen er imidlertid spændt på selve imple menteringsfasen, det vil sige, om den fortsat vil være sektorop delt, som det hidtil har været tilfældet for NIS1. Ikke alle sektorer og myndigheder er nemlig lige modne på it-sikkerhedsområdet, mener hun.
Væsentlige sektorer: Energi: forsyning, distribution, transmission og salg af energi. Transport: luft, jernbane, vej og søvej. Finans: kredit, handel, marked, infrastruk tur. Sundhed: forskning, produktion, udbydere og fremstillere af udstyr. Drikke- og spildevand. Digital infrastruktur: DNS, tillidstjenester, datacentertjenester, cloudcomputing, kommuni kationstjenester, udbydere af managed services og managed security services, offentlig administra tion. Væsentlige enheder risikerer en maksimal bøde på 2 pct. af den samlede globale omsætning i det foregående regnskabsår eller 10 mio. EUR, alt efter hvad der er højest.
Vigtige sektorer: Post- og pakkeservice. Affaldshåndtering. Kemi ske produkter: fremstilling og distribution. Fø devarer: fremstilling, distribution og produktion. Fremstilling og produktion af pharma, elektronik, optisk udstyr, maskineri, køretøjer. Udbydere af online markedspladser, søgemaskiner, sociale platforme. Vigtige enheder risikerer en maksimal bøde på 1,4 pct. af den samlede globale omsæt ning i det foregående regnskabsår eller 7 mio. EUR, alt efter hvad der er højest.
Det nye NIS2 EU-sikkerhedsregulativ er fint og godt, men implementeringen kræver både en fast og en konsekvent hånd. Det mener en af it-branchens sikkerhedseksperter, der frygter, at tiden frem mod regulativets ikrafttræden i 2024 vil blive forvirrende for mange virksomheder. Konsekvenserne bliver mange, hvis ikke virksomhederne får styr på NIS2.
Af Henrik MalmgreenImidten af 2024 træder en ny udgave af EU’s Net- og In formationssikkerhedsdirektiv, NIS2, i kraft. Det regule rer virksomheder og myndigheder på cyber- samt in formationssikkerhedsområdet og kommer til at omfatte en række sektorer, der ikke tidligere har været omfattet af regulering. Blandt andre sektorer inden for fødevarer, spildevand og affald samt udvalgte sektorer i fremstil lingsindustrien.
Det udvider kravene til og sanktioneringen af it-sikkerhed og betyder, at langt flere danske virksomheder end tidligere skal forholde sig til blandt andet øgede krav til risikostyring, kon trol og tilsyn. Hvis man spørger Torben Clemmensen, der er IT Security Specialist & PreSales Engineer i VIPRE Security Group, er han rigtig glad for det nye direktiv. Lovgivningen er god, mener han, men samtidig er han bekymret for, hvorledes den skal implementeres, hvilket kan skabe en række alvorlige konsekvenser for virksomhederne.
Lovgivningen kan fortolkes ”Med det mener jeg, at vi - i hvert fald som det ser ud lige nu - i høj grad kommer til at mangle implementeringsmæssig konse kvens. På den ene side lancerer EU en lovgivning, der langt hen ad vejen er glimrende, men som også giver mulighed for meget vide fortolkningsmæssige rammer. Det er noget skidt, hvis vi samtidig mangler et fælles organ til at yde ensartet og stringent rådgivning til virksomhederne,” siger Torben Clemmensen.
Grundlæggende er der rent lovgivningsmæssigt mange gode sikkerhedsinitiativer i NIS2. Men Torben Clemmensen er sam tidig af den opfattelse, at det reelt ikke kan være nødvendigt med lovgivning på et område, hvor sund fornuft burde kunne løse en lang række af de sikkerhedsmæssige udfordringer. Sund fornuft, som burde omhandle såvel hardware- som software mæssige sikkerhedstiltag og ikke mindst brugeradfærd.
Nogle brancher lades i stikken ”I min optik er en af de helt store udfordringer, at it-sikkerhed ikke kun handler om teknologi, men også om brugernes tilgang til den. For nogle år siden skulle vi implementere EU’s lovgiv ning for beskyttelse af personfølsomme data, GDPR, og nu får vi så endnu en lovgivning, nemlig NIS2. En af de store forskelle er imidlertid, at mens der efter skæringsdatoen for GDPR var en overgangsordning på et par år, gælder NIS2 fra første dag, at den implementeres juridisk,” siger Torben Clemmensen videre. De fleste brancher vil fint kunne håndtere den nye lovgivning, mens andre vil få yderst svært ved at være parat den dag, hvor lovgivningen træder i kraft. Et eksempel er detailbranchen, hvor hovedparten af Point of Sales systemerne, herunder kas seapparaterne, overhovedet ikke er gearet til at leve op til nuti dens sikkerhedsstandarder.
ret til at håndtere de sikkerhedsmæssige end-points, som NIS2 kræver. Samtidig er der tale om en branche, hvor medarbej derne har travlt og kun alt for sjældent er trænet til at være op mærksom på sikkerhedsmæssige aspekter. Det samme gælder eksempelvis sundhedssektoren, hvor der også knokles.
”Sundhedspersonalet har travlt nok med at tage sig af de faglige opgaver og er slet ikke sporet ind på også at skulle beskæftige sig med it-sikkerhed. For mig at se er det altså klart et problem, at EU melder ud med en formålsmæssigt glimrende lovgivning, men uden at tænke på brugerne, der er en mindst lige så vig tig faktor i den sikkerhedsmæssige ligning,” uddyber Torben Clemmensen. I den sammenhæng nævner han også vigtighe den af god rådgivning. Han fortsætter:
Må man køre over for rødt ”For mig at se står vi i en situation, hvor alt for mange organer skal på banen for at rådgive omkring NIS2. Det betyder, at hvis du er i restaurationsbranchen, får du måske et svar på, hvordan du bliver compliant til NIS2, og hvis du er i transportbranchen, får du et andet svar. Vi har rigtig mange brancheorganisationer, der hver især vil tolke budskabet til deres medlemmer, og det vil kun være med til at skabe forvirring”, siger Torben Clem mensen.
Til sammenligning nævner han færdselsloven. Uanset hvilken bil, man kører i, ved alle, at det ikke er tilladt at køre over for rødt, lige som alle ved, at når lyset bliver grønt, så må man ger
Alle glemmer brugerne Typisk er Point of Sales systemer af ældre dato og slet ikke geane køre. Færdselsloven er altså en konsistent lovgivning uden de store muligheder for fortolk ning. Det samme kunne Torben Clemmensen godt tænke sig var tilfældet i forhold til NIS2 og implementeringen af det nye EU-regulativ.
Flere regulativer kommer til ”NIS2 bliver ikke det sidste re gulativ. Vi vil eksempelvis også komme til at se regulativer in den for Edge Computing og Artificial Intelligence, så lige pludselig er der rigtig mange ting at forholde sig til. Jo mere komplekse tingene bliver, jo fle re virksomheder risikerer vi på forhånd vil give op, gemme sig i mængden og håbe, det går godt. Men hvis først hammeren falder, kan det meget hurtigt blive ikke bare dyrt, men rigtig dyrt”, siger Torben Clemmensen.
Mit drømmescenarie er, at vi skal undgå skræmmekampagner. Der skal etableres en seriøs og sober rådgivning helt uden om branchemæssige og kommercielle interesser. Rådgivning, der er enkel, neutral og forståelig således, at det er rådgivning, der er baseret udelukkende på lovgivningen. Blandt andet rummer et nye NIS2 regulativ en masse udtagelser, som det kan være svært at navigere igennem
I modsætning til GDPR vil NIS2-direktivet ikke få en lang indkørselsperiode, hvilket vil formodentligt vil være det sam me med andre, kommende direktiver fra EU. Ifølge Torben Clemmensen handler det derfor om at skabe et forum, hvor alle virksomheder uanset branche kan henvende sig og få neutral,
uvildig samt ikke mindst ensartet rådgivning.
Hvem vil straffes dobbelt? ”Mit drømmescenarie er, at vi skal undgå skræm mekampagner. Der skal etableres en seriøs og sober rådgivning helt uden om branchemæssige og kom mercielle interesser. Rådgiv ning, der er enkel, neutral og forståelig således, at det er rådgivning, der udelukken de er baseret på lovgivnin gen. Vi skal gøre det nemt for alle typer af virksomhe der, store som små, for ellers er der alt for mange, som vil give op på forhånd”, slutter Torben Simonsen.
Og der er grund til at tage NIS2 seriøst. Fremadrettet griber EU nemlig den store bødehammer, og virksom hederne kan meget nemt risikere at blive straffet to gange for samme forseelse, nemlig manglende datasikkerhed i forbindelse med både GDPR og NIS2. Derfor er hans budskab, at rådgivning skal være objektiv, tilgængelig og forståelig for midlet af ét centralt organ.
Kommunerne venter på en endelig afklaring NIS2-direktivet er en modernisering af NISdirektivet (Europa-Parlamentets og Rådets direk tiv (EU) 2016/1148 af 6. juli 2016 om foranstalt ninger, der skal sikre et højt fælles sikkerheds niveau for net- og informationssystemer i hele Unionen. NIS2 omfatter organisationer i sektorer, der håndterer samfundskritik infrastruktur, herunder inden for energi, transport, sundhed, drikkevand, spildevand, affaldshåndtering og offentlig administration.
Spørgsmålet er imidlertid, om landets kommuner vil blive omfattet af reglerne. Ifølge NIS2-direk tivet er det nemlig medlemsstaterne, der skal beslutte, om lokale myndigheder er omfattet, mens regionale og centrale myndigheder er di rekte omfattet af NIS2. Selvom kommunerne må vente på afklaring af NIS2’s anvendelsesområde i Danmark, kan kommunerne dog med fordel være opmærksomme på reglerne og den danske implementering.
Kommunerne kan nemlig blive omfattet af NIS2-direktivet via de opgaver, som varetages af kommunen eller kommunale selskaber, f.eks. sundhedspleje, affaldshåndtering, drikkevands forsyning, spildevandshåndtering og fjernvarme forsyning.
Kammeradvokaten)Torben Clemmensen, IT Security Specialist & PreSales Engineer Vipre Security
Den digitale revolution har skabt resultater, der for få år siden nærmest ville blive betragtet som magi, alene på grund af evnen til at sende og modtage data på en sikker måde. Denne tillid til sikkerhed er blevet helt central for vores hverdag… - men den er udfordret! Og det er jo tankevækkende her i et valgår, at vi i Danmark, som er et af de mest digitaliserede lande i ver den, hvor næsten al kommunikation med både det offentlige og private foregår digitalt, fortsat står med en blyant og et stykke papir bag et gardin og sætter vores X og endnu ikke har turdet at digitalisere vores demokrati og vores valghandling. Det for tæller med al tydelighed, at vi gerne vil høste de gevinster, der ligger i en digitalisering af vores samfund, men er skrækslagne for, at vores valghandling skal blive kompromitteret, og stats ministeren får en anden farve end ellers. Men den trussel mod vores velfærdsstat blegner vel basalt set i sammenligning med de katastrofer, vi kan risikere at blive ramt af, hvis store dele af vores kritiske infrastruktur skulle blive lammet, som vi har set det med bl.a. Nord Stream 1 og 2. Traditionelle krigs- og terror handlinger vil inden længe blive erstattet af cyberkrigsførelse og cyberterror.
Et gammelt ordsprog siger, at i krig og kærlighed gælder alle kneb, hvilket betyder, at folk ikke følger sædvanlige adfærds regler og gør ting, der normalt betragtes som uretfærdige. Me get ofte vil vores fantasi være den største begrænsning for at
forstå, hvad vi kan blive mødt med. Med andre ord beskriver det, at intet skal forhindre de kriminelle i at opnå deres målsæt ning uanset omkostningerne forbundet med det.
Mens den militære konflikt fortsætter mellem Ukraine og Rus land, øges frygten for en langvarig cyberkrig også. Krigens udvikling følges nøje af hele verden, og meget tyder på, at Rusland har vanskeligt ved at få overtaget i den konventio nelle krig, som indirekte foregår med deltagelse af det meste af den vestlige verden.
Sammenholder man det med, at Rusland formodentlig er en af verdens førende ”hacker-supermagter”, skal der ikke meget fan tasi til at forestille sig, hvad det kan medføre af cyberaktiviteter mod den vestlige verden.
I praksis startede Rusland med cyberoperationer, længe før de invaderede Ukraine i februar 2022. I 2015 angreb russerne ukrainske elselskaber, og det fortsatte i 2016, og i 2017 ”skød” de med Petya, som en lang række af internationale selskaber, herunder bl.a. Mærsk, blev ramt af, og som efterfølgende er be skrevet i alverdens medier som et af de mest ødelæggende og omkostningsfulde cyberangreb.
I takt med at Vesten fortsætter med bl.a. at øge våbenstøtten, og vestlige virksomheder trækker sig fra at handle med Rusland, stiger risikoen for, at vestlige virksomheder ender som mål for russiske cyberangreb.
Det er bogstavelig talt umuligt at forudsige alle de cybertrusler, vi vil møde i fremtiden.
Digital Pearl Harbor eller cyber 9/11
De mennesker, der skaber truslerne, kan være kriminelle, ter rorister, statsstøttede cyberspecialister eller utilfredse “hack tivister.” Deres motivation kan være alt fra fredelig protest til mere ondsindede hensigter, økonomisk gevinst eller enhver kombination deraf.
Hvad værre er, stiger deres evne til at skabe digitalt kaos eks ponentielt. Kun de mest kyndige sikkerhedseksperter har et ni veau af ekspertise, der kan måle sig med de kriminelles, så vi er udfordret på mange fronter.
Vi er efterhånden blevet meget gode til at håndtere de udfor dringer, vi kender, og dem, vi har prøvet før, men det skræm mende er, at vi er totalt blottet for fantasi i forhold til at forstå, hvad der kan ramme os i fremtiden.
Hvilket kan betyde, at vi risikerer at se ind i en digital Pearl Harbor eller cyber 9/11, som vil ramme os som lyn fra en klar himmel.
Den tidligere amerikanske forsvarsminister Donald Rumsfeld beskrev det meget godt: The threat of ”unknown unknowns”.
As we know, there are known knowns; there are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know. But there are also unknown unknowns – the ones we don’t know we don’t know.
Hvis vi anerkender, at Donald Rumsfeld har fat i noget rigtigt, betyder det, at vi er nødsaget til at anskue cybertruslen fra en helt ny vinkel og forberede os på hændelser, vi slet ikke har på radaren i dag og ingen fantasi har til at forestille os.
”I gamle dage var sikkerhed noget stater og erhvervs liv håndterede som en fysisk ting. Men i kraft af at vi er blevet langt mere globaliserede og har fået ud videt antallet af kontaktpunkter helt enormt, er der nu opstået et væld af svagheder, der udnyttes af både kriminelle og andre stater”, fortæller adjunkt André Ken Jakobsson fra SDU. Han underviser til daglig på Master in Intelligence and Cyber Studies (MICS).
Denne globalisering indebærer, at der er kommet nye roller på frontlinjen: ”Jeg anser Danmark som en hybrid frontlinjestat, hvor cyberdomænet nu står helt centralt, mens udvidelserne af NATO og EU har skubbet den geografiske frontlinje mod øst. Og med nye typer trusler, er der opstået nye ansvarsområder og nye samarbejdskrav mellem private og offentlige aktører –både i Danmark og Rigsfællesskabet, men også internationalt på et niveau, som vi ikke har mødt tidligere. Vi er grundlæg gende blevet så forbundne, at sikkerhedstruslen og den hybride trussel er en del af rigtigt mange menneskers hverdag” uddyber André Ken Jakobsson.
Nyt trusselsbillede påvirker alle Hvor vi tidligere overlod ansvaret for at forsvare os imod ude frakommende trusler til myndighederne, er cybersikkerhed i høj grad nu et anliggende for alle medarbejdere og borgere, og ansvaret for cybersikkerhed er dermed flyttet fra myndigheder og virksomheders IT-afdelinger og ud i den brede offentlighed.
”Der er sket en voldsom udvidelse af de domæner, hvori vi skal
Dette unikke samarbejde mellem vores to uddannelsesinstitutioner sikrer en solid forankring i forskningsmiljøerne på både SDU og Forsvarsakademiet (FAK) samt en praksisnærhed i undervisningen, der gør uddannelsen særdeles aktuel og relevant for folk, der dagligt arbejder med cybersikkerhed i både privat og offentligt regi
Kira Vrist Rønn, studieleder på MICS-uddannelsen
forsvare os og angribe – Danmark har jo også en offensiv cyber kapacitet. Det skyldes at vi ikke kan ’nøjes’ med at opretholde et konventionelt forsvar, men også skal håndtere offensive cy beroperationer af forskellig art. Vi har lige fået Zilmer-rappor tens ekspertudredning om ”Dansk sikkerhed og forsvar frem mod 2035”, som i overvældende grad fokuserer på de hybride
”trusler, som vi står overfor. Det er så omfattende, fordi der ikke er nogen grænser for, hvilke typer svagheder en modstander kan udnytte for at gennemføre hybride angreb. Hvad enten det handler om sabotage på Nord Stream gasrørene eller at lukke for varmeforsyningen – værktøjskassen er nærmest uendelig stor. Mange mennesker sidder derfor i dag i stillinger, hvor de har behov for viden om og forståelse for disse trusler og sam menhænge. Det handler MICS overordnet om: at kunne se ind i fremtiden på baggrund af nutidig forståelse og analytisk ind sigt” forklarer André Ken Jakobsson.
Enhver form for digitalisering rummer visse svagheder, men de færreste ville nok i dag undvære de enorme fordele, som sam fundets og erhvervslivets digitalisering har medført. Imidlertid handler det om at indgå en kalkuleret risiko mellem effektivitet, velfærdsfremgang – og så de introducerede svagheder, der kan udnyttes af andre.
”Men tager man udgangspunkt i den igangværende krig i Ukraine kan man se, at Rusland har forsøgt sig med samme type cyberangreb som i 2015/16, hvor de med held fik afbrudt strømme for tusindvis af ukrainske borgere. Men den gik ikke her i 2022, hvor ukrainerne har fået hjælp af store vestlige virk somheder til at stå imod denne trussel. Så ved at være bevidst om svaghederne kan man imødegå angreb. Men det kræver na turligvis, at man har viden om de større dynamikker, som er i spil” pointerer André Ken Jakobsson.
Sten Skov Lehnert, der er selvstændig IT-managementkonsulent, har arbejdet over 25 år inden for IT-drift og IT-ledel se, herunder også cybersikkerhed. Han er i færd med at tage MICS-uddannel sen, og han påpeger netop uddannel sens unikke profil: ”Der findes allerede mange gode teknisk dygtige sikkerheds ressourcer og tekniske IT-sikkerhedsud dannelser. Men Master in Intelligence and Cyber Studies fokuserer mere på det styrings- og ledelsesmæssige aspekt f.eks. gennem analyser af mulige scena rier, efterretninger og risikostyring for at kunne være på forkant og for at kunne forbedre virksomhedernes og organisa tionernes muligheder for at være mere proaktive, fremfor reaktive” udtaler han.
Vidste du det om Master i Intelligence and Cyber Studies (MICS)?:
• Master in Intelligence and Cyber Studies tæller samlet set 60 ECTS-point
• Uddannelsen kræver en bachelor- eller diplomuddannelse, og mindst to års relevant erhvervserfaring.
• Uddannelsen er et toårigt deltidsstudie med et stort omfang af onlineundervisning, og den kan tilpasses individuelt og strækkes over 4 år.
• Uddannelsen har studiestart hvert år 1. sep tember og 1. februar og ansøgningsfrist hhv. 1. december og 1. juni hvert år. Se mere på uddannelsens hjemmeside: https://www.sdu. dk/da/mics
• Man kan vælge at tage hele uddannelsen, eller ét eller flere fag fra derfra.
Det unikke samarbejde mellem Syddansk Univer sitet og Forsvarsakademiet sikrer, at både specia listen og generalisten får de nyeste værktøjer med sig ind i arbejdslivet.
Læs mere på www.sdu.dk
En ny masteruddannelse på Syddansk Universitet (SDU) forener på unik måde civil og militær cybersikkerhed som en bredt forankret samfundsmæssig udfordring, der ikke kan klares med et teknologisk quick-fix.NIS2 er det andet forsøg fra EU’s side på at lave et net- og informationssikkerhedsdirektiv, der skal regulere cybersik kerheden indenfor fortrinsvis samfundskritiske sektorer. Forhandlingerne om teksten er afsluttet, og vi venter i realite ten alene på, at direktivet underskrives, så vi kan begynde at regne os frem til, hvornår de omfattede danske virksomheder skal leve op til kravene i reguleringen. Det sker nemlig 21 måneder efter, at direktivet også er formelt færdigbehandlet i EU-systemet. Det vil sige, at vi skal regne med et tidspunkt omkring sensommeren 2024.
Det væsentligste indhold i NIS2 kan deles op i fire dele:
• Vi kender allerede nu 10 minimumskrav til it-sikkerheden, som virksomhederne skal leve op til i forhold til teknik, or ganisation, processer, kontrakter etc.
• Virksomhederne får en rapporteringsforpligtelse, hvis de oplever en væsentlig it-sikkerhedshændelse, der har forår saget eller potentielt kan forårsage væsentlige driftsforstyr relser, økonomiske tab etc.
• Der kommer krav til ledelsen i form af både øget ansvar og til besiddelse af cyberkompetencer, der kan sanktione
res med forbud mod at varetage ledelsesfunktioner i en af grænset periode.
• Og så er der en række af sanktionsmuligheder, der ender med risiko for bøder på op til 2% af global omsætning el ler 10 mio. euro. Organisationen kan også blive pålagt at offentliggøre manglende overholdelse af deres forpligtelser.
• Aktuelt er der en afdækning i gang indenfor de sektorer, som er nævnt direkte i NIS2-teksten, der skal præcisere hvilke virksomheder og organisationer i den enkelte sektor, der er omfattet. Det har ikke bare betydning for virksomhederne indenfor sektoren, men også for leverandører til de virksom heder, som er omfattet.
Omfatter også leverandører Leverandører skal nemlig overholde kundens krav i NIS2 og være kontraktlig forpligtet til at overholde dem. Og selvom SMV’er med under 50 ansatte og en årlig omsætning på under 10 mio. euro ikke er omfattet direkte af NIS2, kan der blandt leverandørerne være SMV’er, der indirekte får reguleringen at mærke.
Af fagleder for cybersikkerhed og digital ansvarlighed Morten Rosted Vang, DI Digital
NIS2 udvider markant de omfattede sektorer fra 7 til 18, der udover opdeler man virksomhederne i ”væsentlige” og ”vigtige” sektorer”, hvor den primære forskel består i omfang af tilsyn og bødeniveau.
Men selv, hvis en virksomhed er undtaget på grund af sin stør relse, vil kravene alligevel blive relevante, hvis virksomheden er leverandør til en omfattet kunde. Vi ser i advokatbranchen i Danmark og internationalt i Bird & Bird, at kundernes krav til leverandørernes afdækning af kundernes egen regulatoriske compliance fylder mere og mere – både som et kvalitetsparame ter, men også som hårde ufravigelige kontraktkrav.
Det stiller høje krav til også mindre leverandørers indsigt i me get omfangsrig og kompleks regulering. Det ser vi allerede in
denfor regulerede sektorer såsom energi, tele og finans og på tværs af brancher med GDPR.
Jeg anbefaler, at SMVere allerede nu fokuserer på følgende fire områder i deres forberedelse på NIS2 compliance:
1. Bliver min virksomhed omfattet af NIS2?
2. Kortlægning af risikoanalyse og informationssystemsikkerhed - i egen virksomhed såvel som i sin forsy ningskæde
3. Forankring af ansvar for og fokus på net og informationssikkerhed på ledelsesniveau
4. Bliver mine kunder omfattede af NIS2?
Derudover vil jeg anbefale, at der allerede nu laves en plan for NIS2 parathed. Det begynder vi så småt at se i Bird & Bird som et krav fra internationale investorer og regulerede kunder.
Post og udbringning
og
(fremstilling og
Fremstilling
(pharma, computer/elektronik,
udstyr, elektrisk udstyr, maskineri, køretøjer og andet transportudstyr)
Digitale udbydere (online markedspladser, søgemaskiner og sociale platforme)
Cybersikkerhed vil blive et konkurrenceparameter blandt virksomheder, der ønsker at levere tjenester til kritisk infra struktur.
Som del af NIS2 direktivet vil omfattede virksomheder blive pålagt at risikovurdere og stille krav til hele deres forsynings kæde. Hvis I som underleverandør ønsker at stå stærkt, skal i allerede nu begynde at tænke på cybersikkerhed, åbenhed og certificeringer af jeres processer og kontroller.
Et godt sted at starte er Center for Cybersikkerheds 20 tekni ske minimumskrav, hvilke vil sikre et godt fundament for jeres tekniske cybersikkerhedskontroller.
Som virksomhed underlagt NIS2 vil det være oplagt at bede sin forsyningskæde om revisionserklæringer på, at processer og kontroller er i orden. I kan som leverandør til kritiske virk somheder derfor allerede nu påbegynde arbejdet med at blive klar til en ISAE 3402 revision, således at I kan påvise overfor for jeres kunder, at I efterlever god skik indenfor cybersikker hed.
Ovenstående vil kræve en del arbejde, men vi ser allerede nu, at flere og flere virksomheder bruger revisionserklæringer som konkurrenceparametre, og det nye NIS2 direktiv vil kun sætte endnu mere skub i denne trend.
Der bliver en hel del SMV’er, som bliver omfattet af NIS2. I forhold til NIS1 så er scopet bredere og en række underle verandører til f.eks. fødevarebranchen, medicinalindustrien, transportsektoren og forsyningsselskaberne vil få NIS2-com pliance som et krav.
I første omgang handler det om at få styr på sikkerheden på en struktureret og kontinuerlig måde. Der skal dokumen teres, at der er lavet en trusselsvurdering, at sårbarheder i virksomhedens informationssystemer er klarlagt og der laves en risikoproces, der kvantificerer de risici, som virksomhe den har i forhold til cyperangreb, phishing, malware og evt. ransomwareangreb.
En af de vigtigste processer at få implementeret er de løben
de tests, tiltag, ændringer og opdateringer, eventuelt i form af et årshjul. Dette skal sammen med årlige interne audits ga rantere, at virksomheden til en hver tid er bedst muligt sikret mod de mest aktuelle cyberangreb. Mange af disse aktivite ter kan udføres og implementeres med en konsulent, der er NIS2-kyndig, naturligvis i samarbejde med ledelsen og virk somhedens aktører.
Det er naturligvis også vigtigt, at man får fokuseret på de for andringer, som der kan opstå i forbindelse med øget IT-sik kerhed. IT-sikkerhed vil altid skabe forandringer i en organi sation, og har man ikke fokus på dem, så kan man risikere at sætte hele ens IT-sikkerhed over styr. Derfor er forandringsle delse vigtigt at medtage, når man skal være NIS2-compliant.
- både dem med flere end 50 ansatte, men særligt dem, der potentielt er leverandører til virksomheder, der er omfattet af NIS2? Danske virksomheder forventes at skulle leve op til de nye krav i andet halvår 2024. Nogen undrer sig måske over ’postyret’ allerede nu. Men ser man på de krav, som virksom hederne skal leve op til, på de sanktionsmuligheder – bøder og ledelsesansvar – som kan ramme samt husker lidt tilbage på kampen for at blive GDPR-compliant, så tegner der sig et billede af, at det vil være rettidig omhu at komme i gang med arbejdet. Nu.
NIS2-direktivet kommer på baggrund af erfaringer fra NIS1-direktivet samt et stort ønske om at styrke cybersik kerheden i EU både i bredden, med udpegning af yderligere sektorer, og i dybden, med nye krav til sektorerne. Målet er en helt nødvendig styrkelse af cybersikkerheden, men for mange vil det også betyde udfordringer og øgede udgifter at leve op til kravene.
Selvom NIS2 primært berører større virksomheder, bliver mindre virksomheder også ramt, hvis de udgør digital in frastruktur og/eller har en kritisk betydning for samfundet.
Det samme gælder mindre leverandører til de udvalgte sek torer, når de udvalgte sektorer begynder at stille krav til dem. I Industriens Fond har vi igangsat en kortlægning, der skal vise, hvilke organisationer, der er omfattet, samt give en vurdering af, hvor parate de er ift. kravene. Har de fx gen nemført en risikoanalyse, har de et ledelsessystem til styring af informationssikkerhed, har de en plan for håndtering af hændelser osv.
Opgaven kræver et offentligt-privat samarbejde, og vi har derfor nedsat en følgegruppe med repræsentanter fra myn digheder og brancheorganisationer fra stort set alle berørte sektorer. Det skal også sikre, at vi kan handle på den viden, vi får. Information og vejledning til virksomhederne skal være så målrettet som mulig – og i så god tid, at man kan nå at blive klar. Vi har de første resultater fra kortlægningen slut november og den endelige rapport i februar 2023. Indtil da kan vi kun opfordre virksomheder til at forholde sig til mini mumskravene. Og man skal ikke kun lave en solid risikoana lyse, fordi ’EU siger det’, men fordi det handler om at passe på forretningen.
DIN IT-SIKKERHED SKAL I SYSTEM – MEN HUSK AT SE PÅ FORANDRINGERNE!
Karsten
STÅ STÆRKT SOM UNDERLEVERANDØR
ALLEREDE NU PÅ CYBERSIKKERHED
Selv de mest smarte og intelligente værktøjer er ikke længere nok, når det gælder om at beskytte sin virksomhed mod cyberangreb. God it-sikkerhed kan kun op nås, når der skabes modenhed i virksomheden og forståelse for truslerne. Det er en rejse, der skal involvere alle i organisationen lige fra receptionist til topledelse.
Af Henrik Malmgreen
Selv om Danmark er et af de mest digitaliserede lande i verden, med alle de samfundsmæssige og infrastrukturmæssige fordele, det medfører, ligger Danmark langt nede på listen, når det gælder cybersikkerhed. Faktisk placerer vi os ifølge Account Director Thomas Hedegaard fra sikkerhedsfirmaet WithSecure helt nede på en position som nummer 32 eller 33 blandt de lande, vi normalt sammenligner os med.
”Det kan umiddelbart lyde lidt underligt, men det hænger blandt andet sammen med, vi danskere af natur stoler på an dre mennesker. Vi er tillidsfulde, og det er faktisk en ekstra risikofaktor, der skal lægges til trusselsbilledet, når vi taler om it-sikkerhed”, siger Thomas Hedegaard. Med det mener han så også, at det er et forhold som virksomhedernes ledelse skal have fokus på. It-sikkerhed skal med andre ord integreres som en del af virksomhedskulturen.
Det er en hårfin balancegang
”Det er ledelsens opgave at sikre, at hele organisationen er klar over og bevidst om, hvorledes det skal håndteres, og det gælder alle medarbejdere lige fra receptionisten til direktøren selv”, siger Thomas Hedegaard videre.
Han er udmærket klar over, at virksomhederne er afhængige af åbne kommunikationskanaler, for ellers er det ikke muligt at drive forretning, men i sidste ende handler det altså om at skabe den rigtige balance mellem åbenhed og sikkerhed. ”En ting kan man i hvert fald være helt sikker på, og det er,
Det er ledelsens opgave at sikre, at hele organisationen er klar over og bevidst om, hvorledes det skal håndteres, og det gælder alle medarbejdere lige fra receptionisten til direktøren selv
Thomas Hedegaard, Account Director WithSecureat de it-kriminelle ikke har nogen respekt for, at danskerne er et tillidsfuldt folk. Tværtimod vil de gøre, hvad de kan for at misbruge den tillid, og det er ekstremt vigtigt, at såvel virksomhedens ansvarlige ledelse som virksomhedens it-sik kerhedsansvarlige, CISO’en, forstår dette”, uddyber Thomas Hedegaard.
Johan Mellin, der er Solution Consultant i WithSecure, er ganske enig.
Sikkerhed er forretningskritisk ”Det er vigtigt at understrege, at hverken Machine Learning eller Artificial Intelligence kan løse sikkerhedsproblemerne.
Uanset hvad vi råder over af avanceret teknik, har vi stadig brug for mennesker til at drive de sikkerhedsmæssige proces ser i virksomhederne. Mennesker, der både forstår teknologi en og ikke mindst de it-kriminelles tankegang. Hvis ikke det er tilfældet, får man ikke succes med at opbygge god it-sikker hed”, siger Johan Mellin.
Han tilføjer, at det er mindst lige så vigtigt, at virksomhedens ledelse ser it-sikkerhed som et værktøj til at holde forretnin gen i gang i stedet for at betragte det som en omkostning. Det skal med andre ord være en integreret del af virksomhedens forretningsstrategi, for hvis it-sikkerheden er afskåret fra at drive forretning, giver det jo heller ikke megen mening at have et forsvar, mener altså Johan Mellin.
Både en styrke og en svaghed Samtidig er det vigtigt at holde sig for øje, at hverken teknolo gi eller mennesker er et hundrede procent skudsikre, hvilket betyder, at der altid vil være en risiko for, at et cyberangreb trænger gennem forsvaret. Blandt andet fordi de fleste sik kerhedsbrud sker på baggrund af menneskelig aktion, f.eks. hvis en medarbejder trykker på et link, som vedkommende bestemt ikke skulle have trykket på.
”De it-kriminelle jo snedige og viger ikke tilbage for at bruge psykologi for at få en medarbejder til at trykke på linket, så i virkeligheden er der tale om et tveægget sværd, hvor med arbejderen både kan være en sikkerhedsmæssig styrke og en sikkerhedsmæssig svaghed. Netop derfor er det så vigtigt, at der opbygges en bevidsthed blandt alle medarbejdere om de
udfordringer og farer, som banker på virksomhedens dør hver evige eneste dag”, tilføjer Thomas Hedegaard.
Vær forberedt på det uventede I den forbindelse understreger Johan Mellin vigtigheden af at være parat og være forberedt på et eventuelt cyberangreb. Trusselsbilledet ændrer sig konstant, og selv om det i dag ikke ser ud som om, risikoen er større end ellers, kan billedet se meget anderledes ud i morgen.
Han siger videre, at hvis situationen pludselig spidser til, er
det ikke engang sikkert, at virksomheden kan få hjælp, ganske enkelt fordi, den måske kommer bag i køen.
”En del virksomheder tror heller ikke, de er interessante nok til at komme i de it-kriminelles søgelys, men det er alle virk somheder i princippet. Derfor gælder det om at have lavet en aftale med et sikkerhedsfirma om en Incident Response Retainer. Det betyder, at virksomheden har en kontrakt på hurtig assistance, hvilket er essentielt. Faktisk lige så essen tielt som at have tegnet forsikring mod brand eller vandskade”, slutter Johan Mellin.
WithSecure har undersøgt trusselsbilledet WithSecure har spurgt mere end 3.000 itbeslutningstagere, it-influencere og topledere fra en række virksomheder, herunder i Danmark, hvad deres topprioritet og største udfordring er inden for cybersikkerhed. Forebyggelse af e-mailangreb er ifølge undersøgelsen den vigtigste prioritet, mens manglende viden om de mange cybertrusler er den vigtigste udfordring blandt danske virksomheder.
De globale resultater i undersøgelsen viser, at virksomheder prioriterer forebyggelse af data brud højest af alle sikkerhedsrisici. Den næsthøjeste prioritet på globalt plan er beskyttelse mod malware og ransomware, mens e-mailba serede trusler placeres som den tredje højeste prioritet. I Danmark prioriterer virksomhederne dog anderledes.
Her har forebyggelse af e-mailangreb, som f.eks. phishing eller kompromittering af mailsyste met, højeste prioritet sammen med sikringen af cloudbaserede applikationer, som Microsoft Office 365 og Salesforce. Andre sikkerhedspriori teringer inkluderer blandt andet opretholdelse af sikkerheden på tværs af en voksende mængde af enheder, tjenester og software.
Den største udfordring for virksomheder på globalt plan er sikring af de hybride arbejds pladser, som har vundet indpas de seneste år. Hurtigere og mere effektiv håndtering af cyber angreb er den næststørste sikkerhedsudfordring.
”Risikoen for, at de it-kriminelle trænger gennem sikkerheds forsvaret, vil altid være der. Derfor handler det om modenhed i virksomheden. Modenhed omkring, hvorledes den bedst muligt kan være på forkant med udviklingen - blandt andet ved at integrere it-sikkerhed som en del af virksomhedskulturen”, siger Johan Mellin, der er Solution Consultant i WithSecure.
Account Director Thomas Hedegaard fra WithSecure fortæller, at WithSecure i en længere årrække har leveret sikkerheds konsulentydelser samt Managed Detection and Response til virksomheder, der opererer inden for det, man kalder for kritisk infrastruktur, det vil sige finans, energi, kommunikation, logistik, shipping og sundhed.
I Danmark er billedet dog igen anderledes. For danske virksomheder er den største udfordring deres viden om cybertrusler og generel opmærk somhed på digital sikkerhed på tværs af virksom heden. I de globale resultater er denne udfordring kun den tredjestørste.
Læs mere på www.withsecure.com/dk-da
”Vi lever i et gennemdigitaliseret samfund. Bare ét enkelt vellykket cyberangreb kan være en trussel mod fundamentet for den danske infrastruktur. Jeg er derfor enormt glad for, at vi nu på tværs af flere organisationer er gået sammen om at udarbejde en ny strategi, som gør vi kan stå stærkere mod det høje trusselsniveau” udtaler Natasha Friis Saxberg, administrende direktør i IT-Branchen. Cybersikkerhed handler ikke kun om de tekniske løsninger og om overvågning og beskyttelse af it-systemer, sensorer og firewalls. Det handler i høj grad også om at sikre stærke kompetencer og om samarbejde og videndeling mellem virk somheder og organisationer i både den private sektor og den offentlige sektor.
Hvis vi skal sikre en robust og sikker digital infrastruktur i
Danmark, så skal vi være gode på alle parametre. Vi skal have gode tekniske løsninger. Vi skal have de mest kompetente medarbejdere, som er på forkant med udviklingen. Og vi skal organisere os, så vi kan samarbejde effektivt og dele viden og informationer.
Det er netop erkendelsen af, at vi bliver stærkere og mere ef fektive ved at samarbejde og løfte i flok, der er baggrunden for, at en række branche- og erhvervsorganisationer i samarbejde med Center for Cybersikkerhed har taget ansvaret for at udar bejde en ny strategi for cybersikkerhed på teleområdet som et bidrag til og en opfølgning på regeringens nationale cyber- og informationssikkerhedsstrategi.
Cybersikkerhed er en national holdsport Essensen af strategien er, at vi skal styrke den fælles indsats
og samarbejdet mellem de samfundsvigtige områder, internt i telebranchen og med Center for Cybersikkerhed. Teleinfra strukturen er fundamentet for så mange dele af samfundet, at cyberangreb og digitale nedbrud kan have fatale og læn gerevarende konsekvenser. Vores erhvervsliv, offentlige myn digheder og andre samfundsvigtige områder kan ikke fungere uden en sikker og robust teleinfrastruktur.
En tidligere forsvarsminister har sagt, at cybersikkerhed er en national holdsport.
Det er et meget præcist billede på det samarbejde, som vi øn sker at etablere. Alle parter er villige til at indtage sin plads på holdet og tage et fælles ansvar.
Vi har allerede i dag et tæt og konstruktivt samarbejde, men vi kan nå endnu længere. Det er en ambition, som vi vil løfte og indfri i fællesskab.
En stadig større kompleksitet og et stadig skiftende trusselsbillede er nogle af de perspektiver, som påvirker Danmarks sikkerhed. Lyder dette spændende? Så har du nu muligheden for at bidrage til be skyttelsen og forebyggelsen af politiets informationssikkerhed.
Rigspolitiets sikkerhedssektion er ramme sættende og koordinerende for informati onssikkerheden i dansk politi, og vi søger en engageret kollega der vil være med på hol det. Hos os bliver du en del af et dedikeret team af forskellige specialister der arbejder med informationssikkerhed på både et tek nisk og strategisk niveau. Vi har godt humør og en uformel omgangstone, hvor du indgår i et vidensdelende miljø og bidrager positivt til opgaveløsningen.
Vi forestiller os, at:
• du har interesse for kontrol og tilsyn
• du har en relevant it-uddannelse gerne suppleret med én eller flere
relevante certificeringer inden for informationssikkerhed. Alternativt kan du have opbygget indsigt og forstå else for informationssikkerhed og/ eller it gennem praktisk erfaring.
• du har minimum 3 års erfaring inden for informationssikkerhed, men anden erfaring kan også være relevant. Vigtigst er naturligvis at du viser interessen og viljen til udvikling inden for informationssikkerhedsområdet.
• du på sigt leverer en selvstændig indsats, hvor du aktivt medvirker til at opretholde og sikre de informati onssikkerhedsmæssige opgaver.
• du evner at formidle samt skabe struktur i et komplekst it- og interes sentlandskab, hvor din interesse for feltet afspejles i din opgaveløsning.
Søg
med cyber- og informationssikkerhed på teknisk niveau på baggrund af det aktuelle trusselsbillede. Vi løser dagligt en bred vifte af opgaver, herunder sikkerhedsanalyser og teknisk analyse af data fra overvågningsværktøjer samt håndtering og opklaring af sikkerheds hændelser – alt sammen i et komplekst it-landskab.
Vi forestiller os, at:
• du har en relevant uddannelse og flere års erfaring. Har du suppleret din uddannelse med relevante certifice
ringer (GIAC, CISSP, OSCP, CEH) vil det være en fordel men ikke et krav.
• du har en skarp evne at skabe overblik og struktur i komplekse situationer og opgaver uanset, om du skal arbejde med tekniske analyser, sikkerheds hændelser eller loganalyser.
• du kan levere en selvstæn dig og proaktiv indsats.
• du fremtræder rolig og tålmodig, bevarer overblikket og løser opgaver ne – også i pressede situationer.
Opgavefordelingen tager højde for teamets faglige sammensætning og den enkeltes kompetencer og interesser, så du har mulig hed for selv at være med til at præge dine arbejdsområder.
Søg stillingen: Jobipolitiet.dk
Ansøgningsfrist:
Kontakt sektionsleder
Borgeskov
telefon
8700, hvis du har spørgsmål til stillingen.
Danmark er blandt verdens mest digitaliserede samfund, og derfor bør cybersikkerhed også være en topprioritet. Cybertruslen mod Danmark og danske virksomheder er konkret, kompleks og reel. Vi skal derfor gøre vores yderste for at være forberedt, og
vores cyberforsvar.Af Natasha Friis Saxberg, adm. direktør, IT-Branchen, Thomas Flarup, chef for Center for Cybersikkerhed, Poul Noer, fagchef for telepolitik, Dansk Erhverv, Rikke Hougaard Zeberg, branchedirektør, DI Digital, Morten Baadsgaard Trolle, chefkonsulent, FiberAlliancen, Dennis Larting, chef for TeleDCIS & Jakob Willer, direktør, Teleindustrien
Om jobbet
• Du bliver en del af centerets kundeteam, hvor du bl.a deltager i onboardingforløb for nye kunder
• Du skal være med til at sikre den højst mulige datakvalitet i de data, vi har adgang til hos kunden.
• Du skal bidrage til sikkerhedsstatistikker til intern ledelsesrapportering og tekstbidrag til centerets publikationer og andre sikkerhedsrelaterede rapporter.
• Deltager i møder og workshops med sikkerhedsansvarlige personer i både den offentlige og private sektor.
Vi forestiller os, at du:
• Har erfaring med analyser af store datasæt.
• Har en god forståelse af computernetværk, herunder netværkstopologi og protokoller. Har erfaring med at scripte med eksempelvis Python eller tilsvarende som en naturlig støtte til dine dataanalyser.
• Har fokus på detaljer og prioriterer at dokumentere din proces og resultater.
• Er en holdspiller der ved, at vi løfter bedst i flok.
• Er god til at kommunikere i både tekst og tale –også gerne på engelsk.
Uanset om du er i starten af din it-karriere, har flere års erfaring i bagagen eller om du føler dig stærkere på dataanalyse end netværksprotokoller eller omvendt, hører vi stadig gerne fra dig.
Du skal sende din ansøgning og CV via stillingsopslaget, senest den 15. november 2022.
Vi forventer, at de indledende ansættelsessamtaler vil finde sted fra uge 47 og stiler mod en ansæt telse fra 1. februar 2023.
Vi opfordrer alle interesserede uanset personlig baggrund til at søge stillingen.
Du kan læse hele opslaget på vores hjemmeside fe.dk, men du er også velkommen til at kontakte den lokale HR-partner på fe-4545@fe-ddis.dk, hvis du har spørgsmål til stillingen eller ønsker flere oplysninger.
Vi glæder os til at modtage din ansøgning.
Læs mere her: https://fe-ddis.dk
Ansøgningsfrist: 15-11-2022
Arbejdssted: Østbanegade, København Ø
En af de helt store udfordringer på cybersikkerhedsområdet er, om der vil være medarbejdere og specialister nok til at løfte opgaverne, som skal løses i alle dele af samfundet, herunder på teleområdet. Det er en udfordring, som skal løses både i ud dannelsessystemet og ved kompetenceudvikling i det offentli ge og hos virksomhederne.
Styrket kompetenceudvikling
Med den nye opdaterede strategi for cybersikkerhed på tele områdeter er der netop sat fokus på at styrke kompetenceud viklingen på cybersikkerhedsområdet.
I regi af den decentrale cyber- og informationssikkerhedsen hed på teleområdet vil der blive igangsat fælles øvelses- og ef teruddannelsesaktiviteter, ligesom branchen vil deltage aktivt i øvelser og uddannelsesaktiviteter koordineret fra og udbudt af Center for Cybersikkerhed.
Tilsvarende er der gode tiltag i strategien, der skal fremme hurtig og effektiv udveksling af viden om potentielle eller igangværende angreb.
Det skal muliggøre hurtig respons, der kan være helt afgøren de for at dæmme op for et angreb.
Derfor er partnerne enige om at lancere mere effektive proces ser for rettidig vidensdeling, og at der skal måles og evalueres på resultaterne.
Det må være en fælles national målsætning, at mangel på kompetencer og kvalificerede medarbejdere eller svagheder i vidensdelingen aldrig må blive en reel sårbarhed for hverken det offentlige eller for virksomhederne.
Digitaliseringsstyrelsens Kontor for cyber- og informationssikkerhed (KCI) arbejder dagligt for at løfte danskernes digitale sikkerhed og søger nu en stærk kompetencemedarbejder, der kan hjælpe os med at løfte denne dagsorden blandt offentlige ansatte.
Sammen med gode kollegaer kommer du til at drive kompetenceudviklingsindsatser indenfor cyber- og informationssikkerhed rettet mod offentlige ansatte. Dine opgaver omfatter bl.a.
• Videreudvikle og udbrede kurser om cybersikkerhed.
• Planlægge arrangementer med fokus på krav til informationssikkerhed og understøttende kompetenceopbygning målrettet ledere og medarbejdere.
• Opdatere og målrette vejledningsmateriale om forskellige aspekter af informationssikkerhed.
• Facilitere og udvikle vores netværk og arbejdsgrupper.
• Generel interessenthåndtering og kommunikationsopgaver om cyber- og informationssikkerhed.
Vores kontor består af ca. 30 medarbejdere med et stærkt fagligt og socialt fællesskab.
Vi forestiller os, at du har en længere videregående uddannelse på kandidatniveau og enten er nyuddannet eller har nogle års erfaring fra en offentlig myndighed, politisk styret organisation, konsulenthus e.l. Derudover leder vi efter dig, der:
• Har viden om eller interesse for cyber- og informationssikkerhed.
• Brænder for formidling og kompetenceudvikling.
• Arbejder selvstædigt og tager ansvar.
• Kan overskue en bred vifte af opgaver.
• Besidder gennemslagskraft og kan skabe strukturerede processer, overblik og samarbejde på tværs af fagligheder.
Interesseret? Hvis du vil vide mere om stillingen, er du velkommen til at kontakte Marie Wessel (tlf. 22 46 59 10 eller mail: mwess@digst.dk). Du kan læse mere om stillingen, Digitaliseringsstyrelsen og ansøge online via dette link senest den 6. november 2022.
Hvis du synes der er meget snak om it-sikker hed, er det ikke for sjov. Og hvis du bekym rer dig er det ikke uden grund, og du er ikke spor alene.
PwC Danmark årlige ”Cybercrime Survey” tager temperaturen på it-sikkerheden i dan ske virksomheder.
Den seneste rapport udkom i oktober 2022, og viser at mere end halvdelen af danske virksomheder har været udsat for mindst én sikkerhedshændelse inden for det seneste regn skabsår. Sådan har det være fire år i træk.
Dystre tal: Hver anden virksomhed rammes ”PwCs rapport er nyttig og nedslående læsning, og fortæller historien om, hvorfor virksomhederne er mere bekymrede i dag end for et års siden”, siger Janus Sandsgaard, digitalise ringspolitisk fagchef i Dansk Erhverv.
• 51% har været udsat for mindst én sikkerhedshændelse de seneste 12 måneder.
• 63% er i dag mere bekymret for cybertruslen end for et år siden. Af dem peger et stort flertal på konflikten med Rusland som årsag hertil.
• 59% forventer, at virksomhedens cyber- og informations sikkerhedsbudget vokser inden for de næste 12 måneder. Blandt de større virksomheder er det 72%.
Især SMV’erne har ondt i sikkerheden ”It-sikkerheden sejler stadig i alt for mange virksomheder.
Det lyder måske hårdt, men der er ingen grund til at pakke det ind”, siger Janus Sandsgaard
Der er især de små og mellemstore virksomheder der har udfordringer, viser en ny rapport fra Erhvervsstyrelsen, som Janus Sandgaard kalder ”nedslående men desværre ikke cho kerende læsning”. Rapporten viser, at en fjerdedel af SMV’erne ikke anvender ”basale it-sikkerhedsforanstaltninger” – altså foretager systematiske sikkerhedsopdateringer af deres syste mer og har sikkerhedskopi af virksomhedens data.
”Det er en sprængfarlig cocktail for alle it-systemer har huller og sprækker som de kriminelle kan udnytte til deres angreb. Leverandørerne gør deres yderste for løbende at rette fejl og lappe huller, men det nytter intet, hvis opdateringer ikke bliver brugt. Og når først de kriminelle kommer ind, kan de slette eller låse virksomhedens data, og så er man virkelig på spanden uden en sikkerhedskopi”.
• 25 pct. af de danske SMV’er anvendte ikke de to basale it-sikkerhedsforanstaltninger i 2020: opdatering af styresystemer og backup af data. Det er omtrent på samme niveau som i 2018 og 2019.
• 44 pct. af SMV’erne har et for lavt sikkerhedsniveau i forhold til deres sikkerhedsprofil.
Kilde: Erhvervsstyrelsen: “Digital sikkerhed i danske SMV’er”, september 2022
Det handler ikke om at pege fingre, men at tale åbent om de reelle problemer og række en hjælpende hånd, understreger Sandsgaard. For trusselsbilledet har udviklet sig, så ingen virksomhed kan længere føle sig sikre:
”På den ene side har vi en virksomhed, som selvfølgelig er optaget af at passe og udvikle kerneforretningen. Man er ikke it-eksperter og har derfor svært med at følge med. Og på den anden side lurer dybt professionelle, kyniske bagmænd, der investerer enorme summer i at udvikle og forfine deres an greb. Asymmetrien er enorm, og det er farligt”.
Der findes ikke noget enkelte teknisk fiks på udfordringerne med it-sikkerhed. Det handler langt fra kun om teknik, men i høj grad om adfærd og forankring i ledelsen. Det er et om råde i hastig bevægelse, hvor de færreste virksomheder selv kan følge med.
”Det er glædeligt at se at, hvordan markedet reagerer på trus len, og tilbyder produkter der taler ind i forretningen hos andre virksomheder. Se fx teleselskabet Telenor, der bygger en række sikkerhedsløsninger ind deres med mobil- og bred båndsabonnementer. Eller Tryg som arrangerer gå-hjemmøder om cybersikkerhed for kunderne, tager en stemme i debatten, og har lanceret cybersikkerhedsforsikringer der hjælper virksomheden videre, hvis skidtet rammer ventila toren. Den slags er med til at trække it-sikkerhed ud af det nørdede teknikrum og ind i direktionslokalet, hvor det skal
PwCs rapport er nyttig og nedslående læsning, og fortæller historien om, hvorfor virksomhederne er mere bekymrede i dag end for et års siden.
Janus Sandsgaard, digitaliseringspolitisk fagchef Dansk Erhverv
Kilde: PwC: “Cybercrime Survey 2022”, oktober 2022.
behandles på lige fod med andre risici – fysisk indbrud, brand og hærværk”, fastslår Janus Sandsgaard.
I september 2021 så verdens første mærkningsordning for digital ansvarlighed dagens lys, og det skete i Danmark. D-mærket skal gøre it-sikkerhed konkret og forretningsnært gennem en række krav der er tilpasset virksomhedens type og risikoprofil.
”Vi gik ind i arbejdet, fordi vi kunne se at mange virksomhe der har ondt i it-sikkerheden, og har brug for hjælp”, siger Ja nus Sandsgaard. ”Til en start skal virksomhederne blive mere robuste, og på sigt skal det styrke konkurrencekraften og gøre it-sikkerhed og digital ansvarlighed til en dansk styrkepositi on. Vi skal vende et kæmpe problem til en stor fordel.” Industriens Fond står bag D-mærket i samarbejde med For brugerrådet Tænk, Dansk Erhverv, Dansk Industri og SM Vdanmark. D-mærket støttes af Erhvervsstyrelsen og er en uafhængig privat organisation.
Folketingsvalgkampen har raset de seneste uger, men digitali seringen har ikke fyldt meget.
”Fraværet af digitalisering i valgkampen er påfaldende, for digitalisering er nøglen til at løse store samfundsudfordrin ger om velfærd, klima og sundhed, og det burde optage alle politikere, uanset partifarve. Men sådan er det desværre ikke,
og det giver et fingerpeg om, hvor sikkerhedsdagsordenen be finder sig politisk”, siger Janus Sandsgaard.
Politisk er langt de fleste ressourcer på sikkerhedsområdet i Danmark allokeret til Center for Cybersikkerhed, som ligger under Forsvarsministeriet, og hvis primære opgave er at passe på Danmarks nationale sikkerhed.
Det er et omfattende og vigtigt ansvarsområde, men også et fokus der ikke handler så meget om den enkelte virk somhed.
I december 2021 kom regeringens ”National strategi for cy ber- og informationssikkerhed”.
Her er gode intentioner om at udvide bredden af sikker hedsindsatser med 270 mio. kr. til 34 initiativer for perioden 2022-24, men det er slet ikke nok, mener Sandsgaard.
”Det nye folketing bliver nødt til at tage ansvar for at tæn ke sikkerhedsområdet bredere og videre. De færreste virk somheder er samfundskritiske. Danmark går ikke i stå, hvis enkelte virksomheder bliver ramt eller drejer nøglen om. Men et vellykket cyberangreb kan være fatalt for den enkel te erhvervsdrivende, og det kan vi ikke være bekendt at lade passere. Vi savner at Christiansborg tager politisk ejerskab for den digitale dagsorden, herunder for en bredere sikker hedsdagsorden, som omfatter erhvervslivet i almindelighed. Cybersikkerhed er en investering i fremtiden, og det glæder jeg mig til at høre en ny statsminister sige fra folketingets talerstol”, slutter Janus Sandsgaard.
Fakta om D-mærket:
D-mærket er relevant for alle typer af virksomhe der. D-mærket tildeles virksomheder og ikke spe cifikke produkter og tjenester. D-mærket består af 8 overordnede kriterier som dækker it-sikker hed, persondatabeskyt-telse, kunstig intelligens og dataetik. D-mærkets tilpasses den enkelte virksomhed, så en mindre virksomhed f.eks. en låsesmed ikke skal leve op til de samme antal kriterier, som en stor it-virksomhed. Det er gratis for virksomhederne at komme i gang og anvende D-mærkets digitale selveva-lueringsværktøj, men der er årlig betaling for at få selve mærket.
Prisen for D-mærket afhænger bl.a. af virksom hedens størrelse og dens anvendelse af data og it.
D-mærket er baseret på anerkendte, internatio nale rammeværker fra europæiske og nati-onale råd, udvalg og arbejdsgrupper, så mærket kan udbredes på europæisk plan og i større grad til internationalt orienterede virksomheder
