Cyberbarometeret 2024: Cybersikkerhed er et konkurrenceparameter og ’license to operate’
Cybertruslerne er blevet endnu mere tydelige for virksomhederne i 2024. Det kommer til udtryk i årets Cyberbarometer, som Industriens Fond står bag. Undersøgelsen blev præsenteret tirsdag og viser blandt andet, at to ud af tre virksomheder oplever en konkurrencefordel efter at have indført tiltag for at styrke cybersikkerheden.
For tredje år i træk udgav Industriens Fond Cyberbarometeret, der undersøger sammenhængen mellem cybersikkerhed og konkurrenceevne. Årets Cyberbarometer blev præsenteret ved en stor lancering i Industriens Hus tirsdag. Her blev en række centrale aktører inden for cybersikkerhedsområdet stillet spørgsmålet: Hvordan får vi særligt SMV’erne til at skrue op for deres cybersikkerhedstiltag?
”Flere virksomheder har taget bestik af et hævet trusselsniveau og har indset, at arbejdet med cybersikkerhed er nødvendigt for at kunne modstå stadig mere avancerede hackerangreb. Det er en af de klare pointer, vi ser i årets Cyberbarometer”, sagde Malene Stidsen, der er programchef for cybersikkerhed i Industriens Fond.
Undersøgelsen viser også, at antallet af virksomheder, der slet ikke har implementeret nogen tiltag, er faldet fra 8 procent i 2022 til 5 procent i 2024.
Ikke længere kun et nødvendigt onde
Ifølge rapporten stiger konkurrencefordelen i takt med antallet af gennemførte cybersikkerhedstiltag. To ud af tre virksomheder oplever konkurrencefordele efter at have indført ét eller flere tiltag for at styrke cybersikkerheden.
”Cybersikkerhed er gået fra at være et nødvendigt onde til noget, hvor virksomhederne gerne vil være tydelige omkring, at de prioriterer cybersikkerheden. Det er i en vis udstrækning blevet ’license to operate’, men også et varemærke, hvor rigtig mange virksomheder stempler ind og siger: Cybersikkerhed, det er helt afgørende for os,” sagde Andreas Holbak Espersen, branchedirektør i DI Digital.
Geopolitiske spændinger påvirker virksomheder
I årets undersøgelse er det 69 pct. af virksomhederne, der investerer i cybersikkerhedstiltag, som oplever, at det styrker deres konkurrenceevne. Antallet af virksomheder, som oplever dette, er på niveau med sidste års undersøgelse, hvor det lå på 72 pct. Det stigende trusselsniveau kan være en del af forklaringen på, at der ikke har været en stigning i tallet.
”Noget af det, vi har hørt i vores interviews med virksomhederne, er, at der på grund af de geopolitiske spændinger er kommet et ekstremt stort fokus på cybersikkerhed som en sikring og som noget, man skal bruge til at beskytte sig med her og nu. Det betyder, at cybersikkerhed bliver taget væk fra et fokus som et strategisk aktiv. En anden forklaring kan også være, at der stadig er mange virksomheder, der mangler viden om og ressourcer til at lave langsigtede investeringer i cybersikkerhed,” sagde Amalia Montano Dahl fra Analyse & Tal, der har stået for analysen.
I arbejdet med cybersikkerhed er noget af det vigtigste at indføre strukturerede arbejdsgange, hvor man ikke implementerer tiltagene ad hoc, men strukturerer dem omkring f.eks. sikkerhedsniveauer og adgang til systemer, uddybede Amalia Montano Dahl.
For mange virksomheder er det også svært at knække koden til at få hele organisationen med på cybersikkerhedsrejsen. Derfor er kommunikation til organisationen omkring, hvad det er for nogle værdier, man vil skabe ved at arbejde med cybersikkerhed, også fuldstændig afgørende for at lykkes med implementeringen, viser erfaringerne fra undersøgelsen.
Start med de lavthængende frugter
Under debatten på scenen satte Kirsten Hede fra Bestyrelsesforeningen ord på nogle af de overvejelser, der bør finde sted i virksomhedernes bestyrelser:
”Bestyrelserne skal tænke cybersikkerhed ind i alle strategiske elementer rundt omkring virksomheden - både risikostyring, men også i strategisk produktudvikling. Og det er faktisk også et spørgsmål om, at det her er blevet ’license to operate’. Måske er det derfor, det ikke længere går frem i undersøgelsen som en decideret konkurrencefordel, fordi det tværtimod bliver en konkurrencehindring, hvis man ikke har styr på de her elementer,” fortalte Kirsten Hede.
Visti Malik fra Cyberlandsholdet deltog også i lanceringen af Cyberbarometeret. Set fra hans stol har mange virksomheder fået ryddet op i de mest basale fejl, såsom at have administratorkoder liggende frit fremme. Men der er stadig alt for mange muligheder for ondsindede hackere til at gøre skade på danske virksomheder, ifølge Visti Malik:
”70% af alle angreb kommer fra 30% af sårbarhederne. Størstedelen af angreb kommer fra kendte sårbarheder og phishing, og det er store kriminelle organisationer, der målretter deres angreb til virksomhedens størrelse. Så det mest oplagte er at gå i gang med at sikre, at man har opdateret programmerne til nyeste version eller lave noget phishing-awareness til sine medarbejdere. Menneskerne er altid det svageste led,” sagde Visti Malik.
Truslerne står i kø
Ved lanceringen af Cyberbarometeret 2024 diskuterede et bredt panel af aktører inden for cybersikkerhed, hvordan danske virksomheder kan udnytte cybersikkerhed som en konkurrencefordel. Men det stod også klart, at én ting er konkurrencefordele – cybersikkerhed bliver i højere grad helt nødvendig for virksomhedernes overlevelse i et øget trusselsbillede.
”Jeg tror nærmest, at man skal være gået i hi, hvis man ikke har opdaget, hvad der foregår. Så er det søkabler den ene dag og så er det et nedbrud den anden. Man kan jo kun sige, at det bliver værre og værre for hver dag, der går. Og det er jo dejligt, når man som mig arbejder i en professionel bekymringsindustri. Men det er ikke en spøg: Det er afgørende vigtigt, at cybertruslerne får den her opmærksomhed, de skal have,” sagde Ken Bonefeld, der er senior cybersikkerhedsrådgiver hos Norlys, og fortsatte:
”Det kan måske godt lade sig gøre at følge med for store virksomheder. Men jeg er bekymret for SMV’erne. For hvordan skal en 10-12 mands virksomhed afsætte ressourcerne? Og det gælder både i forhold til, hvis man bliver angrebet, men også i forhold til det store reguleringspres, der er.”
Mikkel Storm Jensen fra Forsvarsakademiet satte en tyk streg under alvorligheden i trusselsbilledet.
”Henover de senere år er det noget, som er kørt underlæggende, hvor vi har kunnet se, at de kriminelle bliver dygtigere og dygtigere. Det har været trends, der har kørt i længere tid, men der, hvor det har taget et knæk, drejer sig specifikt om Rusland. Vi ser nu, at Rusland er skiftet fra at drille os til at ødelægge vores ting. Nu skal vi både være opmærksomme på vores cybersikkerhed, men vi skal også til at passe bedre på det fysiske serverskab, der står i baghaven,” sagde Mikkel Storm Jensen.
D-mærket som genvej til bedre cybersikkerhed
Hvilke skridt skal virksomheder og ikke mindst SMV’ere med begrænsede ressourcer så tage for at prioritere cybersikkerhed og de stigende krav fra omverdenen?
Det vigtigste er at komme i gang, lød det fra virksomheder som Aabo Ideal ved lanceringen, der er begyndt deres cybersikkerhedsrejse.
En genvej, som også blev fremhævet, er D-mærket. D-mærket tilbyder gode værktøjer til at arbejde systematisk med cybersikkerhed i den enkelte virksomhed og samtidig gøre arbejdet let at dokumentere for omverdenen.
”I en virksomhed som vores ser vi på det store trusselsbillede, men der er også en virkelighed med mindre angreb, som vi skal favne. Så vi må ikke ende med at stå som en hjort i forlygterne. Der er mange ting, vi kan gøre, også som en mindre virksomhed, hvor vi kan arbejde sammen med andre virksomheder og mærkningsordninger som D-mærket,” sagde Peter Larsen, direktør i Phlit, og fortsatte:
”D-mærket har hjulpet os med at få helt styr på penalhuset - både sikkerhed, data og alle vores systemer. Det gør det hele meget nemmere, for når vi har D-mærket, så taler vi samme sprog som kunderne. De kan simpelthen se sort på hvidt, at vi er til at stole på.”