Sådan læser du en trusselsvurdering – og hvad den betyder for din virksomhed
Et cyberangreb mod et dansk vandværk i december 2024 efterlod flere hundrede husstande uden vand i flere timer. Ifølge den seneste trusselsvurdering fra Styrelsen for Samfundssikkerhed (SAMSIK) viser hændelsen, at digitale angreb nu kan få fysiske konsekvenser – også herhjemme.
Men hvad betyder det for dig som leder? Og hvordan bør man læse en trusselsvurdering, så den faktisk bliver et strategisk værktøj – ikke bare et teknisk notat?
1. Fra efterretning til ledelsesbeslutning
En trusselsvurdering beskriver hvem der kan, vil og gør noget. Det kaldes trusselslogikken – og er kernen i, hvordan myndigheder og eksperter vurderer cybertrusler:
- Kan – har aktøren evnen og ressourcerne?
(I dag har næsten alle aktører teknisk kapacitet.) - Vil – har de motivationen?
(Politisk, økonomisk eller ideologisk.) - Gør – ser vi aktivitet nu?
(Scanninger, intrusionsforsøg, faktiske angreb.)
Når alle tre faktorer er til stede, er truslen operationel – ikke hypotetisk.
Model af trusselslogikken
2. Hvad vandsektorens vurdering fortæller os
SAMSIK vurderer, at:
Truslen fra cyberkriminalitet mod vandsektoren er meget høj – primært drevet af ransomware og supply chain-angreb.
Truslen fra cyberaktivisme og destruktive angreb er middel – men voksende, især som følge af konflikten mellem Rusland og Vesten.
Truslen fra cyberterror er ingen.
Et centralt eksempel:
Et pro-russisk angreb i december 2024 manipulerede trykket i et dansk vandværks OT-systemer, hvilket medførte et sprunget vandrør og midlertidig afbrydelse af forsyningen. Angrebet blev hurtigt håndteret – men viste, hvordan en svag segmentering mellem IT og OT kan gøre en teknisk hændelse til en driftskrise.
3. Læs sproget bag vurderingen
Ord som “muligt”, “sandsynligt” og “meget sandsynligt” har faktisk en procentuel betydning:
| Betegnelse | Sandsynlighed | Betydning for ledelsen |
| Usandsynligt | <10% | Lav prioritet |
| Muligt | 40–60% | Overvåg og scenarieplanlæg |
| Sandsynligt | 60–90% | Aktiv risiko |
| Meget sandsynligt | >90% | Kræver handling nu |
Når trusselsvurderingen f.eks. siger, at “det er meget sandsynligt, at sektoren vil blive udsat for forsøg på cyberkriminalitet”, er det ikke en vag formulering – det betyder, at risikoen ligger over 90 %.
4. Hvad ledelsen bør tage med sig
- Forstå jeres afhængigheder. Vand, energi, logistik og IT hænger sammen. Et angreb ét sted kan få følgevirkninger i hele forsyningskæden.
- Se trusselsvurderingen som et pejlemærke. Den siger ikke, hvordan I bliver ramt, men hvor sandsynligt det er, at nogen prøver.
- Kobl vurderingen til egen risikoanalyse. Hvad betyder et OT-nedbrud for jeres drift, jeres kunder, jeres image?
- Øv jer. Mange virksomheder bruger nu trusselsbaserede scenarieøvelser for at teste deres reaktionsevne – ikke bare teknikken, men også beslutningsgangen i ledelsen.
5. Fra vurdering til handling
En trusselsvurdering skal ikke skabe frygt – den skal skabe fokus.
Når ledelser forstår, hvordan vurderingerne er bygget op, bliver de et beslutningsværktøj for risikostyring, ikke et bilag til it-afdelingen.
Du kan læse Styrelsen for Samfundssikkerheds fulde rapport her.
