Op mod 1,9 milliarder kroner.

Det lyder regningen på for A.P. Møller – Mærsk, efter at den danske virksomhed i sommer blev ramt af et omfattende hackerangreb, som lammede aktiviteten i store dele af selskabets havneterminaler. Det anslog koncernen i dens halvårsrapport i august.

A.P. Møller – Mærsk er langt fra ene om at være offer for it-kriminelle. Omfanget er steget de seneste år, og både i virksomheder og i det offentlige får cyberkriminalitet alarmklokkerne til at ringe.

En ny undersøgelse viser, at cyberkriminalitet i dag er øverst på listen over de trusler, virksomheder og offentlige institutioner mener, sandsynligt eller meget sandsynligt vil kunne føre til en krise inden for de kommende to år. I alt peger 148 – eller 66 procent – af de 225 virksomheder og offentlige institutioner i undersøgelsen på cyberkriminalitet.

Nummer to på listen over trusler er it-nedbrud, som 62 procent af de adspurgte vurderer kan føre til en krise. På tredjepladsen bliver vurderingerne til gengæld forskellige alt efter, om du spørger virksomheder, kommuner og statslige aktører. Her er det henholdsvis svigt fra leverandører, oversvømmelser eller andre konsekvenser af ekstremt vejr og alvorlig skade på omdømmet, der anses som sandsynligt eller meget sandsynligt at kunne føre til en krise indenfor de kommende to år.

– En krise kan opstå på baggrund af rigtig mange forhold – og ikke kun cyberrelaterede hændelser. Vores undersøgelse viser, at der er meget fokus på farer udefra og især cyberkriminalitet. Men når man som organisation skal forberede sig på krisehåndtering, er det en god idé at tænke krisestyring mere bredt, for der er mange fællestræk kriser imellem – uanset om det er hacker­angreb eller oversvømmelse, siger krisestyringsekspert Morten Korslund, Beredskabsstyrelsen, der i samarbejde med Dansk Industri (DI) står bag undersøgelsen.

It-kriser kan lamme hele virksomheden

Zoomer man ind på erhvervslivet, så svarer 65 procent af de 156 virksomheder, som har deltaget i undersøgelsen, at det er sandsynligt eller meget sandsynligt, at cyberkriminalitet kan føre til en krise inden for de kommende to år. Det kommer ikke bag på Morten Pors Simonsen, Head of IT Security i Danfoss.

– It-systemerne er en af de ting, som, hvis de bliver lammet, kan gøre, at virksomheden ligger helt stille. Hvis bygningen brænder, er det kritisk, men ikke på et generelt plan som med en it-krise. Et eksempel er hackerangrebet mod A.P. Møller – Mærsk, som må betegnes som et worst case scenarie. Det viser, hvor realistisk truslen er, siger han.

 Morten Pors Simonsen og Danfoss har været forskånet for alvorlige hackerangreb, men de har registeret it-kriminelles forsøg på at bryde ind bag de digitale sikkerhedsmure. Derfor arbejder Danfoss, ligesom mange andre virksomheder, benhårdt på at være på forkant med it-sikkerheden.

– Det har fået helt andet fokus end for ti år siden, hvor it-sikkerhed fyldte meget lidt.  For bare fem år siden eksisterede it-sikkerheds-afdelingen ikke engang her i Danfoss, siger han.

Hver tredje udsat for cyberkriminalitet

Ifølge en rapport fra 2017 fra Center for Cybersikkerhed (CFCS), der hører under Forsvarets Efterretningstjeneste, lykkedes det i det sidste halvår af 2016 hackere at snyde danske virksomheder for mindst 180 mio. kr. via såkaldt CEO Fraud. I rapporten vurderer CFCS cybertruslen mod danske myndigheder og private virksomheder som ”meget høj”.

Morten Korslund er ikke i tvivl om, at både virksomheder og offentlige institutioner i dag er klar over, hvor vigtigt it-området er.

– Der er mange eksempler på it-kriminalitet, som viser, at alle kan blive ramt, og at krisen potentielt – og på kort tid – kan gøre stor skade. Det har gjort indtryk, siger han.

Det høje trusselsniveau bekræftes yderligere i den nye undersøgelse fra DI og Beredskabsstyrelsen, da næsten hver tredje virksomhed – 29 procent – svarer, at de inden for de seneste to år har stået i en krise på grund af cyber­kriminalitet.

It-området driver krisestyring

Men hvor parate er virksomhederne, hvis de it-kriminelle slår til?

Ifølge undersøgelsen har knap halvdelen af virksomhederne en plan klar for en it-krise. Det er svært at vurdere, om det niveau er højt eller lavt, da det er første gang, at krisestyringen i det private og offentlige kortlægges. Men Morten Korslund er ikke i tvivl om, at it- sikkerhedsudviklingen har været blandt de vigtigste punkter de seneste år for både virksomheder og i det offentlige.

– It-området har styret meget sikkerhedstænkning de seneste år. I dag er it blevet så centralt for organisationers drift og leverancer, at det ofte bliver nødvendigt med krisestyring for hele virksomheden, og ikke blot i it-afdelingen siger han.

Derfor er det også positivt, at virksomhederne har cyberkriminalitet øverst på trusselslisten, mener Christine Jøker Lohmann, chefkonsulent i DI.

– Undersøgelsen viser med al tydelighed, at cyberkriminalitet er vokset drastisk, og at virksomheder og det offentlige for alvor har fået øjnene op for risikoen. Det er godt, for det holder alle på dupperne, så de er klar, hvis it-­krisen rammer, siger hun.

Krisestyring i fællesskab

DI og Beredskabsstyrelsen håber, at den nye undersøgelse kan medvirke til, at erhvervslivet og det offentlige i højere grad samarbejder om krisestyring.

– Vi har som styrelse traditionelt arbejdet med at sørge for sikkerhed og krisestyring i det offentlige. Men det er ofte lige så vigtigt, at en virksomhed, der leverer for eksempel el eller fødevarer, ikke rammes af en krise, som går ud over forbrugerne og dermed samfundet. Det bliver vi nødt til at samarbejde om, siger Morten Korslund.

Han er optimistisk, efter undersøgelsens svar er kommet i hus.

– Det ser ud til, at både virksomheder og det offentlige gør og har gjort mange af de rigtige ting for at kunne være klar til en krise. Men det betyder ikke, at der ikke er rum for forbedring, og det arbejde skal vi videre med, siger han.

Christine Jøker Lohmann håber, at undersøgelsen kan give grobund for et større samarbejde om at ruste og sikre sig mod kriser.

– Det er i dag enormt vigtigt at tænke over og være parat til, hvis man rammes af et hackerangreb, phishingforsøg eller en helt tredje krise som oversvømmelse eller en shitstorm på de sociale medier. Det kan, som vi har set flere eksempler på, få store konsekvenser. Og det gælder ikke kun i virksomheder, men også offentlige organisationer. Derfor er det meget positivt, at vi i fællesskab samarbejder om at være så velforberedte og robuste som muligt til at undgå og håndtere en krise, siger hun.

FAKTA

Virksomhedernes top 10-vurdering af forhold, der kan føre til en krise de kommende to år.
Andel af 156 virksomheder, der vurderer, at det er ”meget sandsynligt” eller ”sandsynligt”. 

1 Cyberkriminalitet: 65 %

2 It-nedbrud: 63 %

3 Svigt fra leverandører: 49 %

4 Mekaniske/tekniske fejl, der fører til produktions- eller leverancestop: 48 %

5 Større fysisk hændelse: 42 %

6 Pludselige lovgivningsmæssige ændringer: 35 %

7 Oversvømmelse eller andre konsekvenser af ekstremvejr: 33 %

8 Alvorlig skade på omdømmet: 31 %

9 Usikkerhed for medarbejdere på arbejdsrejser i udlandet eller udstationerede medarbejdere: 28 %

Ü Kompromittering af følsomme data: 27 %

Kilde: ”Er vi klar når krisen rammer?”, Beredskabsstyrelsen og DI

Vi har spurgt to virksomheder og en kommune om, hvordan de håndterer cybersikkerhed.

Morten Pors Simonsen, Head of IT Security, Danfoss, 23.400 medarbejdere

– Der skal ikke meget til at blive udsat for it-angreb. Det kan være en medarbejder, som åbner en mail eller kommer til at klikke på noget, man ikke skulle have gjort. Det sker desværre jævnligt. Derfor arbejder vi med og træner vores medarbejdere i at være opmærksomme og have en høj it-sikkerhed.

– Vi har en god støtte fra topledelsen, som har it-sikkerhed på dagsordenen.

– Vi arbejder også hele tiden med at dokumentere vores processer og sikre, at vi ved, hvem der gør hvad. Både når det kommer til it-sikkerhed, og hvad vi gør, hvis det brænder.

Michael Warrer, it-chef, NRGi, 1.000 medarbejdere

– Der er ingen tvivl om, vi må forholde os til cybertruslen og tage det meget alvorligt. Og vi kan se, at flere og flere rammes. Men også, at flere sørger for at styrke it-sikkerheden.

– Vi leverer el og er dermed ansvarlige for en kritisk infrastruktur, og det gør situationen endnu mere alvorlig for os.

– Tendensen er desværre, at hackere bliver dygtigere og dygtigere. Jeg ser det som en kamp, vi nok aldrig kan vinde, men som vi i hvert fald skal forsøge at få det til at ende uafgjort, så vi ikke taber.

– Vi blev i september 2015 ramt af et hackerangreb, hvor hackerne krypterede data. Vi var nede nogle timer, men heldigvis kunne vi med vores krisestyring og backupsystem redde det selv, uden at hackerne vandt eller fik fat i oplysninger.

– Angrebet viste os, hvor vigtigt det er tænke på it-sikkerhed. Mange er også godt på vej, men der er stadig plads til forbedring rigtig mange steder. Det ser desværre ud til, at mange skal have præsenteret skrækeksemplerne, før de agerer. Men så er det godt, at A.P. Møller – Mærsk eller vi står frem. Det kan man forstå på direktionsgangen.

Pernille Madsen, centerchef for it-sikkerhed, Helsingør Kommune, 5.000 medarbejdere

– Som kommune har vi også mange andre kerneopgaver, hvor der kan opstå kriser. Så i den optik er it-sikkerhed ikke det allermest kritisk for os, men det er helt klart med i toppen af trusselsvurderingen.

– Vi blev i 2015 ramt af et ransomware-angreb, men fik heldigvis hurtigt kontrol over situationen. Dengang havde vi ikke en egentlig kriseplan klar, men klarede den alligevel. Men i dag har vi en klar plan.

– Angrebet mod os viser, at alle kan blive ramt. Og højst sandsynligt vil blive ramt på et tidspunkt. Man skal ikke være naiv og tro, at man kan sikre sig 100 procent. Alle kan blive ramt af cyberangreb, og det kommer sikkert til at ske for os igen.

– Vi har valgt at være åbne og fortælle om det, for vi håber, at vi – både virksomheder og kommuner – kan lære af hinanden og være beredte på at forsvare os.