Af Jens Heyn Roed Andersen
Presset stiger på virksomhederne i disse år. Ikke blot fra krav om at følge med den teknologiske og digitale udvikling, men i ligeså høj grad for at sikre overlevelse, for truslerne fra it-kriminelle, hacktivister og senest statsstøttede hackere med onde hensigter, tårner sig op. Senest har der været en række konkrete eksempler på, at virksomheder må lukke som følge af cyberangreb. Læg dertil, at politikere og bureaukrater for alvor har fået øje på, at samfundet er blevet digitalt, hvilket kræver et særligt fokus på cybersikkerheden.
Hvornår bliver du ramt?
På trods af den åbenlyse trussel, er det min klare overbevisning, at for mange, særlig SMV’er, længe har været alt for afventende. Mange har sikkert tænkt, “vi er jo ikke interessante for hackere”. Eller også har de fundamentalt manglet forståelsen af, hvor digital deres forretning er blevet, og ikke været i stand til at anvende den gængse risikostyringsmodel fra deres finansielle styring. For “digital” er jo ofte lig med “nyt og komplekst”. Måske spørger de også sig selv, om den nye lovgivning bare bliver “endnu en papirtiger” som GDPR, og om man derfor ikke bare kan vente med at foretage sig noget, da det jo koster penge at efterleve lovgivningskrav.
Imidlertid er det ikke et spørgsmål om HVIS men rettere HVORNÅR, man bliver ramt, enten af hackere og it-kriminelle eller lovgivernes lange arm. Som direkte effekt af manglen på rettidig omhu, ligger der en ketchup-effekt og lurer på os, når lovgivningen kommer på plads, og endnu flere virksomheder i løbet af efteråret finder ud af, at handling faktisk er påkrævet, uanset om baggrunden er trusler fra it-kriminelle eller lovgivning. Efterspørgslen på kompetencer indenfor cybersikkerhed vil derfor overgå udbuddet.
Det vil helt naturligt påvirke prissætningen på markedet for cyberkompetencer. De fleste virksomheder vil om kort tid finde ud af, at handling på cybersikkerhedsområdet har topprioritet, men at de ikke har de nødvendige kompetencer internt til at gøre noget ved området. De store virksomheder har nemlig i et stykke tid opbygget lokale kompetencer på området, men det er slet ikke sket hos SMV’erne, som jo typisk heller ikke har økonomi til det. Og håb og inaktivitet er dårlige strategier!
Sikkerhed er også kultur og adfærd
Opgaven alle står overfor, har naturligvis noget med teknik og teknologi at gøre. Men det er ikke nok at købe teknologi, og man skal ikke implementere sikkerhedstiltag blot fordi NIS2, CRA, DORA, DSA, CER eller nogle af de andre regulativer er på vej. Man skal øge sikkerheden, fordi man ønsker at sikre sin virksomhed, fordi man gerne vil beholde den, og fordi det er bedst for ens kunder.
Men i 2024 er cybersikkerhed i lige så høj grad en kulturel udfordring for virksomhederne. Det er en rejse, man tager på, og hvor man løbende skal højne virksomhedens evne til at forholde sig risikobaseret til sin teknologianvendelse – og nu altså også dokumentere dette. Og det foregår helt oppe fra bestyrelsen og ledelsen og ned til piccolinen.
Man skal indlejre sikkerheden i alle led af organisationen, og i de daglige valg der træffes, hvis ikke man vil ende som den “langsomste gazelle på savannen”, der jo bliver taget af løverne.
Det kræver indsigt og erfaring at finde ud af, hvordan man får arbejdet med processer og kultur i virksomheden – samtidig med at man forholder sig risikobaseret til al den teknologi, der vælter ind over os alle.
Det har længe ikke været et spørgsmål om HVIS men i højere grad HVORNÅR, du som virksomhed bliver ramt af hackere og it-kriminelle.
Få gang i dine sikkerhedstiltag, før alle står i kø
Jeg er ret sikker på, at det om lidt bliver vanskeligt at rekruttere folk nok med de rigtige kompetencer til effektivt at gøre noget ved udfordringerne. For der bliver rift om de eksperter, der har det nødvendige kendskab og erfaring med, hvad der virker, og hvad der bare er smart marketing. En konsekvens kan også blive, at priserne på viden og kompetence vil stige til astronomiske højder, og kun dem med det bedste kapitalberedskab vil vinde kampen om kompetencerne.
Så min anbefaling er at komme i gang NU! Uanset hvad motivet er: økonomi, risikostyring eller blot “gammeldags” rettidig omhu ift. kunderne. Så hvis ikke for at undgå “løverne”, som jo vil tage dig før eller siden, så fordi det betaler sig. Men det er nu der skal handles – lige meget hvilken vinkel man anskuer det fra.
Har du brug for en fortrolig snak om sikkerhed?
Kontakt Jens og få en uforpligtende dialog om, hvordan I kan forbedre jeres sikkerhed
Jens Heyn Roed Andersen
Associate Partner i IT ADVISORY