14. maj 2024: Cybersikkerhed: NIS2-krav kan få afgørende betydning for SMV’erne

Sig ordet cybersikkerhed – især til de små og mellemstore virksomheder – og det løber dem koldt ned ad ryggen. For nogle virksomheder fordi de kan forestille sig det potentielt livstruende (for virksomheden), der kan ske, hvis de bliver udsat for et cyberangreb – for andre skyldes det tanken om det stadigt stigende antal EU-krav og et uoverskueligt projekt med at styrke virksomhedens sikkerhed. For SMV’erne har sjældent deciderede it-afdelinger eller projektressourcer i deres organisationer, og for manges vedkommende overskygges bekymringerne om cybersikkerhed af bæredygtigheds- og ESG-rapportering.

Men SMV’erne skal vågne op nu. For mange af dem bliver omfattet af det nye NIS2-direktiv, som stiller øgede sikkerhedskrav til de store virksomheder, som minimum bl.a. omfatter incident management, netværkssikkerhed og sikring af cybersikkerhed i forsyningskæderne

Og det er leverandørerne, der udgør forsyningskæden, og leverandørerne, ja, det er ofte de små og mellemstore virksomheder. Forsyningskæder er, når alt er godt, stort set usynlige netværk af samhandel, hvor varer og services flyder sømløst mellem virksomheder. Men som vi lærte under Covid-19, kan de usynlige netværk hurtigt blive meget synlige, når de svageste led falder.

Det er så her, det kan komme til at løbe koldt ned ad ryggen for nogles vedkommende. Og dog. For hvis vi lige tager en dyb indånding, er der al mulig grund til, at SMV’ere kommer i gang med cybersikkerhed, og det behøver ikke være så svært eller dyrt, som mange måske forestiller sig.

Data er penge
For det første handler sikkerhed om at beskytte noget, der er værd at beskytte. Vi synes ikke, at det er mærkeligt at beskytte mennesker mod skader og død: Vi har brandalarmer, tyverialarmer, hegn og låse på dørene. Vi er med andre ord ikke uvante med at arbejde med sikkerhed. Beskyttelse af vores data er bare et andet aspekt af sikkerhed. Nogle kalder data den nye olie, men man kunne lige så godt sige, at data er penge. For data er intellektuel ejendom, som kan være penge værd for en konkurrent. Det er personfølsomme data, som kan bruges til afpresning eller til nye angreb. Det er data, der styrer produktionsmaskiner eller vores regnskaber. Det er data, der giver adgang til bankkonti og kontrakter.

Samtidig betyder den aktive samhandel med andre virksomheder, at alle firmaer har mange data om hinanden og ofte med systemintegrationer. Den slags data er også meget værd, fordi den kan give adgang til angrebspunkter på andre virksomheder. Så man har et ansvar for at beskytte sine samhandelspartnere mod disse angreb. I forhold til persondata er der desuden GDPR at tage hensyn til. I sidste ende er det en ringe trøst, at man måske ikke var det direkte mål for cyberangrebet, hvis ens egne data er blevet kompromitterede eller krypterede af hackere i processen.

Data lyder koldt og teknisk, men de er i den sidste ende det bankende hjerte i enhver virksomhed.

Kom i gang, før det er for sent
Der er med andre ord al mulig grund til at komme i gang med arbejdet og ikke vente på, at kunderne efterspørger compliance-rapporten. Al begyndelse er svær, men dog en begyndelse, og de første trin er umiddelbart ikke komplicerede. Governance er det rigtige sted at starte, og har man allerede arbejdet med ESG-rapportering, er tankegangen ikke fremmed.

Start med at finde ud af, hvem der har ansvar for at godkende, kontrollere og drive sikkerhedstiltag i virksomheden. Det ansvar ligger hos ledelsen, men det operationelle kan ligge andetsteds

Et godt udgangspunkt er at få styr på, hvad virksomheden har af it-udstyr (og her tænker jeg ikke kun på computere og telefoner, men dybest set alt, der har forbindelse til internettet), så opgavens omfang er kendt.

Og så skal der være klare politikker for passwords og multifaktorgodkendelse – for det svageste led (cybersikkerhedsmæssigt) i alle virksomheder er menneskelig adfærd. Derfor træn medarbejdere i sikker brug af it, gør dem bekendte med risikoen for phishing (i alle dens former). Brug anti-virusprogrammer og sørg for at opdatere al software. Hav backup af kritiske data. Og ikke mindst – hav en beredskabsplan for, hvad der skal ske, hvis og når I kommer under angreb. Planen må ikke kræve, at I har adgang til jeres systemer (for det risikerer I ikke at have), så vær klar med en plan med relevante telefonnumre på godt gammeldags papir.

Er det nok?

Nej, men så er I i gang. Og så skal I blive ved med at dokumentere jeres sikkerhedsarbejde og løbende opdatere jeres politikker og procedurer. For en sikkerheds skyld.

Debatindlægget er bragt i Ingeniøren d. 14. maj 2024