Trods ransomware: Danske virksomheder har ingen it-sikkerhedspolitik

Illustration: leowolfert/Bigstock
It-sikkerhedspolitikker er helt fraværende i 62 pct. af de danske virksomheder, viser en ny undersøgelse. »Bekymrende,« mener foreningen IT-Branchen.

Med daglige nyheder om nye hackerangreb og sikkerhedshuller, skulle man tro, at de fleste virksomheder efterhånden havde fået sig en it-sikkerhedspolitik.

Men nej. I virkeligheden går det sløvt med at omstille virksomhederne til det stigende antal it-trusler. 62 pct. af danske virksomheder med 10 eller flere medarbejdere har således ikke nogen egentlig it-sikkerhedspolitik viser rapporten fra Danmarks Statistik ‘It-anvendelse i virksomheder’, der for første gang har it-sikkerhed med i undersøgelsen.

»Det er ganske bekymrende. Når du har en it-sikkerhedspolitik har du i det mindste overvejet, hvad det er for nogle risici, virksomheden bliver udsat for, hvis der sker noget,« siger formand for it-sikkerhedsudvalget hos IT-Branchen, Christian Wernberg-Tougaard.

Med it-sikkerhedspolitik forstås, at virksomheden er forberedt, hvis data bliver ødelagt enten på grund af angreb eller andre uforudsete hændelser. Det omfatter også overvejelser omkring, at fortrolige data kan blive afsløret på grund af indtrængen i virksomhedens systemer, samt at driften af systemerne kan blive forstyrret på grund af udefrakommende angreb.

Læs også: Hver fjerde hovedstadsvirksomhed hacket i 2014

Jysk forretning mistede 1 mio. kr. på ransomware-angreb

Har man ikke en it-sikkerhedspolitik, kan det hurtigt blive en dyr affære, hvis uheldet er ude.

Det måtte den danske farvegrossist Aalborg Farve og Lak sande, da den tilbage i januar i år blev udsat for et ransomware-angreb. Hackerne havde krypteret indholdet på virksomhedens it-systemer, heriblandt ordresystem, faktureringsdatabase, bogholderi og mailsystem, og forlangte 3.000 kr. i bitcoin i løsepenge.

Virksomheden stolede ikke på, at hackerne ville udlevere nøglen til filerne og valgte derfor ikke at betale løsesummen. I stedet måtte de udskifte en del af systemerne, da den sidste backup var omtrent tre måneder gammel. Samlet løb udgifterne til mistede ordrer, ny software og revisionsbistand op i omkring 1 mio. kr.

Aalborg Farve og Lak er langtfra den eneste virksomhed, der er blevet digitaliseret, men har glemt it-sikkerhedspolitikken undervejs. Værst står det til i bygge- og anlægsbranchen, hvor hele 81 pct. af virksomhederne er uforberedte over for it-sikkerhedsmæssige hændelser såsom ransomware-angreb.

»Der er de uheldige eksempler på virksomheder, der er uforberedte. Det betyder, at der går lang tid for at rette op på angrebet, hvilket er en kritisk faktor,« siger Christian Wernberg-Tougaard og uddyber:

»Jo længere tid de kriminelle har til at låse systemer og tømme konti, desto sværere er det at reducere skaderne.«

Læs også: Hackere angriber Arbejdsskadestyrelsen med ransomware

It-sikkerhedspolitik sparede Dansk Erhverv 5,5 mio. kr.

At det er vigtigt at tage backup, kan de fleste nok skrive under på. Ikke mindst når der står data for 5,5 mio. kr. på spil.

Dansk Erhverv blev tidligere på året udsat for et angreb, der lignede det, som Aalborg Farve og Lak blev udsat. En medarbejder havde trykket på et link, der fik en malware til at sprede sig på netværket og kryptere 2.751 filer på organisationens computere. Men denne gang lød løsesummen på 5,5 mio. kr., hvis Dansk Erhverv ville se filerne igen.

Heldigvis for Dansk Erhverv, lå filerne spejlet et andet sted, hvilket betød, at de kunne genskabes og hackerne blev efterladt med en lang næse.

»De blev ramt af et ransomware-angreb, hvor de havde de fornødne backupper. I deres it-sikkerhedspolitik havde de forberedt sig på, at den her type hændelse kunne ske,« siger Christian Wernberg-Tougaard.

Ser man på den samlede gruppe af danske virksomheder, så har 70 pct. implementeret lignende grundlæggende sikkerhedstiltag, såsom regelmæssig backup. Også selvom flere af dem ikke har en egentlig it-sikkerhedspolitik. Til gengæld er det kun halvdelen af virksomhederne, der har nedfældet retningslinjer vedrørende it-sikkerhed til medarbejderne.

Og 70 pct. af virksomhederne har aldrig foretaget en risikoanalyse af it-sikkerheden.

It-branchen er topscorer

Der er stor forskel på, hvor seriøst de forskellige typer af virksomheder tager it-sikkerheden.

Topscoreren målt på branche er IKT-virksomheder, hvor 63 pct. har en it-sikkerhedspolitik. Generelt er tendensen, at jo mindre virksomheden er, desto dårligere er den også forberedt på eksempelvis hackerangreb.

Blandt virksomhederne med 10-19 medarbejdere har kun 29 pct. en it-sikkerhedspolitik. For større virksomheder med over 100 medarbejdere er andelen oppe på 73 pct.

Noget tyder dog på, at en del af virksomhederne er ved at vågne op af tornerosesøvnen. Således øgede omkring en fjerdedel af de danske virksomheder investeringerne i it-sikkerhed i 2014.

»Vores fornemmelse er, at flere bliver opmærksomme på det. Men det er stadig ikke godt nok,« siger Christian Wernberg-Tougaard og peger på et såkaldt it-sikkerhedskompas til virksomheder som en del af løsningen.

Kompasset er under udarbejde af Erhvervsstyrelsen og skal i stil med styrelsens PrivacyKompas hjælpe virksomheder med selv at kunne vurdere, hvilke it-sikkerhedsmæssige områder de skal fokusere på.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Jesper Ørsted

Backup, backup, backup, så kan man, hvis disken på ens 'puter bliver krypteret af ransomware altid rulle tilbage til en ransomwarefri kopi. Backup er også nyttig, hvis harddisken går ned eller dokumenter slettes ved en fejl.

  • 0
  • 0
#3 Jakob H. Heidelberg

En backup hjælper bare ikke når f.eks. personfølsomme oplysninger (kunder, leverandører, ansatte m.v.) og forretningshemmeligheder er blevet stjålet, banksystemer er kompromitterede eller industrisystemer er overtaget af ondsindet malware ;)

  • 0
  • 0
#4 Kurt Rasmussen

Først finder jeg det bekymrende at en fagspecialist udtrykker Ransomware lig med hackerangreb.... Det er Phising! Dernæst bekymre udsagnet 62% ikke har en sikkerheds politik, jeg savner langt mere information der kan underbygge dette. F.eks. Hvor mange af de godt 3600 adspurgte har reelt en it sikkerhedschef eller CISO, hvilke brancher er repræsenteret, man kan ikke skære alle over een kam, idet visse brancher har faktisk compliance krav. Dernæst er det sådan at backup er essentielt, så kan man da komme tilbage og køre videre, men uanset hvilke foranstaltninger man har på plads, er det ofte nytteløst, såfremt man ikke uddanner ansatte i håndtering af mails, etc. Awareness awareness og atter awareness. Men se nu også på cpmmand & controller center, der er gode muligheder for at en uønsket kryptering ikke kan iværksættes, se gerne muligheder i dedikeret IDS/IPS løsninger, der ikke behøver at koste en formue.

  • 0
  • 0
Log ind eller Opret konto for at kommentere