Råd: Virksomheder skal kunne anmelde it-sikkerhedsbrud ét sted

En kombination af opkvalificering og klarere regler skal hjælpe danske virksomheder med it-sikkerheden, lyder det fra Virksomhedsrådet for It-sikkerhed til erhvervsministeren.

Phishing og CEO-svindel rammer også danske virksomheder, og det går ud over tilliden til digitaliseringen. Derfor bør der sættes ind på fem konkrete områder for at øge it-sikkerhedsniveauet i danske virksomheder. Det er anbefalingen fra Virksomhedsrådet for It-sikkerhed, som blev nedsat i 2016 og nu har afleveret dets konklusioner til erhvervsministeren.

»En forudsætning for digital vækst er, at der er tillid til de digitale systemer. Den tillid svækkes, når flere og flere virksomheder rammes af cyberangreb og læk af forretningskritiske eller personfølsomme data,« udtaler erhvervsminister Brian Mikkelsen ifølge en pressemeddelelse.

Rådet består af erhvervsledere samt repræsentanter fra blandt andet it-sikkerhedsbranchen og it-leverandørerne.

De fem overordnede punkter i rådets anbefalinger handler først og fremmest om oplysning og opkvalificering i dansk erhvervsliv inden for it-sikkerhed:

  • Øget adgang til information og vejledning om IT-sikkerhed og databeskyttelse for små og mellemstore virksomheder.
  • Styrkelse af IT-sikkerhedskulturen hos medarbejdere og ledere.
  • En aktiv indsats for at styrke små og mellemstore virksomheders efterspørgsel efter IT-sikkerhedsløsninger.
  • Én fælles digital indgang for indberetning af sikkerhedshændelser til offentligt myndigheder.
  • Klare regler for og effekt håndhævelse af IT-sikkerhed og ansvarlig datahåndtering.

Vedrørende punktet om øget vejledning, så påpeger rådet blandt andet, at den eksisterende information er for teknisk og ikke tilstrækkelig handlingsorienteret - og en stor del af informationen kommer fra eksempelvis sikkerhedsfirmaer, som har en kommerciel interesse i at vejlede på område.

Tilsvarende er virksomhederne også i tvivl om, hvordan nye regler som eksempelvis EU's persondataforordning vil blive håndhævet. Rådet opfordrer desuden til at undgå danske særregler på området.

Et konkret råd fra Virksomhedsrådet for It-sikkerhed lyder, at der bør oprettes én fælles indgang til at indrapportere og anmelde de typer af sikkerhedshændelser, som nye regler lægger op til. Det kunne eksempelvis være gennem portalen Virk.dk, at virksomheder kunne anmelde brud på reglerne for håndtering af persondata.

Det kommer dog med den fodnote, at en sådan fælles portal til anmeldelser tydeligt signalerer, hvis en hændelse bliver eller skal anmeldes til politiet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

Rigtig god idé at fokusere på de små og mellemstore virksomheders (SMV) it-sikkerhed eller mangel på samme. SMV'erne er det svageste led i it- og cybersikkerhedskæden.
Store danske virksomheder og offentlige myndigheder m.fl. har ressourcer og penge til at betale for ekspertise og it-sikkerhed. Det har SMV'erne ikke og de har ikke råd til at prioritere It-sikkerheden højt i den daglige kamp for at undgå røde tal på bundlinjen og truende konkurs.
Udover de velmenende råd burde der også kunne tildeles penge til SMV'ene, så de kunne få mulighed for at gøre noget seriøst og effektivt ved It-sikkerheden i virksomheden. Det kunne f.eks. være tilskud i stil med håndværkerfradrag ved isolering og forbedringer på ejendomme.

  • 0
  • 0
Henrik Schack

Store danske virksomheder og offentlige myndigheder m.fl. har ressourcer og penge til at betale for ekspertise og it-sikkerhed.


Øhh hvad? Jeg remser lige op: E-Boks, NETS, NemID, SKAT osv, lader da blot stå til i forhold til phishing. Og senest her for et par uger siden blev et E-boks ejet domæne misbrugt til ransomware udsendelser.

Ressourcer og penge alene gør det ikke, E-boks har ikke engang beskyttet deres domæner efter hændelsen, de kan nemt misbruges igen.

  • 4
  • 0
John Foley

Jeg fastholder, at "store danske virksomheder og offentlige myndigheder m.fl. har ressourcer og penge til at betale for ekspertise og it-sikkerhed". At der så alligevel forekommer mange, og også alt for mange eksempler på dårlige løsninger, er jeg langt hen ad vejen enig med dig i. Og det burde de såkaldte ansvarlige gøre noget ved. Men pointen er, at de har penge og ressourcer til at gøre noget ved problemerne. Det har SMV'erne ikke.

  • 0
  • 0
Henrik Mohr

Jeg kunne tænke mig at få nogle bud på helt praktiske ting mht. ideen om at samle data for "sikkerhedsbrud".

Hvor trivielle incidents skal rapporteres? Spam? Simpel opportunistisk portscan, malware, probing?

Hvad skal data bruges til? Threat intelligence input? Får vi noget tilbage?

Er alle data offentlige? Hvis de er, hvad betyder det for lysten til at indberette? Hvad nu hvis man er blevet kompromitteret i en grad hvor det truer virksomhedens eksistens, men man ved ikke hvor slemt det er indenfor de 72 timer GDPR kræver?

Hvordan sikres kvaliteten/validiteten af det indberettede? Der er stor forskel på hvad TDC, KMD, CSIS etc. kan vs. en virksomhed uden sikkerhedsfolk eller tunge teknikere.

Der er mange detaljer som er væsentligere end hvordan formularen skal se ud på virk.dk...

-Henrik

  • 2
  • 0
Henrik Schack

Og det burde de såkaldte ansvarlige gøre noget ved. Men pointen er, at de har penge og ressourcer til at gøre noget ved problemerne. Det har SMV'erne ikke.


Enig de store har pengene, men det har SMV'erne langt hen af vejen også idet et phishing forebyggende tiltag som DMARC er gratis.

"De ansvarlige" virker umiddelbart ikke som om de er til nogen hjælp.
Der har siddet 13 medlemmer i Virksomhedsrådet for IT-sikkerhed, helt uden at komme i tanke om at når vi nu har et problem med phishing så kunne det måske være en god ide at forebygge netop det, her og nu.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize