Stor undersøgelse: De færreste danske virksomheder tester årligt deres it-sikkerhed

Sikkerhedsfokus har fået virksomheder til at opgradere software, men mange glemmer at teste om systemet rent faktisk virker, viser stor dansk undersøgelse. Der er brug for større bøder over for dem, der sjusker med datasikkerhed, mener direktør i Dansk IT.

Der skal ikke bare være it-sikkerhed på papiret, men også i virkeligheden. Ikke desto mindre er virksomheder dårlige til at afprøve om it-sikkerheden reelt holder, viser undersøgelsen ’IT i praksis 2014’ foretaget af Rambøll og foreningen Dansk IT.

»Særligt efter Se & Hør-sagen har mange oprustet på sikkerheden. Men det halter med at teste, om sikkerheden rent faktisk holder. I stedet bliver det et tjekboks-arbejde, som man kan vise frem til chefen,« siger Per Andersen, der er administrerende direktør i Dansk IT.

Ifølge undersøgelsen foretager kun 37 procent af mindre og mellemstore virksomheder med årsomsætning på under to milliarder kroner årlige test af deres tekniske it-sikkerhed. Og meget værre står det til, når det kommer til test af sikkerhed med øje for brugerens anvendelse af it.

Sikkerhedsproblemer går gennem brugeren

Under en tredjedel af større virksomheder og kun 12 procent af de mindre selskaber laver årlige sikkerhedstest med brugerens opførsel i fokus. Og det er risikabelt, mener Per Andersen.

»De fleste analyser viser, at de største sikkerhedsproblemer kommer fra brugerens adfærd. Det kan være, at man taber en disk eller glemmer en computer i toget. Det er også det sværeste aspekt af sikkerheden at få styr på, mens det er nemt nok at installere et stykke software,« siger han.

Direktør i Rambøll Management Consulting, Ejvind Jørgensen fremhæver også at udfordringen er stor.

»Man skal ikke undervurdere de sikkerhedsproblemer, der går gennem brugeren«, siger han, og understreger, at sikkerheds-procedure ikke er noget værd, hvis medarbejdere sjusker med passwords og phishingmails.

Bøder til virksomheder, der sjusker med data

Per Andersen fremhæver de manglende konsekvenser ved at sjuske med datasikkerhed, som en af grundende til, at virksomheder ikke får testet deres sikkerhed igennem.

»Vi synes konsekvenserne ved datatab skal være langt mere mærkbare,« siger han, og fremhæver England som eksempel.

Her blev justitsministeriet for nyligt idømt en bøde på £180.000 svarende til omkring 1.680.000 kroner for at have lemfældig omgang med data på 3000 indsatte.

»Det er det, der skal til, før der sker noget – ikke bare på overfladen. Vi har brug for et datatilsyn, der kan handle mere proaktivt og give mærkbare bøder, hvis virksomheder ikke har styr på it-sikkerheden,« siger Per Andersen.

Rapporten IT i praksis er baseret på de 500 af de største private og offentlige virksomheder i Danmark og er udgivet i dag for 19. år i træk.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
David Konrad

Det er det, der skal til, før der sker noget – ikke bare på overfladen. Vi har brug for et datatilsyn, der kan handle mere proaktivt og give mærkbare bøder, hvis virksomheder ikke har styr på it-sikkerheden.

Det må være helt op til den enkelte private virksomhed om den vil gennemføre f.eks årlige "tests", eller om den vil have "styr på IT-sikkerheden" ud fra én eller anden arbitrær skrivebordsmålestok; men også helt op til markedskræfterne og den enkelte virksomheds kundekreds at vurdere, om den enkelte virksomheds IT-sikkerhed er tilstrækkelig. Det skal et "datatilsyn" ikke blande sig i, ejheller "proaktivt" med det formål at "opdrage" virksomheder ved at give dem "mærkbare bøder". Hvem skulle det hjælpe, fraset naturligvis en flok skrankepaver og paragrafryttere? En virksomheds kunder kan stemme med fødderne, særligt forurettede kunder kan hive virksomheden i retten - ingen virksomhed er interesseret i nogen af delene, så det regulerer jo smukt sig selv.

Det offentlige må hjertens gerne uddele bøder til sig selv, det kan der være ræson i, her er alle borgere jo mere eller mindre ufrivilligt tvangsindskrevne som kunder, dvs vi kan ikke stemme med fødderne og har nogen borger endnu haft held med at få straffet en offentlig virksomheds IT-slendrian ved en domstol? Så her giver det fin mening. Lad det offentlige og diverse tilsyn tage sig af det offentliges skrantende IT-sikkerhed, der er skam rigeligt at tage fat på, men lad dog de private virksomheder drive deres forretning som de vil.

  • 1
  • 3
David Konrad

Hvordan har du forestillet dig, at kunderne selv skal kunne vurdere IT-sikkerheden i de virksomheder, de handler hos?

På samme måde som når folk vælger bank X frem for bank Y, kød fra slagter A frem for slagter B, bilmærke P frem for bilmærke Q osv (produkter hvor én eller anden form for "sikkerhed" er blandt beslutningsparametrene). Dvs, sådan som folk vælger imellem forskellige produkter på alle mulige andre områder.

IT-sikkerhed testes dagligt ude i virksomhederne, det sker af brugerne 24-7 året rundt. Tilfredse kunder === tilstrækkelig IT-sikkerhed. Lige så firkantet formuleret som det er rigtigt.

IT-sikkerhed som noget "falsificerbart" (dvs nu kan vi bevise at service XYZ er sikret imod det og det) og som noget direkte strafbart at undlade, er kun relevant i tilfælde hvor liv og død er på spil. Det er OK at straffe virksomheder, f.eks en biograf, som ikke har sikret branddøren, eller virksomheder der sjusker med bakterier og fødevaresikkerhed - men ingen får jo bøde for at lade en bagdør stå åben, så tyve kan gå ind og stjæle. Det går maksimalt ud over troværdigheden, og forsikringspræmien.

  • 0
  • 1
Peter Stricker

På samme måde som når folk vælger bank X frem for bank Y, kød fra slagter A frem for slagter B, bilmærke P frem for bilmærke Q osv (produkter hvor én eller anden form for "sikkerhed" er blandt beslutningsparametrene). Dvs, sådan som folk vælger imellem forskellige produkter på alle mulige andre områder.


De tre nævnte brancher er blandt andet reguleret af finanstilsynet, fødevarestyrelsen og trafikstyrelsen.

De forhindrer ikke bankkrak, listeriaudbrud eller defekte speederpedaler, men alligevel har man fra samfundets side besluttet, at brancherne skal have sådanne tilsyn.

Alle dine argumenter for, at IT-branchen ikke skal underlægges nogen form for tilsyn eller straf ved brud på datasikkerheden, kan ligeså vel overføres til de andre brancher.

  • 4
  • 0
Michael Christensen

I 2012 deltog jeg i et Business Continuity Manager kursus med en instruktør fra Seattle. Hun fortalte, at i visse områder af USA var modne IT-sikkerheds- og business continuity programmer en konkurrence parameter. En række store virksomheder vil helst ikke handle med firmaer, der ikke har styr på deres sikkerhed, da man ikke kan være sikker på leverancer af varer og services.

Flere kilder nævner, at hackerne går efter det ”bløde underliv”, de mindre underleverandører til større virksomheder, når de driver spionage. Det kan derfor være en god ide at markere sig på IT-sikkerhedsområdet, hvis man gerne vil have nogle af de saftige ordrer som underleverandør.

Mange har en holdning til IT-Sikkerhed, men færre tager deres beslutninger med åbne øjne. Går den, så går den. Det er den holdning, vi skal væk fra. Jeg mener godt vi kan stille krav om at beskytte
virksomhedernes data - i særdeleshed følsomme persondata med helbreds- og finansielle oplysninger samt oplysninger, der giver mulighed for identitetstyveri. Den offentlige sektors track-record for de seneste 1½ år er skræmmende. Konsekvensen hmmm.

Jeg har gennem min gang som konsulent set virksomheder tage chancer med deres sikkerhed og dukke sig for sektorkrav, fordi sikring, som den burde være, ville belaste nøgletallene. Men hvis der var en følbar konsekvens af den manglende sikkerhed, så ville sikringen forhåbentlig blive bedre – og beslutninger kunne blive truffet fra et oplyst grundlag.

Men jeg er jo ikke uvildig, for jeg handler med disse ydelser 

  • 1
  • 0
Morten Fordsmand

Jeg er ikke helt sikker på at bøder virker helt så godt som man kunne håbe.

Der to grunde til dette:
En sikkerhedskvalitetsordning skal selvfølgelig også gælde offentlige myndigheder hvor bøder er en fjollet sanktion.
Samtidig tror jeg ikke at hændelses baserede bøder er så smarte, da folk jo dybest set er jubeloptimister, så det sker kun for kollegaen.

Jeg tro mere på en eller anden form for smiley ordning, der tager udgangspunkt den governancemodel, der er på plads.

  • 0
  • 0
Gert Madsen

En sikkerhedskvalitetsordning skal selvfølgelig også gælde offentlige myndigheder hvor bøder er en fjollet sanktion.


Selv hos offentlige myndigheder har det en virkning at en chef skal finde bødepenge i sit budget. Og frem for alt, skal bøderne få regnedrengene til at se sikkerhed som andet end en (unødvendig) omkostning.

Der skal nok supleres med personligt strafansvar for dem, som bevidst sjusker med andres personlige oplysninger.
Eksempevis Vejle Kommune, som bevidst lægger personlige oplysninger ud med ejendomsoplysningerne, fordi det er for "besværligt" at tjekke dokumenterne.
Eller for den sags skyld den sjællandske kommune, som lod en stak pas ligge frit fremme på et skrivebord weekenden over.
Det behøver jo ikke kun gælde elektroniske oplysninger !
Her må strafferammen gerne inkludere fængsel.

  • 1
  • 0
Robert Larsen

ingen får jo bøde for at lade en bagdør stå åben, så tyve kan gå ind og stjæle. Det går maksimalt ud over troværdigheden, og forsikringspræmien.


Jeg er ligeglad med om nogen stjæler fra en butik...det må de selv ligge og rode med, men jeg er ikke ligeglad med om MINE brugeroplysninger er dårligt sikret, og når de ER stjålet, så er det for sent at gøre noget ved det. Derfor vil en kontrolmyndighed og økonomiske konsekvenser være to skridt i den rigtige retning.

  • 2
  • 0
Michael Christensen

Jeg er umiddelbart indifferent omkring konsekvenser og sanktioner, men noget skal der være. Om det så skal være en "wall of shame", hvor man hænger virksomheder og institutioner ud. Private virksomheder kan man lade være med at handle med, men hvad med de offentlige syndere. Kommuner, universiteter og statsinstitutioner....

  • 0
  • 0
John Michael Foley

At give bøder til myndigheder og den offentlige sektor giver ingen mening. Pengene tages alligevel fra befolkningen. Der skal mere til, dels en "Wall of Shame" som foreslået af Michael, dels konsekvenser for karriere og ansættelse, og personlige bøder. Så vil der ske noget. Læg i øvrigt mærke til at den igangværende "historiske" sag på Frederiksberg, mod hackerne, ikke omtaler hverken CSC's eller politiets svigt. Snedigt fundet på af Karen Hækkerup, der sammen med politiet og CSC, har store aktier i fadæsen. Kendes hackerne skyldige, må de straffes, men CSC og Politiet er også skyldige i kompromitteringen af kriminalregistret, kørekortregistret, Shengens Informationssystem og CPR-registret m.fl. Men lur mig, hverken CSC eller politiet bliver draget til ansvar i retten. Justitsministeren "overvejer" en sag mod SCS og SCS "ovevervejer" en erstatningssag mod hackerne. Der er travlhed ved håndvasken.

  • 0
  • 0
Log ind eller Opret konto for at kommentere