Danske smv’er er for nemme at hacke: Naesten hver anden mangler it-sikkerhed
Mange mindre virksomheder tror ikke, at hackerangreb rammer dem og har alt for lav it-sikkerhed. Men truslen er høj, og et angreb kan ruinere virksomheden.
Truslen fra hackere er høj, og det er efterhånden dagligdag at høre om ødelaeggende hackerangreb mod danske virksomheder. Men forsvarsvaerkerne omkring de små og mellemstore virksomheder i Danmark er desvaerre lav.
Faktisk er hver fjerde danske smv med mere end 10 ansatte ikke gået i gang med den mest basale it-sikkerhed som for eksempel en sikker backupløsning. Og knap hver anden har et for lavt sikkerhedsniveau i forhold til virksomhedens type og størrelse.
Det konkluderer en ny rapport fra Erhvervsstyrelsen. Og et af problemerne er, at mange ikke tror, de er i hackernes sigtekorn.
»Når vi taler med små virksomheder, siger mange: ”Det er ikke relevant for os – vi har ingen vaerdier, som en hacker kan bruge”. Men hvis en tømrer får låst sine systemer af en hacker og mister adgang til alle data om kunder og kontrakter, så har man ikke laengere fundamentet for sin virksomhed,« siger Lars Bønløkke, kontorchef i Erhvervsstyrelsen.
Et samfundsproblem
Der er mange måder, man kan blive ramt af hackere, for i dag handler det mest om økonomisk vinding, og ofrene bliver fundet ved automatisk at scanne efter sårbare systemer, der er koblet til internettet.
»Hvis de finder det i et rigt land som Danmark, er de ligeglade med, hvem det er, eller hvad virksomheden laver. Og som smv har man svaerere ved at overleve et angreb, end en større virksomhed som har råd til hjaelp og til ikke at have indtaegter i noget tid,« siger Jan Lemnitzer, adjunkt på Copenhagen Business School med speciale i cybersikkerhed.
Utilstraekkeligt forsvar mod hackere er et problem både for de enkelte virksomheder og samfundet som helhed.
Smv’er udgør nemlig 70 pct. af det danske erhvervsliv målt på omsaetning.
»Desvaerre er resultatet af undersøgelsen ikke overraskende. Men den store udfordring er, at cybertruslen er meget høj og ikke ser ud til at falde. Så hvis sikkerheden ikke samtidig bliver bedre hos små og mellemstore virksomheder, så er det en udfordring,« siger Lars Bønløkke.
Backup af data og løbende opdatering af software er to områder, hvor virksomhederne halter bagud. Det er udpeget som helt basal it-sikkerhed, men hver fjerde smv kan ikke saette kryds her.
Ikke så dyrt
Det kan elinstallatøren Enstall til gengaeld godt, efter at direktør Rico Djernis sidste år tog den store runde og fik sin virksomhed rustet mod hackertruslen. Det var ikke så dyrt eller bøvlet, lyder hans erfaring.
»Det koster altid lidt penge, og man skal også have en cyberforsikring. Men jeg synes ikke, det var en voldsom udskrivning,« siger Rico Djernis, der udover rollen som direktør for cirka 25 ansatte også sidder i smv-udvalget hos DI.
I den rolle taler han med mange forskellige mindre virksomheder, og han kan godt se, at det ikke er normen blandt de mindre virksomheder at taenke it-sikkerheden igennem.
»Jeg begyndte selv at tage det alvorligt, da min brancheforening kom på banen og sagde ”nu er det nu”. Men jeg ved, at mange andre smv’er slet ikke er nået så langt. Nogle er også stadig mere analoge end digitale, og så er de ikke så følsomme over for cyberangreb,« siger Rico Djernis.
Når vi taler med små virksomheder, siger mange ”det er ikke relevant for os – vi har ingen vaerdier, som en hacker kan bruge.” LARS BØNLØKKE, KONTORCHEF I ERHVERVSSTYRELSEN
Skal digitalisere
Problemet er bare, at dem, der stadig skriver ordrer ned på papir, snart er nødt til at digitalisere.
»Den holder bare ikke laengere, for man skal ifølge loven have digital bogføring. Så alle er på vej mod digitalisering. Men de er i fase ét, og de synes, at det er en stor mundfuld. Så er der lang vej til, at de også har styr på cybersikkerhed,« siger Rico Djernis.
Et andet argument for, at også små virksomheders itsikkerhed kan have betydning på stor skala, er de såkaldte supply chain-angreb.
»Hvis en cyberkriminel vil ramme et større mål, kan det ske gennem en leverandør, som kan vaere et lille firma. Så ser de på, hvem der driver kantinen eller står for rengøringen hos den store virksomhed og hacker dem. Den slags sker,« forklarer Jan Lemnitzer.
I den modsatte ende af skalaen kan en virksomhed have nok så analoge regnskaber og kalendere, men stadig vaere sårbar. For eksempel en håndvaerker, som stadig har brug for adgang til sin e-mailkonto og måske til en Facebook-konto, hvor tidligere kunder har skrevet positive anmeldelser.
»Håndvaerkere får tit kunder ind via Facebook, og så har man problemer, hvis man mister sin Facebook-konto,« siger Jan Lemnitzer.
Der er hjaelp at hente
Vil man som virksomhed gerne forbedre sin cybersikkerhed, er der mange muligheder for hjaelp. Rico Djernis anbefaler de forskellige brancheorganisationer, og hos Erhvervsstyrelsen peger man på websiden sikkerdigital.dk, som en raekke offentlige myndigheder står bag.
Og selv om det kan virke overvaeldende, hvis man ikke har brugt så meget krudt på sit cyberforsvar tidligere, må man tage det i det tempo, som er muligt, lyder rådet fra Lars Bønløkke.
»Det vigtigste er, at man går i gang – ikke med en ambition om at fikse alting 100 procent, men hvor man fokuserer på det vigtigste først,« siger han.