God datasikkerhed bliver et vigtigt konkurrenceparameter i fremtiden, da virksomheder for at sikre overholdelse af EU's nye persondatalovgivning, GDPR, skal risikovurdere leverandører og andre typer af partnere i forhold til systemsikkerhed og dataanvendelse.

Det siger koncernsikkerhedschef Tom Engly fra forsikringskoncernen Tryg, som oplever stigende interesse for området fra sine kunder og sælger over 20 forsikringer mod cyberangreb til danske virksomheder hver eneste dag.

"Jeg er slet ikke i tvivl om, at det vil blive et konkurrenceparameter fremover, at man har god sikkerhed, fordi virksomheder, som ikke har sikkerheden på plads, får ikke nogen at sælge til," siger Tom Engly til Ritzau Finans.

GDPR skærper krav

Behovet for at have sikkerheden i orden er blevet endnu vigtigere efter ikrafttrædelsen 25. maj af de nye GDPR-regler indeholdende nye og skærpede krav til virksomheders håndtering af kunders personlige data.

"Vi er alle sammen nødt til at stå på mål for GDPR-lovgivningen og skal som virksomhed risikovurdere, hver gang vi indgår aftaler med nogen."

"Det er os, som i sidste ende er dataansvarlige, hvis de eksempelvis har vores kunde- eller medarbejderdata, og hvis virksomheder ikke kan demonstrere, at de har sikkerhed, så handler vi ikke med dem," lyder det fra Tom Engly.

Mange eksempler på angreb

Mange både små og store virksomheder har oplevet forskellige typer af cyberangreb, og det gik sidste år blandt andet ud over A.P. Møller-Mærsk, som blev ramt af det store hackerangreb NotPetya, som ellers var målrettet virksomheder i Ukraine, men spredte sig verden over.

Angrebet satte alle selskabets havne ud af drift og ramte skibsdriften, og den samlede regning opgjorde Mærsk sidenhen til op til 1,9 mia. kr.

En af de seneste store historier har været et angreb mod Adidas, en af verdens største producenter af sportsudstyr, som forleden måtte informere om tyveri af data på kunder, som har handlet på selskabets amerikanske hjemmeside.

"Fort Knox-tilgangen til at gøre din organisation uigennemtrængelig virker simpelthen ikke i dag, fordi så mange tredjeparter har adgang til dit netværk."

"Det kræver kun en enkelt sårbarhed inden for en af disse tredjeparter til at bringe følsomme data i fare," siger direktør for sikkerhedsfirmaet CyberGRX, Fred Kneip, til Infosecurity Magazine.

Tryg også ramt

Forsikringskoncernen Tryg har også været ramt af flere typer af hackerangreb og blev forud for selskabets regnskabsaflæggelse for første kvartal 2018 udsat for et angrebsforsøg rettet mod bestemte medarbejdere, der lå inde med information af forretningsfølsom karakter.

Angrebsforsøget skete i form af såkaldt "spear phishing", som er i familie med de falske phishing-mails, men går målrettet efter bestemte medarbejdere, og i det pågældende tilfælde modtog flere medarbejdere enslydende mails med vedhæftende pakkefiler, som – hvis man klikkede på dem – potentielt kunne have givet udefrakommende adgang til computeren.

For hackere er vejen ind i systemerne i høj grad via medarbejdere, og ifølge sikkerhedschef Tom Engly starter ni ud af ti angreb stadigvæk med sådan en mail.

"Mange har efterhånden bygget god sikkerhed op, og derfor bliver det også sværere for de ikke stærkt kyndige at komme ind i systemerne af teknisk vej. Så er det unægteligt nemmere at prøve at sende en mail til en medarbejder, for at se om man kan få dem til at downloade eller eksekvere et eller andet malware (skadeligt program, red.)," siger Tom Engly.

Skal tages alvorligt

I forhold til virksomheder, som hidtil ikke har prioriteret området tilstrækkeligt, opfordrer han til først at få basissikkerheden på plads.

"Man kan starte med at tage fat på de lavthængende frugter og få sin basissikkerhed på plads – det er nummer ét," siger han og opfordrer til at kigge nærmere på vejledningen "Cyberforsvar der virker" udarbejdet af Center for Cybersikkerhed i samarbejde med Digitaliseringsstyrelsen.

"I den er der nogle konkrete ting at tage fat på, og så er man godt i gang allerede. Men da ni ud af ti angreb starter med en e-mail, så bør man også have særligt fokus på sin e-mailsikkerhed og få en sikkerhedskultur ind under huden hos medarbejderen, som er et svagt punkt for sikkerheden."

"Derudover skal ledelserne i virksomhederne tage det her alvorligt fra toppen af, for hvis de ikke gør det, så kommer sikkerheden ikke på plads," siger Tom Engly.

/ritzau/FINANS

Center for Cybersikkerhed: Alvorlige trusler mod sundhedssektoren 

Ny undersøgelse: It-kriminelle går stadig efter de lavthængende frugter

Tryg udsat for hacker-angreb op til regnskabsaflæggelse