Microsoft-direktør om it-sikkerheden hos danske SMV'er: "Det bekymrer mig virkelig"
Situationen er alvorlig og bekymrende.
Sådan lyder det fra Ole Kjeldsen, der er teknologi- og sikkerhedsdirektør hos Microsoft Danmark, når han taler om it-sikkerheden blandt de danske små og mellemstore virksomheder.
Ifølge en ny undersøgelse, som Microsoft har foretaget blandt 200 danske SMV'er, har hver sjette danske virksomhed været udsat for et cyberangreb inden for de seneste 12 måneder.
"Og det er bare dem, der har konstateret, at de er blevet angrebet. Vi ved, at der også er store mørketal," siger Ole Kjeldsen til ITWatch.
Han peger på, at tallene taler et endnu tydeligere sprog, når det handler om, hvorvidt virksomhederne føler sig modstandsdygtige over for angreb.
"En ud af tre af virksomhederne vurderer selv, at de ikke har den modstandsdygtighed, som de måske burde eller kunne forvente at have. Og hvis vi ser på de helt små virksomheder – med under 20 ansatte – så er det næsten halvdelen, som ved, de ikke er modstandsdygtige," siger Ole Kjeldsen.
Når de cyberkriminelle samtidig laver mere og mere sofistikerede angreb, skaber det bekymrede miner hos sikkerhedsdirektøren.
"Det bekymrer mig virkelig, at så mange virksomheder bliver ramt af cyberangreb. Når mere end hver tredje danske virksomhed samtidig siger, at de ikke har de nødvendige sikkerhedsforanstaltninger til at modstå angreb, gør det kun situationen endnu mere alvorlig."
Lavthængende frugter
Det er typisk phishing-angreb og såkaldt CFO-fraud, som SMV'erne bliver ramt af, forklarer Ole Kjeldsen.
Og baggrunden for angrebene er stort set altid økonomi, lyder det. De kriminelles mål er penge, og angreb på virksomhederne kan betale sig, uanset hvilken type data virksomheden har.
"Jeg tror, det er ved at gå op for de fleste virksomheder, at selvom man måske ikke er i en branche, hvor ens data er særligt følsomme, så er der økonomi bag. Det gælder både, hvis man er en medicinalvirksomhed eller en lokal smedemester med et kundekartotek," siger Ole Kjeldsen og fortsætter:
"For det handler ikke bare om at få adgang til data, men i mange tilfælde også at holde virksomheden væk fra deres egne data. Tilgængeligheden af data er også penge værd."
Microsoft har ikke tal på, hvor meget et angreb typisk koster de danske SMV'er. Ifølge Ole Kjeldsen er det meget forskelligt, og samtidig er der også her store mørketal på området.
Faktum er dog, at det kan blive dyrt for de små og mellemstore virksomheder, hvis de bliver ramt af et cyberangreb, og derfor bør der sættes ind hellere før end siden.
"Der er nogle rimelig lavthængende frugter, man kan sørge for at implementere for at opbygge en bedre modstandsdygtighed," siger Ole Kjeldsen.
Behov for ændring af kultur
For det første skal virksomhederne gentænke deres tilgang til it-sikkerhed, lyder det.
"Vi skal væk fra den klassiske måde at tænke sikkerhed på. At det "bare" er noget, it-afdelingen klarer. For det er ikke sådan, det er i dag," siger Microsoft-direktøren.
"Vi kan ikke bare overlade det til it. Det her handler ikke bare om teknologi, det er ligeså meget kultur. Uanset om du er direktør eller manden eller kvinden på gulvet, så skal vi alle sammen have en mere sikkerhedsorienteret omgang med data og it."
Forandringen kræver en større kulturændring, og den skal komme fra toppen, mener Ole Kjeldsen.
"En kulturændring kan komme to steder fra – fra toppen eller bunden i virksomheden. Når det gælder sikkerhed og databeskyttelse, så kan jeg konstatere, at det kun har reel succes, hvis det kommer fra toppen," siger han.
"Det her skal være en grundlæggende ting i ledelse af enhver virksomhed, der hedder: Vores data er et fa vores vigtigste aktiver, så dem skal vi passe på."
"Det her skal være en grundlæggende ting i ledelse af enhver virksomhed: Virksomhedens og vore kunders data er et af vores vigtigste aktiver, så dem skal vi passe på."
Selvom kulturforandringen skal komme fra ledelsen, skal det ikke "bare være en ordre," understreger Ole Kjeldsen. Alle i virksomheden skal forstå, at de er first line of defence, når det gælder de cyberkriminelle.
Medarbejderne skal lære at være mere mistroiske, når de arbejder digitalt, mener Microsoft-direktøren.
"Vi må ikke bare tro, at fordi det er digitalt, så er det sikkert," siger han.
"Min oplevelse er ikke, at det her er et specifikt problem hos SMV'er. Det er et problem i hele det danske samfund. Vi har digitaliseret med stor succes, men vi har glemt, at der også er en sikkerhedsvinkel i det."
Hjælp fra teknologien
En kulturændring kan dog ikke løse hele problematikken, påpeger Ole Kjeldsen.
"Mange har en travl hverdag, og når man er lav på energi eller er stresset, så bliver man narret. Derfor skal man bruge teknologien til at hjælpe medarbejderne. Og den moderne teknologi giver nogle værktøjer både til virksomhederne, men også til den enkelte, som hjælper en med at træffe de rigtige valg."
Hos Microsoft og mange andre selskaber arbejder man ud fra konceptet 'Zero Trust'. Her er der en række principper, der grundlæggende handler om, at ingen er til at stole på, før de eksplicit er verificeret, at de er til at stole på.
"Det betyder eksempelvis, at hvis nogle forsøger at logge på som Ole Kjeldsen, så skal det eksplicit verificeres, at det er Ole Kjeldsen. Samtidig gives der kun adgang til det nødvendige, og der monitoreres konstant for, om noget i situationen er unormalt, så et eventuelt angreb kan forhindres og potentiel skade minimeres."
Det kan for eksempel gøres via multifaktorgodkendelse. Ifølge Microsofts globale Digital Defense-rapport er det i dag kun 20 pct., der bruger dobbelt autorisation.
"Man må sige, at det virkelig er en af de lavthængende teknologiske frugter at sikre sig altid at have multifaktorgodkendelse. Store virksomheder har næsten alle sammen implementeret det, men det er alt for sjældent tilfældet i SMV-markedet."
Mange af teknologierne, som kan hjælpe på it-sikkerhedsområdet, er allerede tilgængelige for de fleste Microsoft-kunder, men de benytter dem bare ikke. Har I været gode nok som leverandør til at gøre kunderne opmærksomme på de her teknologier, som rent faktisk kan løse nogle af de her problemer for dem?
"Jeg ved ikke, hvordan du vil veje, om vi har været gode nok. For hvad er målepunktet? Men vi kan i hvert fald konstatere, at der er mange, der ikke bruger det."
"Men det skorter ikke på, at vi fortæller om dem. Vi laver marketingmateriale og igennem forskellige events, vi afholder, fortæller vi om de her fortræffeligheder, der allerede ligger indbygget i vores produkter."
"Jeg kan ikke helt vurdere, om det er, fordi man ikke har overskud til det eller prioriterer det ude hos kunderne, eller om vi ikke er gode nok til at fortælle om det og gøre det enkelt. Jeg vil påstå, at det nok er en kombination. Derfor er det så væsentligt, at det her kommer på agendaen hos virksomhedernes ledelse, så det kan blive prioriteret."
Alle er potentielle mål
Ifølge Ole Kjeldsen har coronakrisen været en hjælpende faktor i forhold til, at flere og flere virksomheder – både store og små – har set deres it-sikkerhed efter i sømmene og fået konfigureret deres systemer rigtigt.
"Men jeg er bange for, at når hverdagen rammer efter krisen, så har man ikke fået ændret kulturen tilstrækkeligt. Det er afgørende, at vi ikke tænker sikkerhed, som vi gjorde for ti år siden. Vi skal gøre det på en ny måde, for der er nye modstandere med nye værktøjer," siger han.
"Og uanset hvilken type virksomhed man er, så er man et potentielt mål. De cyberkriminelle er ligeglade med, om man har 14, 140 eller 1400 ansatte. Der er penge at hente, og det er man nødt til at forsvare sig imod."
Hos Microsoft har man længe været i gang med at udarbejde step by step-guides til kunderne, som forklarer, hvad man som virksomhed som minimum bør gå igennem i forhold til it-sikkerhed.
"Det er vores og min forbandede pligt at sørge for, at det også er enkelt at gå til," siger Ole Kjeldsen.
Problemet går ikke væk af sig selv
Han peger desuden på, at SMV'erne fremover kan blive hjulpet af at øge deres anvendelse af cloud-tjenester.
"Jeg lyder måske som en knækket plade, men en af de fordele, man får ved at rykke ud og bruge cloud-tjenesterne, er netop, at man får en digital nabohjælp, som jeg plejer at kalde det."
"Man bliver en del af et meget større netværk, hvor der er meget større ressourcer til at sikre, at der sker en konstant monitorering og fornyelse af modstandsdygtigheden."
Det handler grundlæggende om at gøre det, man er bedst til, som Ole Kjeldsen udtrykker det.
"Og SMV'erne i Danmark er ikke de bedste til at konstant at lave monitorering af, hvad der egentlig foregår af angreb, og hvordan man bedst opbygger sin modstandsdygtighed," siger han.
"Der er man altså bedre stillet, hvis man overlader det til dem, som reelt har kapaciteten og ressourcerne til det."
Microsoft-direktøren påpeger desuden, at de danske små og mellemstore virksomheder ikke skal tro, at de kan gå under radaren blandt de cyberkriminelle.
"Danmark kan ikke dukke sig og tro, at vi er små og ubetydelige, for de cyberkriminelle går efter penge – og hvis der er noget, Danmark har, så er det penge, og hvis der er noget, vi er, så er det digitaliseret," siger Ole Kjeldsen.
"Så vi kan ikke ignorere det her problem. Det går ikke væk af sig selv. Vi kan ikke tro, at vi kan gemme os, fordi vi er små."
Forening ser øget trusselsbillede for cyberkriminalitet mod forsyningssektoren
