Det danske erhvervsliv er et af de mest digitaliserede i verden. Det kan vi være stolte af, for det – sammen med det mest digitaliserede offentlige system, betyder, at vi som samfund og erhvervsliv er omstillingsparat og effektivt som ingen anden.

Men imens vi høster fordelene ved et digitalt system – bare spørg tyskerne eller amerikanerne om, hvordan skatteindbetalinger med fysiske papirer føles anno 2022 – så har det en bagside, nemlig markant flere kritiske indgangsvinkler for it-kriminelle.

For det er nu engang lettere for udenlandske hackere at tvinge sig adgang til en server end et fysisk arkivskab i Brabrand.

Derfor er Danmark også et yndet mål for hackere – ikke fordi vi er mere hadet end andre nationer, men ganske enkelt, fordi der er flere muligheder for profit. Og på trods af at spalterne oftest fyldes med store angreb mod 7-Eleven, William Demant eller Maersk, så betyder demokratiseringen af ransomware – muligheden for færdigudviklet ransomware som hyldevare - at også små og mellemstore danske virksomheder rammes.

Her har man ikke det samme fokus på it-sikkerhed – og ikke mindst it-sikkerhedstræning, og derfor rammer et ransomware-angreb hårdere. Ifølge seneste tal fra SMV Danmark, så oplevede hver fjerde danske SMV et brud på deres it-sikkerhed i 2021 – et tal som forventet er steget i 2022.

Og hvem har ansvaret? I min verden er det bestyrelserne.

Regnskab, jura og altså også it-sikkerhed

Den seneste rapport fra Erhvervsstyrelsen om SMV’ernes digitale sikkerhedsniveau er uhyggelig læsning. Op imod 40 procent af alle danske SMV’er har et utilstrækkeligt sikkerhedsniveau, og 24 procent anvender ikke de to mest basale it-sikkerhedsforanstaltninger: nemlig opdatering af styresystemer og backup.

Den tager vi lige igen: 24 procent SMV’er opdaterer ikke deres Windows-computere eller tager backup af deres forretningskritiske data.

Man kan måske argumentere for, at en SMV er undskyldt: De færreste, særligt de små af Små og Mellemstore Virksomheder, har næppe deres egen it-afdeling, men i stedet en altmuligmandsdirektør, som både er CEO, CIO, CMO og CFO – alt imens han/hun også vander blomster, fikser kaffemaskinen, når den går i stykker og sætter nye computere op.

Af selv samme grund søger bestyrelserne hjælp udefra på kritiske områder: Der hidkaldes revisorer, når regnskabsåret når sin ende, og man har advokathjælp, når kontrakterne skal gennemgås. De læner sig op ad regnskabs- og erhvervslove og følger dertilhørende checkpoints.

Men hvad gør bestyrelserne, når det kommer til cybersikkerhed? De fleste gør intet, og har i stedet fokus på drift, bundlinje og resultater – for der er ingen checkpoints, når det kommer til cybersikkerhed.

Bestyrelse – lav jeres egne it-checkpoints

Det er bestyrelsernes pligt at understøtte deres virksomhed på bedst mulig måde – og i anno 2022 handler det altså også om it-sikkerhed. Imens en større forkromet it-sikkerhedsstrategi kræver enten dedikerede interne kræfter eller eksterne ekspertegenskaber, så kommer man langt ved blot at stille krav til virksomheden på to områder: banal it-hygiejne og it-træning.

Banal it-hygiejne handler om de 24 procent, som ikke opdaterer deres arbejdsenheder. It-kriminelle benytter oftest velkendte sårbarheder i ikke-opdaterede maskiner til at bryde igennem, og husker man blot at have opdaterede computere og enheder, så lukker du mange huller.

Det koster måske nye arbejdscomputere, hvis de eksisterende er godt gamle, men hellere bruge 30.000 på nye computere end at miste al kontakt med virksomhedens data for bestandigt. Det samme gælder backup og brug af end-point-sikkerhedsløsninger: Det er hverken dyrt eller omstændigt, og den benyttede tid er lige så nødvendig, som det er at finde gamle kvitteringer til bogholderiet.

Til sidst kommer it-træning. Selvom man kun er 5-10 ansatte i den lille SMV, så skal alle have den samme forståelse af, hvad man gør, når en mistænkelig mail tikker ind. Også her skal bestyrelserne stille krav og hjælpe virksomhederne med rette tiltag.

For gør bestyrelserne intet, er der ingen virksomhed at bestyre.

Klumme: På jagt efter it-medarbejdere? Så skal du lave ’software that matters’

Klumme: Den danske samarbejdskultur gavner erhvervslivet

Klumme: IT-risikomatricer - den mest anvendte metode der ikke virker