Mange virksomheder kan med enkle kneb gøre risikoen for hackerangreb markant mindre. Simple greb kan også sænke risikoen for at lide skade, hvis hackerne først kommer ind. Andre gør klogt i at bygge helt nye it-systemer.
Her er de bedste råd fra de fagfolk, Prosabladet har talt med om it-sikkerhed.
Det første, man skal gøre, er at danne sig et overblik over sine data og it-systemer.
Denne artikel er en del af et tema om hackerangreb:
Hackere har frit spil mod virksomheder
Guide: Hackernes 'kill chain'
Nej til hackere kostede seks millioner kr.
Sådan holder du hackerne væk
Sådan lyder rådet fra Janus Sandsgaard, fagchef for IT og Digitalisering hos Dansk Erhverv.
– Det handler om at få det kølige overblik: Hvad er vi egentlig for en form for butik eller organisation? Der er stor forskel på, om jeg er en lille netbutik, der sælger børnetøj, eller om jeg er en dronevirksomhed med forretningshemmeligheder, siger han.
Når man har et overblik, ved man også, hvilke data der er mest kritiske.
Og dét er første skridt i retning af en effektiv forsvarsplan, forklarer Janus Sandsgaard.
Mange virksomheder opdaterer ikke deres systemer ofte nok, vurderer Prosabladets kilder.
– Hackerne er på nogenlunde samme niveau som dem, der laver sikkerhedsopdateringerne, siger PROSAs formand, Niels Bertelsen.
Det betyder, at så snart eksempelvis Microsoft har øje for en sikkerhedsbrist, så har hackerne det formentlig også.
– Hvis de ikke allerede har opdaget det inden, som PROSA-formand Niels Bertelsen siger.
Derfor bør man opdatere, så snart opdateringerne er tilgængelige, på tværs af systemer.
Et password kan brydes. Men det er langt sværere at hacke sig ind, hvis man også skal bruge en sms-besked for at få adgang.
To-faktor eller multi-faktorautentifikation er afgørende for it-sikkerheden, pointerer Janus Sandsgaard. Man bør supplere passwordet med en fysisk enhed.
– Det kan være din telefon – enten i form af en sms eller en app i stil med NemID. Det kan også være en usb-fætter, som du putter ind i din computer. Med gode kodeord og multifaktor er du kommet meget langt i forhold til, at folk ikke bare kan vælte ind fra gaden, siger han.
Thomas Lund-Sørensen, chef for Center for Cybersikkerhed, mener, at virksomheder bør begrænse administratorrettigheder til at omfatte så få som muligt.
– Jo færre brugere, der har administratorrettigheder, desto mere vanskeligt bliver det for hackerne, siger han og tilføjer:
– Hvorfor skal direktøren for eksempel have adgang til at installere software på sit system? Det er der ikke noget behov for.
Når hackere kommer ind i et system, har de ofte adgang til alle virksomhedens data på én gang. Måske også på tværs af underselskaber. Men sådan behøver det ikke at være, forklarer Christian Jensen, leder af Section for Cyber Security på Danmarks Tekniske Universitet (DTU).
– Man kommer langt med at segmentere sine systemer. Hvis du deler det interne netværk op, kan du begrænse skaderne fra ransomware, siger han.
Én model er ’hvidløgsmodellen’, hvor man ikke kan komme fra ét ’fed’ – det kunne for eksempel være et underselskab – til et andet.
Forældede systemer er det største it-sikkerhedsproblem i dansk erhvervsliv, vurderer PROSA-formand Niels Bertelsen.
– Du kan have nok så gode medarbejdere, men hvis dine systemer er gennemhullede, nytter det ikke en dyt, som han siger det og tilføjer:
– Nogle af banksystemerne har deres ophavstid i 70’erne og 80’erne. Det betyder, at sikkerheden ikke har været gennemtænkt.
Når man skal bygge nyt, handler det om at adskille data og kildekode så meget som muligt, siger han. Og om at reducere kompleksiteten.
– Det er ofte kompleksiteten, der gør, at sårbarhederne opstår, vurderer han.
Hvis virksomhedens data bliver krypteret, er man dårligt stillet uden en backup.
– Det er ikke spor selvfølgeligt, at virksomheder har en backup. Og selv hvis du har en backup, er spørgsmålet: Er der nogen i virksomheden, der løbende tester, at den rent faktisk virker, og er der nogen, der ved, hvordan man bruger den? Og hvor lang tid tager den at genetablere?, siger Janus Sandsgaard fra Dansk Erhverv.
Flere af Prosabladets kilder foreslår backup på bånd. Dem kan hackerne ikke ødelægge, medmindre de også bryder fysisk ind i virksomheden.
Og der er flere gode råd.
For eksempel bruger designvirksomheden Phoenix Design Aid, der blev angrebet af hackere i 2017, såkaldte ’white hat hackers’ hos Deloitte til løbende at finde sårbarheder i deres systemer. Virksomheden foreslår også at lave en ’disaster recovery plan’. På den måde ved alle, hvad de skal gøre, hvis uheldet er ude. Og så kan det være en god idé at tegne en cyberforsikring med dækning af driftstab, foreslår Phoenix Design Aid.
DANSK ERHVERV
Har en letforståelig vejledning om cybersikkerhed og cyberforsvar på sikkerdigital.dk.
CENTER FOR CYBERSIKKERHED
Har udgivet en række anbefalinger til, hvordan du garderer sig mod ransomware. Rapporten ’Trusselsvurdering: Digitale gidseltagere på storvildtjagt’ findes på nettet.
PWC
Har udgivet ’Cybercrime Survey 2019’, hvor du kan læse, hvordan andre virksomheder har garderet sig mod hackere.
Behovet for it-sikkerhed er tredoblet
Efterspørgslen efter kompetencer inden for it-sikkerhed er tredoblet inden for de seneste 10 år. Både absolut og relativt til det samlede antal jobopslag. Det viser en tekstanalyse af 2,4 millioner jobopslag fra 2008 til 2018.
Kilde: Rapporten ’Arbejdsmarkedet for informations-sikkerhedskompetencer i Danmark’ udgivet af Erhvervsstyrelsen.