Foto: Michael Bennike og Jørgen Hartig deler ud af deres viden om cybersikkerhed på gratis workshops landet over i de kommende måneder gennem projektet Cybersikre Fødevareværdikæder, der er støttet af Industriens Fond. Her råder de bl.a. virksomheder til at lave en risikovurdering af virksomhedens sårbarheder og giver værktøjer til at komme i gang (Food & Bio Cluster, 2024).
Cybersikkerhed
Eksperter råder til øget fokus og risikovurdering af virksomhedens cybersikkerhed
Hvor længe kan virksomheden klare, at produktionen ligger stille, hvis der sker et nedbrud? Jo mere digitaliserede vi bliver, jo vigtigere bliver det at have styr på sine data og ikke mindst sikkerheden omkring dem. Derfor har vi snakket med to cybersikkerhedseksperter inden for både IT og OT, som her giver deres gode råd til, hvordan små og mellemstore virksomheder kan løfte sikkerheden både på egen digitale matrikel og i de fødevareværdikæder, de er en del af.
Hvad er konsekvenserne, hvis uønskede aktører får adgang til virksomhedens digitale systemer eller data?
Hvor længe kan I tåle, at produktionen ligger stille?
Hvad koster det, hvis ikke I kan levere de nødvendige produkter eller data til aftalt tid – i kroner og på troværdigheden?
Konsekvenserne kan være mange og dyre, hvis uønskede aktører får adgang til virksomhedens digitale systemer eller data, og eksperter opfordrer virksomheder til aktivt at forholde sig til risici og sårbarheder.
Den aktuelle sikkerhedstrussel fra cyberkriminelle vurderes ifølge Center for Cybersikkerhed som meget højt, men sikkerhedsbrister kan også ske på grund af menneskelige fejl, hvis en medarbejder uforvarende kommer til at klikke på et forkert link i en mail, eller hvis en ekstern serviceteknisker inficerer OT’en med malware, når han kobler sin egen medbragte PC til virksomhedens netværk under et servicebesøg.
Sikkerhedsbrister på IT- og OT-siden kan skyldes både menneskelige og tekniske fejl, og det sker hvert år for flere og flere virksomheder. Hvis vi ser isoleret på it-hændelser, angiver 28 procent af SMV’erne i en undersøgelse fra 2022 at have oplevet en it-sikkerhedshændelse (Danmarks Statistik VITA-undersøgelsen 2022).
Alligevel er det de færreste virksomheder, som har et tilstrækkeligt fokus på cybersikkerhed.
Michael Bennike, der er Senior Security Architect hos Alexandra Instituttet, rådgiver om cybersikkerhed og fortæller, at det i stigende grad er vigtigt at have styr på virksomhedens data og ikke mindst sikkerheden omkring dem.
– Vi ser flere trusler og angreb, som gør, at fx it-løsninger eller hele produktionsanlæg lægges ned. I takt med at vi bliver mere og mere digtiale, har vi en øget sårbarhed over for digitale angreb, og det gælder ikke kun i ens egen værdikæde, men også i de forsyningskæder, virksomhederne indgår i.
Netop forsyningssikkerheden er én af årsagerne til, at virksomheder i fødevareværdikæderne vil opleve større krav til deres cybersikkerhed. Til efteråret træder det såkaldte NIS2-direktiv nemlig i kraft, som vil skærpe kravene til en lang række virksomheders styring af digitale risici i samfundskritiske sektorer, herunder fødevarer, og som forventes at få en afsmittende effekt i hele branchen.
Læs også: NIS2-direktivet: Skærpede krav til cybersikkerhed smitter af på hele forsyningskæden
Cybersikkerhed er en ledelsesopgave på øverste niveau
Bestyrelse og direktion har ansvaret for at vide, hvad der er digitalt kritisk for virksomheden, og at der er strategier, politikker og planer på plads for at beskytte vigtige digtale aktiver og aktiviteter.
– Vi ser flere trusler og angreb, som gør at fx it-løsninger eller hele produktionsanlæg lægges ned. I takt med at vi bliver mere og mere digtiale, har vi en øget sårbarhed over for digitale angreb, og det gælder ikke kun i ens egen værdikæde, men også i de forsyningskæder, virksomheden indgår i.
Michael Bennike, Alexandra Instituttet
Nødvendigt med en klar risikostyring af virksomhedens sårbarheder
Jørgen Hartig fra SecuriOT hjælper virksomheder, der anvender automation i produktionsanlæg, med at øge sikkerheden, og genkender også billedet af en øget cybertrussel mod danske virksomheder.
– Der går i gennemsnit 20 dage, før en virksomhed opdager en cybersikkerhedshændelse*. Det giver angriberne rigtig god tid til at lave rav i den. Virksomhederne bliver nødt til at være på vagt og have en beredskabsplan klar, ligesom det er helt afgørende at lave en konkret risikovurdering af virksomhedens sårbarheder.
Både Michael Bennike og Jørgen Hartig ser cybersikkerhed som et endnu mere afgørende konkurrenceparamter for danske virksomheder i fremtiden og opfordrer sammen SMV’erne til at vise sig som en ansvarlig part i deres forsyningskæde.
– Det handler om at balancere risici og ressourcer inden for både IT og OT. Cybersikkerhed rækker langt ud over virksomhedens it-afdeling, og det er overordnet et ledelses- og bestyrelsesansvar, at virksomheden er i stand til at håndtere risici, sikring af data, sikring af produktionsanlæg og infrastruktur, samt beredskabsplaner, der kan hjælpe, når skaden er sket, understreger eksperterne.
*M-Trends 2022
– Der går i gennemsnit 20 dage før en virksomhed opdager en cybersikkerhedshændelse. Det giver angriberne rigtig god tid til at lave rav i den. Virksomhederne bliver nødt til at være på vagt og have en beredskabsplan klar, ligesom det er helt afgørende at lave en konkret risikovurdering af virksomhedens sårbarheder.
Jørgen Hartig, SecuriOT
Eksperternes råd: Sikkerheden i værdikæderne starter med at alle gør hver deres del
Et effektivt cyberforsvar er ikke et enkeltstående projekt, virksomheden kan gennemføre, og så er den hellige gral vel forvaret.
Det er en løbende proces, som hele tiden skal evalueres og optimeres.
Jørgen og Michael fremhæver i fællesskab fire tiltag, virksomheder kan gøre nu og her for at løfte sikkerheden:
Her er eksperternes gode råd:
1. Værdikæden er vigtig, men start med at feje for egen dør
Skab internt overblik og forståelse: Det bliver nemmere at arbejde med sikkerhed for eksterne aktører i jeres værdikæde, når I forstår jeres egen situation.
Det handler om at vide hvor, I er (mest) sårbare: Hvilke er de mest kritiske data og systemer, som bør beskyttes?
Overvej fx:
- Hvad koster ‘nedetid’ hos jer i form af penge, tid og omdømme?
- Hvad koster fejl eller mangler i et batch?
- Hvem har ansvaret for og budgettet til at arbejde med cybersikkerhed?
- Hvordan opdager I eventuelle hackerangreb?
Det er ledelsens og bestyrelsens ansvar at vide, hvad der er digitalt kritisk for virksomheden, og at der er strategier, politikker og testede planer på plads for beskyttelse af vigtige digitale aktiver og aktiviteter.
2. Sikkerhed handler om mennesker, ikke teknologi
Fald ikke i vi-skal-bare-købe-software-der-løser-det-for-os-fælden.
Sikkerhed handler i høj grad om mennesker, og det handler om at identificere de rette individer og om at afstemme roller og ansvar.
Sæt milepæle og hold hinanden ansvarlige.
Sæt også gerne ambitionsniveau: NIS2-minimumskrav, D-mærket, ISO eller noget helt fjerde.
Sørg også for, at alle medarbejdere er trænet i og har en god praksis ift. cybersikkerhed, fx ved at lære at spotte mistænkelige mails, have en sikker adfærd på nettet og kende procedurerne for, hvad man gør, hvis man mistænker et angreb osv.
3. Stil krav til virksomhedens leverandører
Ingen forsyningskæde er stærkere end det svageste led, derfor skal du også stille krav til alle – fra underleverandører, it-leverandører, serviceteknikere mv.
Vær forberedt på at dine kunder måske også stiller større krav til din virksomheds cybersikkerhed – og dokumentationen heraf – som en del af det kommende NIS2-direktiv.
4. Find gode kilder
Der er god hjælp at hente fra fx D-mærkets kriterier og på sikkerdigital.dk.
På D-mærket kan virksomheder gennemføre en gratis selvevaluering, der kommer hele vejen omkring virksomheden og giver et fælles sprog at tale cybersikkerhed ud fra.
D-mærket kan samtidig bruges som et hjælpeværktøj, når virksomheden skal forberede sig på de kommende NIS2-krav, der vil påvirke hele branchen, uanset om man er direkte omfattet af direktivet eller ej.
Print de gode råd
Vil du vide mere?
Du kan blive klogere på, hvordan du øger cybersikkerheden i virksomheden og i værdikæderne på en række åbne workshops, som Food & Bio Cluster Denmark afholder sammen med Alexandra Instituttet og SecuriOT i regi af projektet Cybersikre Fødevareværdikæder.
Her arbejdes der konkret med trusselsbilledet, nye krav til cybersikkerhed og hvad du konkret kan gøre for at styrke cybersikkerheden.
Workshops afholdes:
Efter workshoppen har du mulighed for at søge om deltagelse i et udvidet forløb, hvor vi identificerer trusler, svagheder og anbefalede cybersikkerheds-indsatser for både din virksomhed og hele den værdikæde, som den indgår i.
Udbyttet af forløbet bliver en række anbefalinger af konkrete tiltag og løsninger, som kan forbedre sikkerhedsniveauet for din virksomheden, i en balance mellem risici, konsekvenser og pris for indsatsen.
Du har tillige mulighed for at få professionel rådgiverhjælp til opstart af de konkrete indsatser.
Kontakt Eva Nautrup hvis du har spørgsmål eller vil vide mere.
Cybersikre Fødevareværdikæder
Åbne workshops og udviklingforløb afholdes som en del af projektet Cybersikre Fødevareværdikæder, der er et to-årigt projekt finansieret af Industriens Fond som en del af en samlet indsats for at styrke cybersikkerheden i danske virksomheder
Læs mere på Industriens Fonds hjemmeside
Senere lanceres også en brancherettet toolbox, der vil hjælpe virksomheder i fødevareværdikæden med at øge cybersikkerheden.
Projektet gennemføres i et samarbejde mellem Food & Bio Cluster Denmark, Alexandra Instituttet, SecuriOT med opbakning fra Dansk Cater, Salling Group, DI Fødevarer og Landbrug & Fødevarer.
