Ekspert: IoT-sikkerhed er ledelsens ansvar; det er ikke kun en teknikopgave

Michael Bladt Stausholm, Principal Security Architect

Mange virksomheder mangler et godt greb om det voksende trusselsbillede. Virksomheder skal flytte kompetencer ind i maskinrummet for at styrke cybersikkerheden.

Danske virksomheder digitaliserer i stigende grad deres fysiske produkter og produktionsapparat. Det er rigtig godt, at der kommer nye funktionaliteter ind i vores produkter, da det er med til at styrke virksomhedernes konkurrenceevne. Samtidig spiller de digitale produkter, der vinder frem, en central rolle i forhold til bæredygtig produktion. 

Men der er også nogle ulemper ved, at vi kobler alting på nettet. Der udvikles mange nye løsninger til produktion, som er afhængige af tilgængelige data, og som dermed potentielt udgør en risiko for cyberangreb. Den risiko var der ikke på samme måde tidligere i de mere traditionelle mekaniske produktionsmetoder. Hvis vi skal foretage et skift fra de gammeldags produktionsmetoder eller produkter til smarte eller digitale løsninger, der kan understøtte en smartere produktion og den grønne omstilling, skal vi sørge for, at de er sikre. Det gælder, uanset om det er nye løsninger til produktion, en vindmølle, transformatorstation eller en intelligent sensor, der holder styr på, hvor meget energi, man forbruger i hjemmet. De er alle afhængige af adgang til nettet og data, og udgør dermed også potentielt en risiko for cyberangreb.

Og den risiko bliver desværre bare større og større. Det viser opgørelser fra Center for Cybersikkerhed, og det bliver også bekræftet i nogle af de angreb, der har været i de seneste år.

Voksende trusselsbillede
Der er stadig mange virksomheder, som ikke har godt greb om det trusselsbillede, der ofte vokser, i takt med at produkter eller produktionslinierne kommer online. En analyse fra Erhvervsstyrelsen fra 2021 viser, at 40 procent af de danske SMV’er har et utilstrækkeligt digitalt sikkerhedsniveau. De har især udfordringer med manglende it-kompetencer, og de er usikre på, om det er umagen værd at investere i digital sikkerhed.

Det er også de observationer, vi har gjort os, efter at have haft 20 virksomheder gennem en række cybersikkerhedsforløb. Her kan vi se, at der dels er mange virksomheder, som har svært ved at få greb om cybersikkerheden, dels er der mange forskellige tilgange, niveauer og kriterier hos såvel leverandører som aftagere.

At skabe et fælles fodslag om cybersikkerhed er vigtigt og nødvendigt for dansk erhvervsliv. Men det er ikke noget, den enkelte virksomhed bare kan gøre alene. Det kræver et kollektivt løft af hele markedet for sikre IoT-produkter. Det er også derfor, vi har igangsat et opfølgende projekt, som skal øge modenheden i en bredere skare af virksomheder og på tværs af industrien. I projektet, der hedder CyPro, som er støttet af Industriens Fond, vil vi løfte cybersikkerheden i 100 danske industrivirksomheder – dels for at udbrede erfaringer og værktøjer til en langt større målgruppe, dels for at udvikle ny viden og værktøjer, som kan danne grundlag for et generelt løft af IoT-sikkerheden i industrien.

Det er helt forståeligt, at det kan være vanskeligt for virksomheder at navigere i IoT-sikkerhed. I projektet hjælper vi de deltagende virksomheder med at få overblik over sikkerhedsniveauet i deres produktion, og vi ser på, hvordan eventuelle brud på sikkerheden kan påvirke både forretning og omdømme. Denne viden skal klæde virksomhederne bedre på til at arbejde strategisk med cybersikkerhed og skabe forretning med cybersikre produkter.  

Styrk cybersikkerheden i maskinrummet
Udover at udbrede viden og erfaringer til langt flere virksomheder, har vi fokus på at styrke cybersikkerheden med forskellige kompetencer i maskinrummet og ind i hele organisationen. Noget af det, vi oplever hos mange virksomheder, er, at de ser IoT-sikkerhed som en teknisk disciplin, der skal løses i udviklingsafdelingen eller i driften. Og det er problematisk, da cybersikre IoT-løsninger forudsætter involvering fra ledelsen og skal bredes ud i hele organisationen, fordi det påvirker hele forretningen. Derfor skal risikoanalyser både holde fokus på det forretningsmæssige, det organisatoriske og det tekniske perspektiv. 

Oveni kommer, at der er mangel på medarbejdere med kompetencer inden for cybersikkerhed. Det er en udfordring, der kun vil blive større fremadrettet, og derfor er det vigtigt både at have fokus på at tiltrække kompetencer fra et bredere felt, så man kan få flere vinkler på problemstillingen omkring cybersikkerhed og samtidig sikre, at eksterne ressourcer bliver udnyttet bedst muligt.

Udover at mere viden og værktøjer inden for IoT-sikkerhed vil medføre en øget modstandsdygtighed over for cybertrusler, så vil det også styrke virksomhedernes konkurrenceevne. Det er en vigtig fortælling, at man som virksomhed kan gå ud og sige, at man faktisk forholder sig aktivt til at udvikle cybersikre produkter. Det giver både trygge kunder i forretningen, og samtidig giver det også en stolthed blandt medarbejderne, at virksomheden har fokus på cybersikkerhed – lidt på samme måde, som driftssikkerhed er og altid har været en vigtig parameter.

Indlægget har været bragt i ING/TECH WEEKLY.