Kan vi øve cybersikkerhed ligesom brandsikkerhed?

Poul Skouboe, Senior Business Strategist

”Tænk, hvis man samlede medarbejderne i kantinen og øvede kritisk it-hændelse: ’Vi er blevet hacket; de har adgang til vores data og konti – hvordan reagerer vi hensigtsmæssigt?’ Det ville hjælpe, hvis der på væggen hang en liste over, hvad man gør, ligesom man har i tilfælde af brand, med telefonnumre på dem, jeg skal have fat i, mine systemleverandører og så videre.”

”Det er det, vi gør i Modstandsdygtig-projektet,” fortæller vores seniorkonsulent Poul Skouboe. ”Projektet handler om, hvilke trusler éns forretning skal kunne klare.” Målet med Modstandsdygtig.dk er at ruste danske SMV’er til potentielle fremtidige kriser. Det sker gennem sparringsforløb, virksomhedsforløb plus en række værktøjer, der hjælper virksomhederne til at blive mindre sårbare.

Få banditblikket og en beredskabsplan
Når Alexandra Instituttet og Dansk Brandteknisk Institut leverer i Modstandsdygtig-projekt, spiller vi djævlens advokat, fortæller Poul Skouboe. ”Vi tager banditblikket på og ser på risici og svagheder i din forretning. ’Hvor ville jeg angribe dig, hvis jeg var en bandit?’”

”Så ser vi på, hvordan du med simple tiltag kan eliminere nogle af de trusler, og sammen lægger vi en plan for de mere avancerede tiltag. Og vi laver en beredskabsplan i tilfælde af et hackerangreb: Hvordan opdager du det og minimerer skaden hurtigst muligt, for hastighed er afgørende.”

Ja, datadrevet forretning ER en god idé
At blive datadrevet er lidt som at køre bil, sammenligner han. ”Hastigheden er langt højere end til fods; til gengæld slår du dig hårdt, hvis det går galt. Derfor skal du holde bilen sikker og huske sikkerhedsselen. Og når man begynder at basere sin forretning på data, skal man være opmærksom på digital sikkerhed.” 

Poul Skouboe understreger, at der er masser af fordele ved datadrevet forretning. For fremstillingsvirksomheder handler det især om at optimere produktionen, mindske forbruget af energi og andre ressourcer, om at undgå spild og om at få værdi af de data, der alligevel skal indsamles ifm. f.eks. sporbarhed.

Hvor fejler produktionsvirksomheder typisk?
Cybersikkerhed handler i virkeligheden om driftsstabilitet, pointerer han. ”Hvis du er afhængig af altid at have adgang til data, hvad betyder det så for din forretning at blive hacket?”

I en arbejdssituation glemmer man typisk alt om sikkerhedsforanstaltninger, og så kan det ske, at en medarbejder kommer ind på kontoret for at printe labels til at sætte på kasser, siger Poul. ”Måske bruger han en inficeret USB-stick på den samme pc, som andre bruger til at få adgang til økonomistyringssystemet.”

”Det er ikke, fordi han vil noget ondt; det er mere oplagt, at sådan en person ville komme til uforvarende at skade virksomheden. Derfor giver det god mening at få øjnene op for, hvor truslerne er, og så sørge for at uddanne eller instruere medarbejderne i sikker adfærd.”

En typisk fejl er, at timearbejdere og freelancere bruger samme netværk, som det kritiske udstyr kører på. Systemerne til produktionen og lageret kan blive kompromitteret, når de trækker på samme netværk, som timearbejderne bruger, når de downloader film, eksemplificerer han.

En anden klassiker er, at backups mangler eller ligger på en harddisk på samme kontor, som de data, de skulle redde: Ved et indbrud eller en brand ryger både computeren og backuppen.

Håndtér cybersikkerhed som brand og biler
Poul Skouboe råder virksomheder til at tænke på cybersikkerhed, som de tænker på brand og biler: Det handler nemlig om at forberede, forebygge og sikre sig. ”Alle arbejdspladser afholder brandøvelser. Alle biler skal til syn med jævne mellemrum. Vi ved jo alle sammen godt, at det er billigere og bedre at være forberedt. Det kunne være fedt, hvis virksomhederne vænnede sig til at få et cybersikkerhedstjek og øve hackerangreb med jævne mellemrum.”