Rapporten fra IT Universitetet og Syddansk Universitet dokumenterer et nedslående billede af it-sikkerheden blandt danske virksomheder. Lederne har ganske enkelt for ringe indsigt i området, hvilket i rapporten blandt andet dokumenteres af, at blandt små og mellemstore virksomheder har kun 26 procent et dedikeret budget til cybersikkerhed. Samme triste billede gør sig gældende for 68 procent af de store virksomheder.
For at sikre, at indberetninger om databrud kommer bedre i spil, har IT-Branchen og Rådet for Digital Sikkerhed udarbejdet seks konkrete anbefalinger.
Toplederne i de danske virksomheder ved stadig for lidt om, hvilke konsekvenser truslen fra nettet potentielt udgør for deres virksomhed. Det viser en ny undersøgelse fra IT Universitetet og Syddansk Universitet. En af hovedkonklusionerne i rapporten er, at knapt halvdelen – 48 procent – af de ansvarlige for it-sikkerhed og databeskyttelse erkender, at sikkerhedsprocedurerne i de virksomheder, de arbejder i, langt fra altid overholdes.
Årsagerne hertil kan være mange, men en af de mest bekymrende er, at virksomhedens ledere har for lidt indsigt i cybersikkerhed. Dertil kommer udfordringer som mangel på tid samt ressourcer, og at procedurerne griber ind i organisationens arbejdsgange på en måde, så de ganske enkelt tilsidesættes. Det samlede billede er dermed, at cybersikkerhed fortsat er et underprioriteret område i virksomhederne.
På den ene side anerkender lederne, at cybersikkerhed er vigtig, lige som de godt er klar over, at det er i deres egen interesse, at virksomheden er beskyttet. På den anden side har mange et forældet syn på cybertruslen og lægger ansvaret for sikkerhed over på it-specialisterne i virksomheden. Den manglende bevidsthed samt manglende viden fører dermed til en underprioritering af området, selv om det kan koste virksomhedens eksistens.
”Cyberangreb risikerer jo netop at skade kerneforretningen. Derfor er det set ud fra et forretningsmæssigt perspektiv vigtigt, at top-ledelsen uddannes i cybersikkerhed, således, at den forstår de forretningsmæssige konsekvenser af cybertruslen og bliver rustet til at kunne danne sig et realistisk billede af sårbarhederne.”
Det siger Asmita Dalela, der er forsknings-assistent ved IT Universitetet.
Hun bakkes op af lektor ved Syddansk Universitet Jacopo Mauro, der siger, at vi i Danmark har en kulturbåren udfordring, nemlig en tradition for høj grad af tillid, hvilket afspejles i undersøgelsen.
Lederne stoler for eksempel på, at udviklerne har styr på it-sikkerheden og blander sig derfor ikke i deres arbejde. Under coronakrisen har ledelsen endvidere i vid udstrækning ladet medarbejderne tage de bærbare computere med hjem.
”Samtidig forventes det, at medarbejderne har styr på datasikkerheden. Tillid er altså altafgørende, men hvis ledelsen antager, at medarbejderne har viden og kompetencer inden for sikkerhed, som de måske rent faktisk ikke har, er det virkelig problematisk,” siger Jacopo Mauro.
Han understreger dog, at meningen med rapporten ikke er at pege fingre, men at hjælpe til med at identificere problemstillingerne.
”Vores resultater viser, at såvel de tekniske medarbejdere som forretningsspecialisterne har brug for mere viden om cybersikkerhed. Det koster både penge og tid, men det er en nødvendig omkostning,” siger Jacopo Mauro videre.
Forskerne mener altså, det er på høje tid, at virksomhederne opruster inden for cybersikkerhed og samme holdning har Asmita Dalela fra IT Universitetet.
”Vi befinder os i en digital tidsalder, hvor vi alle dagligt benytter teknologi. Hvis ikke der er styr på cybersikkerheden i de virksomheder, der producerer de digitale produkter og services, vi benytter, er det stærkt bekymrende. Manglende sikkerhed i vores digitale produkter påvirker ikke bare tjenesterne i sig selv, men kan også føre til sikkerhedsbrister i andre systemer, som produkterne integreres i,” siger Asmita Dalela.
Rapporten viser både, at udviklerne i virksomhederne hverken mener, at ledelsen prioriterer cybersikkerhed, eller at de understøttes tilstrækkeligt på området. Men sværdet er tve-ægget, for rapporten viser endvidere, at udviklerne selv mangler uddannelse i sikkerhed. Blot er det langt fra altid, de selv er opmærksomme på det, og de efterspørger derfor ikke de nødvendige uddannelsestilbud.