CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: Computerworld)

Danske topledere spiller roulette med deres virksomheder

Danske erhvervsledere underprioriterer fortsat cybersikkerhed. Samtidig ligger Danmark i top, når det gælder antallet af databrud. Det er en livsfarlig cocktail for dansk erhvervsliv, vurderer eksperter.

15. april 2021 kl. 14.01

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Rapporten fra IT Universitetet og Syddansk Universitet dokumenterer et nedslående billede af it-sikkerheden blandt danske virksomheder. Lederne har ganske enkelt for ringe indsigt i området, hvilket i rapporten blandt andet dokumenteres af, at blandt små og mellemstore virksomheder har kun 26 procent et dedikeret budget til cybersikkerhed. Samme triste billede gør sig gældende for 68 procent af de store virksomheder.

6 anbefalinger fra organisationerne

For at sikre, at indberetninger om databrud kommer bedre i spil, har IT-Branchen og Rådet for Digital Sikkerhed udarbejdet seks konkrete anbefalinger.


  1. Der skal kommunikeres mere brugbar tilbagemelding til dem, der foretager indberetningerne.

  2. Der skal skabes et overblik over de forskellige myndighedsinstanser, hvortil der indberettes databrud.

  3. Der skal etableres en række datacentre, hvor data fra indberetningskilderne kan samles og systematiseres.

  4. Der skal etableres en egentlig hændelsesdatabase, så de indsamlede data kommer flest muligt til gavn.

  5. Det skal sikres, at der er lovmæssig hjemmel til at anvende de indberettede data i anonymiseret form.

  6. Indberetningsskemaerne skal udformes med henblik på at optimere samt styrke indsatsen for bedre sikkerhed.

Toplederne i de danske virksomheder ved stadig for lidt om, hvilke konsekvenser truslen fra nettet potentielt udgør for deres virksomhed. Det viser en ny undersøgelse fra IT Universitetet og Syddansk Universitet. En af hovedkonklusionerne i rapporten er, at knapt halvdelen – 48 procent – af de ansvarlige for it-sikkerhed og databeskyttelse erkender, at sikkerhedsprocedurerne i de virksomheder, de arbejder i, langt fra altid overholdes.

Årsagerne hertil kan være mange, men en af de mest bekymrende er, at virksomhedens ledere har for lidt indsigt i cybersikkerhed. Dertil kommer udfordringer som mangel på tid samt ressourcer, og at procedurerne griber ind i organisationens arbejdsgange på en måde, så de ganske enkelt tilsidesættes. Det samlede billede er dermed, at cybersikkerhed fortsat er et underprioriteret område i virksomhederne.

Forældet syn på truslerne

På den ene side anerkender lederne, at cybersikkerhed er vigtig, lige som de godt er klar over, at det er i deres egen interesse, at virksomheden er beskyttet. På den anden side har mange et forældet syn på cybertruslen og lægger ansvaret for sikkerhed over på it-specialisterne i virksomheden. Den manglende bevidsthed samt manglende viden fører dermed til en underprioritering af området, selv om det kan koste virksomhedens eksistens.

”Cyberangreb risikerer jo netop at skade kerneforretningen. Derfor er det set ud fra et forretningsmæssigt perspektiv vigtigt, at top-ledelsen uddannes i cybersikkerhed, således, at den forstår de forretningsmæssige konsekvenser af cybertruslen og bliver rustet til at kunne danne sig et realistisk billede af sårbarhederne.”

Det siger Asmita Dalela, der er forsknings-assistent ved IT Universitetet.

Tillid er et stort problem

Hun bakkes op af lektor ved Syddansk Universitet Jacopo Mauro, der siger, at vi i Danmark har en kulturbåren udfordring, nemlig en tradition for høj grad af tillid, hvilket afspejles i undersøgelsen.

Lederne stoler for eksempel på, at udviklerne har styr på it-sikkerheden og blander sig derfor ikke i deres arbejde. Under coronakrisen har ledelsen endvidere i vid udstrækning ladet medarbejderne tage de bærbare computere med hjem.

”Samtidig forventes det, at medarbejderne har styr på datasikkerheden. Tillid er altså altafgørende, men hvis ledelsen antager, at medarbejderne har viden og kompetencer inden for sikkerhed, som de måske rent faktisk ikke har, er det virkelig problematisk,” siger Jacopo Mauro.

Han understreger dog, at meningen med rapporten ikke er at pege fingre, men at hjælpe til med at identificere problemstillingerne.

”Vores resultater viser, at såvel de tekniske medarbejdere som forretningsspecialisterne har brug for mere viden om cybersikkerhed. Det koster både penge og tid, men det er en nødvendig omkostning,” siger Jacopo Mauro videre.

Forskerne mener altså, det er på høje tid, at virksomhederne opruster inden for cybersikkerhed og samme holdning har Asmita Dalela fra IT Universitetet.

”Vi befinder os i en digital tidsalder, hvor vi alle dagligt benytter teknologi. Hvis ikke der er styr på cybersikkerheden i de virksomheder, der producerer de digitale produkter og services, vi benytter, er det stærkt bekymrende. Manglende sikkerhed i vores digitale produkter påvirker ikke bare tjenesterne i sig selv, men kan også føre til sikkerhedsbrister i andre systemer, som produkterne integreres i,” siger Asmita Dalela.

Manglende selverkendelse

Rapporten viser både, at udviklerne i virksomhederne hverken mener, at ledelsen prioriterer cybersikkerhed, eller at de understøttes tilstrækkeligt på området. Men sværdet er tve-ægget, for rapporten viser endvidere, at udviklerne selv mangler uddannelse i sikkerhed. Blot er det langt fra altid, de selv er opmærksomme på det, og de efterspørger derfor ikke de nødvendige uddannelsestilbud.

Direkte adspurgt svarer mange af de adspurgte ledere, at de gerne betaler for kurser i cybersikkerhed, hvis medarbejderne har brug for det.

Udover at mange af udviklerne ikke selv er bevidste om behov for mere viden, er det også et problem, at medarbejderne ikke stimuleres til at give udtryk for behovet, hvis de mærker, at cybersikkerhed ikke prioriteres fra ledelsens side. 


”Set ud fra et forretningsmæssigt perspektiv er det vigtigt, at topledelsen uddannes i cybersikkerhed, således at den forstår de forretningsmæssige konsekvenser af cybertruslerne,” siger forskningsassistent ved IT Universitetet Asmita Dalela.


”Hvis ledelsen antager, at medarbejderne har viden og kompetencer inden for sikkerhed, som de måske rent faktisk ikke har, er det virkelig problematisk,” mener lektor ved Syddansk Universitet Jacopo Mauro.

Fakta om rapporten

Rapporten ”Assesment on the Status of CyberSecurity in Denmark” kortlægger danske virksomheders praksis inden for cybersikkerhed. Resultaterne er baseret på en spørgeundersøgelse foretaget blandt 107 ledere, udviklere, sikkerhedseksperter samt andre typer af medarbejdere i danske virksomheder. Desuden er der foretaget kvalitative interviews med 11 personer i forskellige ansvarsroller. Rapporten er udarbejdet af IT Universitetet samt Syddansk Universitet og er finansieret af Center for Cybersikkerhed.

I brancheorganisationen Dansk Industri er fagleder for digital ansvarlighed og cybersikkerhed, Morten Rosted Vang, enig i at it-sikkerhed ikke alene bør placeres hos specialister i virksomheden. Ansvaret bør være en prioriteret del af ledelsens ansvarsområde og en del af almindelige forretningsrisici. Det går ikke at reducere det til en teknisk øvelse hos specialisterne langt fra forretningen.

”Ledelsesforankring kan endvidere medvirke til, at der i virksomheden skabes en fornuftig balance mellem brugervenlighed og sikkerhed. Har ledelsen ikke taget valget om at sikre balancen, risikerer man i en travl hverdag, at medarbejderne selv tager valget, og så er der stor sandsynlighed for, at sikkerhed viger for brugervenlighed i form af, at sikkerhedsprocedurerne tilsidesættes.

Morten Rosted Vang påpeger desuden, at rapporten fra IT Universitetet og Syddansk Universitet viser, at sikkerhed ofte ikke prioriteres i udviklingen af digitale produkter. Hvis sikkerhed skal følge med digitalisering, skal digitale produkter kunne tages sikkert i brug. Derfor arbejder Dansk Industri for, at ”security & privacy by design” skal være et fokusområde i den kommende nationale strategi for cyber- og informationssikkerhed.


Fagleder for digital ansvarlighed og cybersikkerhed i Dansk Industri Morten Rosted Vang mener, det skal være muligt at kunne tage nye digitale produkter i brug, uden at man som bruger skal have særlige it-sikkerhedskompetencer. Sikkerheden bør altså i højere grad være integreret i produkterne. 

Danmark topper på hackernes scoreboard

”Danmark er et af de mest digitaliserede lande i verden. Derfor er det egentlig også kun naturligt, at vi er eksponeret rent sikkerhedsmæssigt”.

Det siger Martin Jensen Buch fra brancheorganisationen IT Branchen. Han sidder i organisationens sikkerhedsudvalg og fortæller, at siden databeskyttelsesloven trådte i kraft i 2018, har Datatilsynet modtaget mere end 18.000 indberetninger om databrud.

Dermed er det i Europa kun Holland og Irland, der modtager flere indberetninger pr. indbygger end Danmark. På den ene side kan man sige, at det høje antal indberetninger kan virke bekymrende, men på den anden side udgør det også en ressource for sikkerhedsarbejdet. En ressource, der nu skal udnyttes langt bedre. I hvert fald hvis det står til brancheforeningen IT Branchen og Rådet for Digital Sikkerhed.

Databrud skal i system

Faktum er nemlig, at vi i Danmark går glip af store mængder af vigtig viden, der netop vedrører sikkerhedshændelser. Derfor foreslår de to organisationer, at der i forbindelse med den kommende Strategi for Cyber- og Informationssikkerhed igangsættes et arbejde, som skal sikre systematisering af de hændelser, der indberettes til blandt andre Datatilsynet samt politiets landsdækkende center for it-relateret, økonomisk kriminalitet.

”Det kan i høj grad være med til at øge vores viden om sikkerhedshændelser således, at it-sikkerheden styrkes”, siger Martin Jensen Buch.

Med dette initiativ ønsker man at tydeliggøre det faktum, at der rent faktisk er en mængde værdifulde data tilgængelige, som ikke udnyttes optimalt i dag. Han føjer til, at der i virksomhederne desuden er vist efterslæb, når det gælder fokus på sikkerheden.

Sammenhold gør stærk

”Over en årrække har der været fokus på virksomhedernes digitale transformation, men selv om det er blevet bedre, har ledelsen ikke haft tilstrækkeligt fokus på den nødvendige it-sikkerhed, der automatisk bør og skal følge med”, siger Martin Jensen Buch.

Han føjer til, at god it-sikkerhed i dag er blevet et væsentligt konkurrenceparameter - både i forhold til virksomhedens samarbejdspartnere og kunderne.

”Derfor ser jeg det som en klar fordel, hvis vi kan hjælpe hinanden og sammen skabe en transparent platform for erfaringsudveksling. En platform, der kan give de it-kriminelle kamp til stregen. I den globale konkurrence har danske virksomheder nemlig en interesse i at samarbejde og stå sammen på sikkerhedsfronten og skabe trygt handelsunivers. Så kan de bagefter slås på pris og kvalitet”, slår Martin Jensen Buch fast.


”Over en årrække har der været fokus på virksomhedernes digitale transformation, men selv om det er blevet bedre, har ledelsen ikke haft tilstrækkeligt fokus på den nødvendige it-sikkerhed,” siger Martin Jensen Buch, IT Branchen.



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Martin Schramm
Martin Schramm
Andreas Kiær
Andreas Kiær
Kenneth Fuglsang Christensen
Kenneth Fuglsang Christensen
Mogens Nørgaard
Mogens Nørgaard
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
opinion
Martin Schramm
Martin Schramm
Data-spild i danske virksomheder går ud over miljøet: Vi har alle et ansvar
Læs indlæg
Artikel teaser billede

Andreas Kiær

Mangler du it-ressourcer? – så er du nok selv skyld i det. For der er masser af arbejdskraft at tage af

Artikel teaser billede

Kenneth Fuglsang Christensen

Tre gode råd til at få styr på den nye bogføringslov - det kræver grundige overvejelser

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med

Artikel teaser billede

Jonathan Løw

Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?

Mest læste klummer og blogs
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Klumme: Elektrificeringen lever i bedste velgående i de nordiske lande. Vi køber og leaser elbiler som aldrig før, og på mange leder og kanter er de også mere avancerede end nogensinde før. Men alligevel er vi langt fra , hvad vi egentlig var blevet lovet. Her er tre ønsker til min næste bil.
Af: David Guldager
Mangler du it-ressourcer? – så er du nok selv skyld i det. For der er masser af arbejdskraft at tage af
Klumme: Hvorfor er det, at mangel på erfarne it-specialister fik 35 procent af danske it-firmaer til at sige nej til opgaver sidste år, når løsningen på dette er tilgængelig i dag og ofte ikke kræver andet end en holdningsændring i virksomhederne?
Af: Andreas Kiær
Tre gode råd til at få styr på den nye bogføringslov - det kræver grundige overvejelser
Klumme: Det kræver grundige overvejelser, når man som virksomhed skal sikre, at man lever op til lovgivningen fra 1. juli. Det kan måske virke uoverskueligt, når man både skal have styr på it og selve bogføringsprocesserne – især, hvis man ikke har et stort bogholderi. Her kommer tre gode råd.
Af: Kenneth Fuglsang Christensen
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
opinion Jeanette Carlsson
Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn
Læs indlæg

Premium
Teaser billede
Om få måneder lægger Microsoft det klassiske Teams i graven
Læs mere »
Danske myndigheder skal slippe alt, hvad de har i hænderne og patche nu: Hackere udnytter alvorlige sårbarheder i Ciscos firewalls
Sådan vil Niras anvende medarbejder-data og AI til løn-regulering og stress-håndtering
BEC varsler prisstigninger for sine kunder: Medarbejderne skal have mere i løn
Se alle »
Computerworld
Teaser billede
På tur i BMW's mægtigste elbil: Sådan er livet ombord i en monumental million-ellert
Læs mere »
Porno-giganterne Pornhub og XVideos skal indlevere materiale til EU
En hyldest til klodens snedigste tablet-design: Nu er fremtiden for Microsofts hardware endnu mere uvis
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
Se alle »
CIO
Teaser billede
Nu kan mange flere opgradere deres gamle Windows 10-pc'er til Windows 11: Se om du kan opgradere
Læs mere »
På denne dato er det slut med udbredte versioner af Office: Microsoft vil have dig over på de dyrere E3-licenser
Tidligere Chr. Hansen-CIO Jens Rasmussen løfter sløret efter exit: Her er mit næste skridt i karrieren
Besvarer forsikringsspørgsmål på 20 sekunder: Sådan er Topdanmarks nye generative AI-chatbot blevet udviklet på et halvt år
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Se alle »
White paper
Teaser billede
Opdag fordelene ved cloud-baseret backup og recovery
Læs mere »
Sådan høster du forretningsfordelene ved Internet of Things
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »