Af Mads Nørgaard Madsen, Partner Technology & Security
Cybercrime Survey 2021 viser, at organiserede kriminelle nu udgør den største trussel i relation til cyber- og informationssikkerhed. Hele 78 % af de adspurgte anser således organiserede kriminelle for at være blandt de største cybertrusler, hvilket er den højeste andel nogensinde i Cybercrime Surveyens historie (siden 2015).
Center for Cybersikkerhed vurderer da også, at truslen fra cyberkriminalitet er ”meget høj” i Danmark, og konstaterer, at de cyberkriminelle udvikler deres kompetencer og begynder at tage nye angrebsmetoder i brug. Det gælder eksempelvis bagmændene bag ransomware-angreb, der i stigende grad anvender avancerede angrebsteknikker. De kriminelle hackere udfører ikke alene ”klassiske” ransomwareangreb med kryptering af virksomheders data, men er derudover begyndt at stjæle data, hvorefter de kan true virksomheder og personer yderligere med at lække de stjålne følsomme oplysninger, såfremt en løsesum ikke bliver betalt.
Der er i de seneste år set eksempler på nogle af historiens mest avancerede angreb. I 2020 blev en amerikansk it-sikkerhedsvirksomhed således udsat for et angreb i forsyningskæden (supply chain attack), hvor cyberkriminelle implementerede ondartet kode (malware) i en opdatering til et kundevendt softwaresystem. Dette gav hackerne mulighed for at spionere mod en lang række samfundskritiske virksomheder og organisationer, hvor alle virksomheder, som havde kørt softwareopdateringen, var sårbare.
I 2021 fandt endnu et avanceret angreb sted. Også denne gang var det mod en stor virksomhed, at en hackergruppe udnyttede et sikkerhedshul i et kundevendt mailsystem. Virksomheden var ikke bekendt med dette sikkerhedshul, før angrebet fandt sted – en ægte såkaldt zero-day vulnerability. Dette angreb åbnede ligeledes en bagdør for adgang til følsomme oplysninger fx alle mails og kalenderoplysninger.
Disse nye avancerede former for angreb sætter såvel erhvervslivet som samfundet under pres, når tusinder, hvis ikke millioner, af virksomheder er sårbare på samme tid. PwC erfarer da også, at markant flere virksomheder er bekymrede for at blive udsat for et sådant angreb. Dette understøttes af, at PwC’s incident response-team flere gange har måttet etablere et decideret beredskab for at kunne kontakte mere end 1.000 sårbare danske virksomheder inden for meget kort tid. Det er tidligere set, at medieomtale af cyberhændelser eller selvoplevede angreb har medført større investeringer i cybersikkerhed, fordi virksomhederne er blevet bekendt med de fatale konsekvenser heraf, fx negativ indvirkning på omdømmet eller økonomien.
Nu ser vi i højere grad, at virksomheder selv begynder at investere i sikkerhedsforanstaltninger, før angreb finder sted. PwC erfarer desuden, at flere og flere virksomheder – for at mitigere cybertruslen – begynder at investere i flerårige transformationssikkerhedsprogrammer og etablere sikkerhedsteknologier, der giver reel sikring af virksomhedens kritiske aktiver.
Det er en forudsætning, at der er en fokuseret og prioriteret indsats fra ledelsen, før virksomheden kan implementere de rette effektive sikkerhedstiltag. Derfor er det positivt, at hele 8 ud af 10 (80 %) af de adspurgte vurderer, at direktionen/ledelsen fokuserer på at opnå den rette balance mellem cybertrusler og investeringer i cybersikkerhed.
Vi ser dog samtidig, at der er plads til forbedring, når det kommer til kommunikation og/eller sikkerhedsrapportering på tværs af ledelseslag fra den ansvarlige sikkerhedsafdeling til direktion og bestyrelse. Denne kommunikationsudfordring vanskeliggør en effektiv og tilstrækkelig forståelse af sikkerhedsudfordringerne i ledelserne, og dermed kan der være en risiko for, at den nødvendige indsats ikke prioriteres på korrekt vis.
Det er derfor afgørende, at topledelse og bestyrelse i arbejdet med cyberstrategien får implementeret en fast praksis for rapportering og kommunikation om det aktuelle trusselsbillede, hændelser, prioriterede tiltag mv. Dette er med til at skabe en helhedsorienteret cyberstrategi, hvor man både internt og eksternt kan være tryg ved sikkerhedshåndteringen. For cybersikkerhed handler blandt andet om at skabe tillid til, at omverdenen trygt kan handle og indgå i relationer med virksomheden. Denne tillid er et aktiv, som virksomhederne bør værne omhyggeligt om.