Danmark er et af de mest digitaliserede lande i Europa, men den høje digitaliseringsgrad åbner samtidig for indgange, som cyberkriminelle kan benytte sig af, og det har de gjort. Hackerangreb mod små og mellemstore virksomheder er steget med 144% siden 2019, viser ny analyse. Det kalder på en styrket indsats, mener eksperter.
af Sigurd Hollerup Bencke og Emilie Lindahl-Jessen
Da Hanne Nylev og hendes kollegaer en tidlig mandag morgen i august 2020 mødte på arbejde, fik de sig noget af et chok. Hen over weekenden havde cyberkriminelle hacket virksomhedens filer og krypteret dem til ukendelighed.
“Alle vores maskiner var nede, og samtlige computere var sorte. Vi var fuldstændig amputerede. Vi kunne ikke bare sige til kunden, ´der bliver lige en forstyrrelse på et par dage`, for vi vidste ikke, hvornår vi ville være oppe at køre igen,” fortæller Hanne Nylev.
Tanken om at Hanne Nylevs familieejede maskinfabrik N.H. Stål WaterCut skulle blive et mål for cyberkriminelle var ikke noget, der bekymrede hende. Hun vurderede ikke, at hendes lille fynske virksomhed med syv ansatte havde megen værdi for hackere.
“Jeg hedder jo hverken Mærsk eller Lego, så en lille fisk som mig går de ikke efter.”
De små fisk er det nye mål
Den lille fynske virksomhed er langt fra det eneste offer for cyberkriminalitet. Hver dag er myndigheder, virksomheder og privatpersoner mål for cyberangreb.
Tidligere var det primært kun de store danske virksomheder som Mærsk og Novo Nordisk, der var i hackernes søgelys, men inden for de seneste år er fokus blevet rettet mod de små og mellemstore virksomheder (smv).
Antallet af hackerangreb mod små og mellemstore virksomheder er steget med 144% siden 2019, viser en analyse foretaget af hovedorganisationen for små og mellemstore virksomheder, SMVdanmark, på baggrund af tal fra Danmarks Statistik. Samme analyse viser, at 33% af alle smv’er oplevede brud på IT-sikkerheden i 2021.
Jens Myrup Pedersen, professor for cybersikkerhed på Aalborg Universitet, kalder det en “voldsom stigning”:
“Jeg tror, det handler om, at de mindre virksomheder ikke forstår risikoen. De tænker ikke, at de er et mål og forstår ikke, hvor udsat og afhængige de er af deres digitale infrastruktur. Det gør dem til et let offer.”
Leder af konsulenthuset Globeteams forretningsenhed for cyber- og informationssikkerhed og tidligere cyberchef i PET, Gorm Grosen Christiansen, deler samme bekymring som Jens Myrup Pedersen.
“Det er en forbandet god forretning for hackerne, da kriminalitet mod smv´ere næsten ikke koster dem noget, og risikoen er lav. Hackerne går efter de mindre virksomheder, som ikke er beskyttet tilstrækkeligt, og gennem dem kan de ramme de store virksomheder indirekte,” siger Gorm Grosen Christiansen.
Ifølge Gorm Grosen Christiansen skyldes den eksplosive stigning blandt andet, at Mærsk og andre store virksomheder har investeret i deres digitale sikkerhedsniveau. De har ressourcerne og kompetencerne til at opruste deres sikkerhed og følge med trusselsbilledet, hvilket mange smv’er ikke har.
Det har fået hackerne til at vende fokus mod de mindre virksomheder, som ikke har samme muligheder for at forebygge mod hackerangreb.
Større angrebsflade
Med den teknologiske udvikling følger også en sårbarhed overfor cyberkriminelle, der forsøger at udnytte svaghederne i danske smv’ers digitale infrastruktur. Trusselsbilledet ændrer sig konstant, og det gør det vanskeligt for smv´erne at følge med.
En analyse foretaget af Erhvervsstyrelsen viser, at 44% af de danske smv’er har et for lavt digitalt sikkerhedsniveau i forhold til deres risikoprofil.
Ifølge Sofie Freja Christensen, der er cybersikkerhedsekspert for Ingeniørforeningen IDA, og Security and Compliance Manager i IT-konsulentvirksomheden Dubex, går vi i Danmark på kompromis med vores digitalisering kontra vores sikkerhedsniveau, og det stiller os endnu mere sårbare.
Med en høj digitaliseringsgrad følger også en stor angrebsflade, som hackerne kan boltre sig i.
“Vi har en angrebsflade, som er meget større end andre lande, der ikke er nær så digitaliserede. Det er jo klart, at det er nemmere at ramme dem med en stor angrebsflade, end dem der har en lille angrebsflade,” siger Sofie Freja Christensen.
Sofie Freja Christensen arbejder til daglig i sikkerhedsfirmaet Dubex, som hjælper og rådgiver virksomheder, som enten ønsker at sikre sig mod hackerangreb, eller som selv er/har været udsat for cyberkriminalitet.
På trods af den øgede risiko for hackerangreb er det fortsat meget få erhvervskunder, der sikrer sig mod tab, når deres virksomhed bliver angrebet.
Alm. Brand peger i en skriftlig kommentar på, at nogle smv´er fortsat har til gode at dække sig mod tab og opruste deres digitale forsvarsværn, der skal være med til at håndtere cybertruslen. Alm. Brand oplever, at nedprioriteringen ofte skyldes manglende økonomiske ressourcer og for få IT-kompetencer.
Jens Myrup Pedersen ser samme tendens og peger på, at mange små virksomheder ikke har råd til at få den hjælp, de har brug for.
Det oplevede Hanne Nylev, da hun efter hackerangrebet undersøgte nøje, om de i N.H. Stål WaterCut havde midlerne til at investere i en forsikring, der kunne dække den tabte produktion.
Det gik dog hurtigt op for hende, at hendes virksomhed ikke havde råd til at finansiere sådan et tilbud, og det har fået bekymringen for endnu et hackerangreb til at nage i Hanne Nylevs underbevidsthed.
Mange smv’er står altså alene med problemet, hvis uheldet er ude, fordi de ikke kan finansiere de forsikringstilbud, der udbydes, og det kan have mærkbare konsekvenser for den enkelte virksomhed.
Vidtrækkende konsekvenser
Et hackerangreb mod en smv’er kan have vidtrækkende konsekvenser, eksempelvis gennem tabt omsætning, produktionsstop eller tab af vigtig data. Det kan i yderste konsekvens betyde, at en virksomhed mister sit forretningsgrundlag og må dreje nøglen om.
I Hanne Nylevs tilfælde havde hun til sit held få dage forinden hackerangrebet delvist forsikret virksomheden, så omkostningerne til IT-specialister og genoprettelse af serverne ikke kostede dem noget. Med hjælp fra IT-specialisterne var virksomheden oppe at køre igen efter halvanden uge. De fik dog aldrig den tabte omsætning tilbage.
“Med hjælp fra IT-folk var vi heldigvis hurtigt på benene igen. Men vi blev alligevel grebet af en irritation og en vrede, mens det stod på, fordi vi lå stille med ordrer, der skulle have været færdige.” siger Hanne Nylev.
Angrebet kostede virksomheden et produktionsstop, der varede et par dage og omkring 300.000 kroner i tabt omsætning og udgifter til IT-eksperter.
Utilstrækkelige løsninger
Flere nationale og internationale løsningsforslag er blevet implementeret for at bekæmpe cybertruslen og for at sikre, at virksomheder kan følge med det skiftende trusselsbillede.
På internationalt plan har EU-parlamentet vedtaget NIS2-direktivet. Initiativet skal optimere cybersikkerheden blandt virksomheder med 50 ansatte eller derover, som varetager vigtige funktioner i samfundet.
Det kan for eksempel være energi, sundhed- eller fødevarebranchen. Direktivet omfatter blandt andet, at virksomhedernes krav til risikostyring, dokumentation og rapportering om deres cybersikkerhed er blevet skærpet.
Et initiativ som Gorm Grosen Christiansen ikke finder tilstrækkeligt:
“Det eneste EU kommer med er blot flere regulativer, forordninger og lovgivning, som de lægger ned over virksomheder. Det medfører, at virksomhederne skal bruge unødigt mange ressourcer på at rapportere og redegøre for, at de lever op til de krav, der er. Det gør, at de afviger fokus fra reelt at sikre sig ordentligt mod angreb.”
På nationalt plan forsøger Erhvervsministeriet og de største danske erhvervsorganisationer at styrke den digitale sikkerhed med en cybersikkerhedspagt, som gennem dialog og projektarbejde skal hjælpe de danske smv’er med at styrke deres cybersikkerhed.
Det er dog heller ikke den mest optimale løsning, mener Jens Myrup Pedersen, professor i cybersikkerhed på Aalborg Universitet:
“Jeg synes da, det er fint. Det er bare vigtigt, at der også kommer noget handling bag. Der er en tendens til, at det bliver lidt for mange gode intentioner, for mange analyser og for lidt handling.”
Sofie Freja Christensen mener, at de to initiativer kræver ekspertise at implementere, hvilket ifølge hende er den største udfordring:
”Vi kommer aldrig i mål. Der vil altid være en trussel, men vi kan forsøge at være på forkant ved at få uddannet flere IT-specialister, samt aktivt opsøge nye trusler og sårbarheder. Hvis flere har kompetencerne, har vi bedre mulighed for at hæve det generelle sikkerhedsniveau. Vi kan allerede nu mærke, at der er mangel på IT-specialister, men det er stadig ikke prioriteret højt nok fra politisk side.”
En krise truer
Der er bred enighed fra eksperterne om, at det begynder at gå i den rigtige retning, men der er stadig lang vej.
”I dansk lovgivning ser vi mange ting pible op, men det skulle have været sket for længe siden. Vi begynder at se mere politisk opbakning og flere initiativer for at løfte det generelle sikkerhedsniveau. Den største udfordring lige nu er mangel på IT-specialister,” siger Sofie Freja Christensen.
Tal fra Danmarks Statistik viser, at hver tiende lille virksomhed ikke kan finde en IT-specialist til at beskytte dem mod hackerangreb, mens det for de mellemstore virksomheder er hver sjette.
“Det er efter min vurdering den største udfordring, vi har i forhold til cybersikkerhed i Danmark, at vi ikke har nok kompetente mennesker til at øge sikkerhedsniveauet rundt omkring i virksomheder og myndigheder,” siger Jens Myrup Pedersen.
En analyse udarbejdet af IRIS Group og HBS Economics for Danske Gymnasier og IDA viser, at der kommer til at mangle 22.000 IT-specialister i 2030. Det er en prognose, som giver anledning til bekymring.
Hackerangreb bliver det nye normal
Med den store stigning i hackerangreb mod smv’er og den stigende mangel på IT-specialister lægger det op til en regulær cybersikkerhedskrise. Hvis man spørger Jens Myrup Pedersen, så står vi allerede midt i krisen, og den er kommet for at blive.
“Jeg kan ikke se andet end, at problemet bliver større, end det er i dag.”
Det kan derfor blive det nye normal, at smv’er som N.H. Stål WaterCut bliver lagt ned af hackerangreb, hvis ikke der bliver gjort noget drastisk. Smv’erne bliver i stigende grad digitaliseret, hackerne bliver skarpere, og uddannelse af flere IT-specialister tager tid.
“Ingen virksomheder kan vide sig sikre. Lige så snart du er en digital virksomhed, så er du inde for målskiven,” siger Sofie Freja Christensen.
Hos N.H. Stål WaterCut har de ikke oplevet et hackerangreb siden, men faren lurer, for de cyberkriminelle går ikke længere efter de store fisk. Nu vil de have de små fisk.
Det har ikke været muligt at få en kommentar til problematikken fra Ligestilling- og Digitaliseringsminister, Marie Bjerre (V).