IT-Sikkerhed i SMV’er: En nødvendig prioritet

Del

Phishing

Digital sikkerhed i små og mellemstore virksomheder (SMV) i Danmark er et vigtigt og presserende emne. I en tid, hvor teknologien fortsætter med at udvikle sig, og cyberangreb bliver mere sofistikerede, skal SMV’er være godt rustede til at beskytte deres data og systemer.

Mangel på IT-Sikkerhed

Erhvervsstyrelsen udgav i september 2022 en rapport om Digital sikkerhed i danske SMV’er, nogle key points der er værd at fokusere på er.

1️⃣ Manglende bevidsthed: Mange SMV’er har en “Det sker ikke for mig” holdning. De undervurderer værdien af deres data og risikoen for et cyber angreb.

2️⃣ Ressourcemangel: SMV’er har ofte begrænsede ressourcer til at investere i IT-sikkerhed, hvilket gør dem mere sårbare over for cyber angreb.

3️⃣ Kompleksitet: At finde den rigtige information og tage de rette skridt for at forbedre IT-sikkerhed kan være en udfordring. Faktisk mener 79% af SMV’erne, at enkle og konkrete råd om IT-sikkerhed kan øge deres fokus på digital sikkerhed.

4️⃣ Rekruttering: 57% af virksomhederne finder det vanskeligt at finde folk med den rigtige viden om IT-sikkerhed.

📊 Ifølge rapporten fra Erhvervsstyrelsen, er SMV’er opdelt i tre kategorier baseret på deres IT-sikkerhedsniveau og risikoprofil: de sårbare (44%), de tilpas sikrede (48%), og de påpasselige (8%).

🔍 Rapporten viser også, at 25% af SMV’erne ikke anvendte de to basale IT-sikkerhedsforanstaltninger i 2020: opdatering af styresystemer og backup af data. Desuden oplevede 17% af de danske SMV’er mindst en af følgende fire IT-sikkerhedshændelser i 2020: blokeret adgang til IT-services, sletning, ødelæggelse, misbrug eller videregivelse af data, IT-relateret økonomisk svindel og andre IT-sikkerhedshændelser.

Vi er en lille virksomhed, vi bliver sikkert ikke ramt

Jo, Spørgsmålet er ikke om I bliver hacket, men hvornår. hackere har mange muligheder for at ramme de små virksomheder.

  • Phishing-angreb: Angreb, hvor angribere udgiver sig for at være troværdige kilder for at lokke følsom information ud af ofre.
  • Ransomware: Malware, der krypterer filer og kræver løsesum for at dekryptere dem.
  • Dataindbrud: Uautoriseret adgang til og tyveri af følsomme data.

Et cyber angreb kan have både finansielle, juridiske og omdømme konsekvenser

  • Finansielle Tab: Direkte økonomiske tab fra tabt arbejdskræft, nedetid på systemer og udgifter til IT-konsulenter
  • Omdømmeskade: Langsigtede skader på virksomhedens omdømme og kundetillid.
  • Juridiske Konsekvenser: Potentielle juridiske problemer og overtrædelser af lovgivning som GDPR.

Vi har Cyber forsikring

Ja, mange SMV’er har en cyberforsikring eller lignende, der er dog krav til ens forsikring som mange SMV’er ikke overholder, hvilket vil betyde at forsikringen ikke dækker hvis uheldet er ude, ens indboforsikring dækker heller ikke hvis døren står åben.

Forsikringsselskaber kan stille krav til virksomheders IT-sikkerhed som en del af deres policer. Disse krav kan omfatte:

  • Sikkerhedsstandarder: Overholdelse af branchestandarder og -reguleringer.
  • Risikovurdering: Gennemførelse af regelmæssige risikovurderinger og -analyser.
  • Incidenthåndtering: Etablering af procedurer for håndtering og rapportering af sikkerhedshændelser.
  • Forstå Kravene: Læs og forstå kravene fra forsikringsselskabets police. få intern IT eller ekstern IT-Konsulent til at vurdere om i lever op til kravene
  • Integrer Sikkerhed: Sikkerhed bør være en integreret del af virksomhedens risikostyringsstrategi.

Eksempel på Cyber angreb og omkostningerne ved dette

I marts 2022 blev en anonym virksomhed med 35 ansatte ramt af et cyber angreb, da en medarbejder åbnede en vedhæftet fil i en e-mail. Dette førte til kryptering af alle filer på virksomhedens netværksdrev. Heldigvis havde virksomheden en backup, men de oplevede alligevel to dages nedetid, hvilket medførte omkostninger på 55.000 kr., samt tab af mandetimer.


Hvordan forbedrer SMV’er sig uden det ødelægger tegnebogen

  • Vurder Din Sikkerhed: Foretag en omfattende vurdering af din nuværende IT-sikkerhed.
  • Samarbejd med Eksperter: Overvej at arbejde med IT-sikkerhedseksperter for at styrke din sikkerhedsprofil.

Awareness Træning

Med stigende trusler fra hacking og phishing-angreb, er det vigtigt, at medarbejderne ved, hvordan man genkender og undgår disse trusler. En enkelt fejltagelse kan føre til et alvorligt brud på datasikkerheden.

Awareness træning uddanner medarbejdere i at genkende phishing mails eller lignende angreb hvor hackeren prøver at komme ind ved Social engineering.

Social engineering er at manipulere folk til at udføre handlinger eller udlevere fortrolige oplysninger. Det er en form for hacking, men i stedet for at bryde ind i computere forsøger social engineers at få adgang til dem ved at narre medarbejdere til at opgive oplysninger eller downloade malware.

Two-factor-authentication

Two-factor-authentication (2FA) er en sikkerhedsproces, hvor brugeren skal levere to separate autentificeringsfaktorer for at få adgang til en konto eller et system. Udover et almindeligt brugernavn og password kræves en ekstra verificering, såsom en engangskode sendt til en mobiltelefon. Dette ekstra lag af sikkerhed gør det langt vanskeligere for uautoriserede brugere at få adgang til følsomme oplysninger,

2FA blokerer i følge Microsoft 90% af alle angreb, det er den absolut vigtigste sikkerhedsfunktion man som virksomhed kan implementere, 2FA er som regel gratis ved alle producenter.

Backup

Uheld, hardwarefejl eller cyberangreb kan resultere i permanent tab af vigtige data. En solid backup-løsning kan gendanne disse data og minimere driftsforstyrrelser.

Kort sagt, en lille virksomhed uden en backup-strategi risikerer ikke blot at miste vigtige data, men også kundernes tillid, retlig overholdelse og muligheden for at operere effektivt. Det er en investering, der kan spare meget tid, penge og bekymringer i det lange løb.

Microsoft 365 Specifikke tiltag

Microsoft 365 Business Premium

De fleste SMV’er har Microsoft 365 business standard, Dette abonnement inkluderer grundlæggende sikkerhedsfunktioner som spam- og malware-beskyttelse i e-mails. Det dækker de essentielle behov, men mangler nogle avancerede sikkerhedsfunktioner

Opgradering til Business Premium tilbyder en mere omfattende beskyttelse med avancerede sikkerhedsværktøjer. Fordele ved Business Premium inkluderer:

  • Microsoft Defender til Office 365: Microsoft Defender til Office 365 er en sikkerhedstjeneste, der giver beskyttelse mod skadelige softwareangreb og trusler i Office 365-miljøet. Tjenesten hjælper med at beskytte mod phishing-forsøg, ransomware, og andre former for malware ved at scanne e-mails, vedhæftede filer, og links i realtid.
  • Microsoft defender for endpoint: Dette er en avanceret platform, der beskytter mod trusler på endpoints som computere, telefoner og tablets. Defender til Endpoint overvåger og reagerer på komplekse trusler, sårbarheder og angreb og giver dybdegående indsigt og kontrol over sikkerhedsbegivenheder

Sikkerheds licenser til Microsoft 365 Business Basic/Standard

Microsoft Defender for Office365

Microsoft defender for Endpoint

Conditional Access

Conditional Access er en sikkerhedsfunktion, der giver virksomheder mulighed for at styre og begrænse adgangen til deres netværk og ressourcer. Med betinget adgang kan organisationer opstille specifikke betingelser og krav, som en bruger eller enhed skal opfylde, før adgang gives. Der kan også være begrænsninger baseret på brugerens placering, enhedstype eller forbindelse til et bestemt netværk.

Konklusion

I en digital tidsalder er det afgørende for SMV’er at tage IT-sikkerhed alvorligt. Trods den udbredte misforståelse af “det sker ikke for os” er truslen fra cyberangreb reel og kan have alvorlige økonomiske konsekvenser. Men sikkerhed handler ikke kun om teknologi; det handler om kultur, uddannelse, og proaktivitet. Med den rette tilgang og strategi kan SMV’er beskytte sig selv og deres kunder, samtidig med at de navigerer sikkert i den digitale verden.

Kilder

https://digst.dk/media/28819/digital-sikkerhed-i-danske-smver.pdf

https://digst.dk/media/28897/digital-sikkerhed-i-danske-smver_erhvervsstyrelsen_sep2022_wa-1.pdf

Se også