Virksomhedsråd: Opret frivillig mærkningsordning for it-sikkerhed

Af Tom Engly med flere (se dokumentationsboks)
Formand for Virksomhedsrådet for IT-sikkerhed og koncernsikkerhedschef i Tryg

Cyberangreb er blevet et grundvilkår for danske virksomheder.

Det var budskabet fra Forsvarets Efterretningstjeneste, da de i begyndelsen af december udgav deres årlige risikovurdering, hvor cybertruslen står øverst.

Cyberkriminalitet er nu så udbredt og nem at begå, at helt almindelige danske virksomheder er nødt til at tage risikoen for at lide økonomiske tab som følge af en it-hændelse alvorligt.

I en undersøgelse, Deloitte har lavet for Erhvervsstyrelsen, angav flere SMV’er tab på mellem 100.000 og 200.000 kroner som følge af brud, mens den gennemsnitlige omkostning var 40.000 kroner.

Og risikoen bliver kun større i takt med den stigende brug af digitale løsninger.

Vi mener, at visse it-sikkerhedsforanstaltninger skal være lige så indlejrede i vores rutiner, som det er at låse døren og slå alarmen til, når man går hjemmefra eller forlader sin arbejdsplads.

Tom Engly med flere
Formand for Virksomhedsrådet for IT-sikkerhed og koncernsikkerhedschef i Tryg

De mindre virksomheder sakker bagud
Truslen er da også ved at gå op for dele af erhvervslivet.

I november udgav World Economic Forum en rapport, hvor erhvervslederne i både Europa, USA og dele af Asien udpeger cyberangreb som den største trussel mod deres forretning.

Men i takt med at de store virksomheder opruster deres værn mod uvedkommende i it-systemerne, sakker de små og mellemstore virksomheder bagud.

Ikke mindst fordi de kriminelle oftest målretter deres aktiviteter mod de ”lavthængende frugter” – altså dem med den dårligste sikkerhed. Fire ud af ti SMV’er har ikke et passende it-sikkerhedsniveau ifølge føromtalte undersøgelse fra Erhvervsstyrelsen.

En risiko for hele samfundet
Og selvom regeringens strategi for cyber- og informationssikkerhed har skabt et godt udgangspunkt for at hjælpe erhvervslivet, blandt andet ved etablering af sikkerdigital.dk, er der stadig behov for at gøre mere.

Dels fordi almindelige danske virksomheder som følge af tvungne produktionsstop eller læk af forretningskritisk data bliver ramt hårdt på pengepungen.

Dels fordi mange SMV’er er underleverandører til større virksomheder og samfundskritiske sektorer, hvorfor sårbarheder blandt disse kan udgøre en risiko for hele samfundet.

Desværre er mange af dem slet ikke kommet i gang.

Frivillig mærkningsordning
Det ønsker Virksomhedsrådet for IT-sikkerhed at lave om på.

Vi er nedsat af regeringen til at komme med bud på, hvordan SMV’ernes it-sikkerhed kan styrkes og på sigt blive et konkurrenceparameter for Danmark. De første anbefalinger blev afleveret i 2017, og vi arbejder nu med tre nye spor, der hver indeholder anbefalinger specifikt målrettet mod et løft af it-sikkerheden i de danske SMV’er.

Det første spor har vi netop færdiggjort og afleveret til erhvervsministeren. Her anbefaler vi, at der oprettes en frivillig mærkningsordning for it-sikkerhed målrettet mod SMV’erne.

Mærket skal kickstarte SMV’ernes arbejde med basale it-sikkerhedstiltag og samtidig signalere til kunder, aftagere og forbrugere, at en virksomhed har styr på sin it-sikkerhed.

For med ret enkle tiltag, såsom korte medarbejderkurser i god it-sikkerhedsadfærd og regelmæssig backup, kan virksomhederne forhindre størstedelen af de mest almindelige it-sikkerhedshændelser.

Mærket bør have et omkostningsniveau, så virksomheder af alle størrelser kan være med.

En normal del af forretningsgangen
I det andet spor er vi i gang med at se på, hvordan oplysning om og kendskab til god it-sikkerhedsadfærd kan styrkes.

Virksomhedsrådet mener, at visse it-sikkerhedsforanstaltninger skal være lige så indlejrede i vores rutiner, som det er at låse døren og slå alarmen til, når man går hjemmefra eller forlader sin arbejdsplads.

Samtidig skal virksomhedslederne forstå, at det ikke behøver at være så svært, når man først er kommet i gang. Det afgørende her er, at it-sikkerhed bliver en normal del af virksomhedernes forretningsgange, så det bliver lige så naturligt at tage en backup, som det er at låse døren.

Et salgsparameter
I det tredje spor drøfter vi, hvordan it-sikkerhedskompetencerne i Danmark kan styrkes.

Det er et afgørende område, hvis it-sikkerhed skal blive et dansk konkurrenceparameter. Men det er også komplekst, og derfor vil vi i det nye år forsøge at nå et spadestik dybere, i forhold til hvilke kompetencer der mangler.

Det globale marked skal have høj tillid til danske virksomheders it-sikkerhedsniveau og dataanvendelse – helt på linje med, hvordan fødevaresikkerhed i dag er et salgsparameter for fødevareindustrien.

It-sikkerhed kan virke som et vanskeligt og specialiseret område at gå i gang med. Men det behøver slet ikke være så svært. Det budskab vil vi gerne sprede til de danske SMV’er.

De store skal hjælpe de små
Det ligger i Virksomhedsrådets DNA, at de store skal hjælpe de små, og vi håber derfor, at de store virksomheder med mange erhvervskunder vil give en hånd med at sprede budskabet om, at it-sikkerhed er vigtigt – men også til at gå til.

I første omgang håber vi, at erhvervsministeren vil arbejde for, at der etableres en mærkningsordning for it-sikkerhed – gerne i et bredt forankret samarbejde med erhvervslivet.

Et mærke vil bidrage til, at kulturen i dansk erhvervsliv omkring it-sikkerhed får et rygstød, så danske virksomheder på sigt kan skille sig positivt ud i den globale konkurrence – og så de selv og deres kunder bliver mere sikre over for digitale indbrud.