Trods årtiers informationskampagner er it-sikkerheden hos danske virksomheder fortsat hullet som en si.

Derfor bør forsikring mod cyberskader gøres obligatorisk for virksomheder af en vis størrelse. Det vil forstærke nationens samlede cyberforsvar og samtidig gøre firmaerne mere robuste.

Sådan lyder anbefalingen i et forskningspapir fra Center for War Studies ved Syddansk Universitet.

- Alene ved at tegne en forsikring ved vi, at virksomhederne går igennem en proces, der styrker cyberforsvaret og samtidig tilfører et beredskab, hvis de bliver ramt. De vil blive tvunget til at gøre status over deres it-sikkerhed. Alt det, der koster tid og penge, men som ikke bliver gjort, før det er for sent, siger assisterende professor Jan Lemnitzer, der står bag anbefalingen.

Trussel mod national sikkerhed

Nye tal fra revisions- og konsulenthuset PwC viser, at mere end hver anden danske virksomhed i 2019 blev udsat for angreb som phishing, malware eller digital afpresning.

Ifølge Erhvervsstyrelsen har hver fjerde virksomhed med over 10 ansatte end ikke grundlæggende, digital beskyttelse som antivirus eller en firewall, der forhindrer ubudne gæster i computerne.

Underskoven af firmaer er forbundne på kryds og tværs med vigtig digital infrastruktur. De er underleverandører til sundhedsvæsnet, energisektoren eller sågar Forsvaret og bliver på den måde en trussel mod den nationale cybersikkerhed.

- I mange tilfælde leverer de til større firmaer eller staten, der har forstærket deres forsvar. Men de er sårbare overfor angreb mod leverandørkæden, forklarer Jan Lemnitzer.

Lovgivning kan hæve sikkerhedsniveau

I dag er knap hver tiende danske virksomhed forsikret mod cyberangreb, anslår Jan Lemnitzer.

Ved at ensrette og lovgive for området, vil man tvinge virksomhederne til at gennemgå it-sikkerheden og lappe de huller, der måtte være, forklarer han.

På samme vis, som der skal være lås på cyklen, før forsikringen dækker.

- Det ville reformere dansk cybersikkerhed. Danmark ville gå fra et normalt land, til den nok bedst forsvarede digitale økonomi i Europa, konstaterer han.

Ifølge statens it-sikkerhedsmyndighed, Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, så vil lovgivning og ensretning hæve nationens digitale parader.

Såfremt der følger en række krav til it-sikkerheden med, før forsikringen dækker. Så erhvervslivet i overført betydning husker at låse cyklen.

- Hvis en cyberforsikring følges af nogle krav til den, der tegner forsikringen, om at sikre et vist minimumsniveau og dermed minimere sandsynligheden for at blive offer, så vil det have en positiv effekt, siger Thomas Lund-Sørensen, chef for Center for Cybersikkerhed.

En lovmæssig ensretning vil ifølge Jan Lemnitzer også sikre, at alle cyberangreb i modsætning til i dag bliver anmeldt til myndighederne.

- Det vil givetvis også være en fordel, siger Thomas Lund-Sørensen.

- Når vi har et overblik over, hvad der sker, så vil vi blive i stand til at rådgive meget bedre.

Minister: Samarbejde før lovgivning

Den ansvarlige minister for cyberforsvaret tror dog fortsat på, at hullerne skal lappes frivilligt.

- Jeg afviser ingen forslag på forhånd. Jeg synes bare, det er vigtigt, at vi gør det i samarbejde med virksomhederne og branchen, så det ikke virker som en tung hat, vi trækker ned over dem. De bør selv have en stor interesse i at beskytte sig og ikke mindst udsætte andre for fare, siger forsvarsminister Trine Bramsen (S).

Gør det indtryk på dig, når dit eget Center for Cybersikkerhed vurderer, at lovpligtig forsikring kan styrke hele befolkningens sikkerhed?

- Jeg er heller ikke sikker på, at det branchen gør nu, i sig selv er nok. Men det væsentlige for mig er, at det går hånd i hånd med virksomhedernes ønsker, hvis vi skal lovgive for området, siger Trine Bramsen.