Hackere kan ramme os via ubevogtet bagdør: Mindre firmaer er en sikkerhedsrisiko for staten

Bundniveauet er for lavt, advarer national myndighed for cybersikkerhed - i 2019 blev hver anden danske virksomhed ramt.

De små og mellemstore virksomheder er en tikkende bombe under samfundets vigtige infrastruktur.

For mens kraftværker, hospitaler og centrale offentlige myndigheder har hævet de digitale parader, så halter sikkerhedsniveauet efter hos underskoven af mindre virksomheder.

De tusindvis af mindre firmaer, som er underleverandører til vigtig infrastruktur og rygraden i vores digitale økonomi. Set med hackere og it-kriminelles øjne er de en svag og ubevogtet bagdør til større og tungere mål.

Sådan lyder advarslen fra en række eksperter i digital sikkerhed, der får opbakning fra Center for Cybersikkerhed under Forsvarets Efterretningstjeneste.

- Niveauet af cybersikkerhed i Danmark er ikke tilstrækkeligt højt, og det er en udfordring. Det gælder både små og store virksomheder, siger Thomas Lund-Sørensen, der er chef for statens it-sikkerhedsmyndighed, Center for Cybersikkerhed (CFCS).

- De mindre europæiske firmaer udgør rygraden og hjertet i vores digitale økonomier. De er ikke i sig selv vigtig infrastruktur, men de leverer til den, siger Jan Lemnitzer, assisterende professor ved Center for War Studies på Syddansk Universitet.

- Men de fleste baserer sig på en teknologi, der fra det ene sekund til det andet kan gå ned. Der er ganske enkelt også arbejdspladser, der risikerer at forsvinde, konstaterer han.

Trusselsniveau i den højeste kategori

Ifølge CFCS er det nuværende trusselsniveau mod danske virksomheder ‘meget højt’.

- Vi har faktisk ikke nogen højere kategori. Kort sagt betyder det, at vi ved, at aktører derude har lyst til og er i stand til at angribe - og de gør det, siger Thomas Lund-Sørensen.

- Det sker hver eneste dag, konstaterer han.

En ny undersøgelse fra revisions- og konsulenthuset PwC giver et billede af omfanget.

Mads Nørgaard Madsen, leder af PwC's afdeling for sikkerhed og teknologi.

Ifølge PwC’s Cybercrime Survey 2019 blandt 325 virksomhedsledere og it-chefer blev hver anden virksomhed - 51 procent - udsat for en sikkerhedshændelse i 2019.

Det er CFCS’ vurdering, at resultatet er sandsynligt.

- Jeg vil slet ikke afvise, at det kunne være tilfældet, siger Thomas Lund-Sørensen.

- Danmark er et meget digitalt samfund. Det er positivt. Virksomhederne har masser af digitalt udstyr, siger Mads Nørgaard Madsen, leder af PwC’s afdeling for sikkerhed og teknologi.

- Men det rammer dem også. Sikkerheden er ikke fulgt med. Og det er ikke en sårbarhed, der er synlig. Virksomhedslederne aner ikke, hvor sårbare de er.

- Det er ikke et hus, hvor man kan se låsen på døren. Man kan ikke se med egne øjne, hvis andre mennesker bare vader ind og ud af systemerne og tager det, de har lyst til, siger han.

Erhvervsstyrelsen: Hver fjerde har end ikke firewall

Erhvervsstyrelsen har for nylig undersøgt de små og mellemstore virksomheder i en stikprøve blandt 3.954 virksomheder. Det er for eksempel lokale autoværksteder, håndværkere, produktionsvirksomheder eller rengøringsfirmaer med mindst 10 årsværk ansat.

Knap hver fjerde af dem har end ikke et grundlæggende niveau af digital sikkerhed. Det vil sige, at de ikke bruger digitale forsvarsværker som en firewall, der stopper ubudne gæster i at gå ind på computeren, antivirus eller tager sikkerhedskopier af vigtige data.

- De er nemme ofre for dem, der vil have fat i de store. De små er som regel mindre beskyttede, adgangen til dem er noget nemmere og de er måske betroede leverandører til store firmaer eller dele af den kritiske infrastruktur. For hackerne udgør de en dejlig nem vej ind, siger Mads Nørgaard Madsen.

Center for Cybersikkerhed kalder det for ‘en udpræget fremgangsmåde’ at gå gennem de små, for at nå frem til de store. Hvad enten målet er berigelseskriminalitet, spionage eller sabotage.

Derfor er det en vigtig opgave for Forsvarets Efterretningstjeneste og CFCS at hæve sikkerheden i den såkaldte ‘leverandørkæde’.

- En stor virksomhed kan være afhængig af en mindre software-virksomhed, der leverer et produkt. Men hvis det produkt er inficeret af hackere, så får man en sikkerhedsrisiko ind ad døren, siger Thomas Lund-Sørensen.

Danmarks vigtige nationale infrastruktur

  • Seks sektorer er udnævnt som kritisk, national infrastruktur. De skal opfylde en række krav om ekstra cybersikkerhed.

  • Energisektoren: Det er for eksempel kraft- og varmeværker, der sørger for strøm og varme.

  • Transportsektoren med veje, jernbaner, havne og lufthavne.

  • Finanssektorens banker og pengeinstitutter.

  • It og teleområdet, der sørger for, at kommunikationen fungerer.

  • Sundhedssektoren med hospitaler og klinikker.

  • Fødevaresektoren.

CFCS: Overlad det til fagfolk

Jan Lemnitzer er professor og forsker i digital krigsførelse ved Center for War Studies. Ifølge ham kan selv en simpel faktura sendt per mail være nok.

Jan Lemnitzer, assisterende professor ved Center for War Studies, Syddansk Universitet.

- Vi kan forestille os, at hackere kaprer emailserveren hos et mindre cateringfirma, der leverer mad til militæret eller et sygehus. Nu kan de sende emails, der ser helt ægte ud, har den rigtige afsender og kommer fra det rigtige sted.

- Der er en stor chance for, at modtageren vil åbne den, hvis den seneste regning er vedhæftet. Sker det, så er angriberne i princippet inde, forklarer han.

Blandt andet derfor anbefaler CFCS slet og ret, at mindre virksomheder overlader it-sikkerheden til professionelle.

- Skal man have en server stående i et kosteskab, så skal man nødvendigvis selv være ansvarlig for at opdatere sine systemer. Der vil vores råd nok være, at hvis man ikke er sat i verden for at lave it, så skal man måske overveje at købe it-ydelserne ude i byen, siger Thomas Lund-Sørensen.

Cyberangreb kan destruere virksomheder

Center for Cybersikkerhed, PwC og Center for War Studies fortæller samstemmende, at angrebene har ændret karakter. Hvor man før kunne nøjes med at geninstallere en computer, så risikerer virksomhederne i dag udslettelse.

- En virksomhed kan i dag i løbet af en halv til en hel time få alle computere ødelagt. Pludselig er der ingenting, der virker. Intet internet, ingen data, ingen mails eller kontakter, siger Mads Nørgaard Madsen fra PwC.

- Vi har eksempler på, at man må sætte et stykke papir på døren: ‘Beklager, vi er lukket.’ De kan ikke noget som helst, og det er et nyt trusselsbillede,

Hos CFCS nikker Thomas Lund-Sørensen til beskrivelsen.

Thomas Lund-Sørensen, chef for statens it-sikkerhedsmyndighed Center for Cybersikkerhed. (Foto: NIELS AHLMANN OLESEN © Scanpix)

- Vi kan se en stadig større konsekvens af cyberangrebene.

At blive hacket er i dagens Danmark en ‘rammebetingelse’ for at drive virksomhed. Det er ‘bagsiden af den digitale mønt, fastslår han.

- Det er en risiko, som virksomhederne bliver nødt til at tage alvorligt. I sidste ende handler det om deres evne til at drive forretning.

Industriens Fond har lavet et projekt, hvor virksomheder og ansatte kan teste cybersikkerheden. Prøv det her.