Risikoen for at blive angrebet af cyberkriminelle er i dag så stor, at det vurderes til at være en af de største sikkerhedstrusler mod Danmark overhovedet. I det billede går danske SMV’er bestemt ikke fri. I artiklen her kommer it-sikkerhedsekspert Henning Mortensen med sit bud på de tre største trusler i det aktuelle risikobillede.
Det er ødelæggende, dyrt, og i værste fald kan det koste en virksomhed livet.
Truslen fra cyberkriminalitet mod danske myndigheder og virksomheder er alvorlig. Faktisk så alvorlig, at Center for Cybersikkerhed vurderer den til det højest tænkelige trusselsniveau. Der har den ligget de sidste fem år, og den ser ikke ud til at blive mindre.
I PwC’s Cybercrime Survey 2021 – som er udarbejdet i samarbejde med myndigheder og en lang række organisationer – svarer mere end hver anden af 402 adspurgte virksomhedsledere, it-chefer og specialister fra danske virksomheder, at de er blevet udsat for mindst én sikkerhedshændelse det sidste år. Den seneste tid har man da også set flere eksempler på store danske virksomheder, der er blevet ramt.
Men risikoen for at blive udsat for digitalt bedrageri eller cyberindbrud er i høj grad også til stede for de små og mellemstore virksomheder, advarer it-sikkerhedsekspert Henning Mortensen, formand for Rådet for Digital Sikkerhed. Han vurderer, at der i det aktuelle trusselsbillede er tre typer af angreb, de danske SMV’er skal være særligt opmærksomme på.
Ransomware – digital kidnapning
Her er den absolut største trussel ransomware – altså en slags ondsindet software, som krypterer virksomhedens filer og låser adgangen til dem. IT-kriminelle bruger metoden til at afpresse virksomheder økonomisk.
- Det er ikke, fordi de kriminelle går målrettet efter en særlig type virksomhed med den slags angreb – faktisk skyder de med spredehagl – men mens de store er blevet bedre til at beskytte sig med tekniske foranstaltninger og opmærksomhedskampagner for medarbejderne, ser vi en tendens til, at stadig flere af de mindre virksomheder bider på, siger Henning Mortensen.
Det sker typisk ved hjælp af såkaldte phishing-mails, hvor forbryderne kan have held med at lokke medarbejdere i virksomheden til at klikke på et link eller åbne en vedhæftet fil ved at udgive sig for at være fra en myndighed, banken eller en anden, virksomheden har tillid til. Og så har vi balladen.
- Så bliver der installeret en form for skadelig kode, en slags bagdør, ind i virksomhedens netværk, hvor de kan holde data som gidsel, indtil offeret betaler. Når de først er inde, sætter de sig rigtig godt ind i tingene, siger Henning Mortensen.
De finder fx regnskaber og vurderer, hvor stor en løsesum, der er realistisk at kræve. De kan også finde på at gå videre til virksomhedens kunder for at få dem til at lægge pres på for at betale – det kan jo være, der er tale om data, kunderne heller ikke vil have ud – og måske går de sågar så langt, at de også decideret afpresser kunderne for penge.
- Det er enormt effektivt og kræver ikke det store for forbryderne selv. 90 pct af alle vellykkede cybersikkerhedsangreb begynder med en phishing-mail. Derfor er det så vigtigt at lære medarbejderne at være kritiske og opmærksomme på truslen, mens de tekniske forsvarsværker naturligvis skal være i stand til at fange meget af det, siger Henning Mortensen.
Sikkerhedsekspert Henning Mortensen ser en markant udvikling i forbrydernes metoder gennem tiden. Heldigvis står virksomhederne heller ikke stille.
Faktura-fup
En anden stor trussel mod danske SMV’er er svindel med fakturaer. Her sender forbryderne en falsk regning til virksomheden, som bliver narret til at betale.
- Det kan i øvrigt også begynde med et phishing-angreb, hvor de får adgang til systemerne og kan se, hvem virksomheden handler med normalt. Så kan de nemt forfalske en faktura fra en leverandør og bede om, at betalingerne overføres til et nyt kontonummer, siger Henning Mortensen.
Det kan også gå den anden vej, hvor de hacker en eksisterende kunde eller leverandør og så sender falske fakturaer til virksomheden.
- Virksomhederne har jo typisk sænket paraderne, når der kommer noget fra en tæt samarbejdsrelation. Det er svært at fange, fordi der er opbygget en tillid. Derfor kan det være en god idé at få bekræftet oplysningerne af en anden kanal (f.eks. telefonisk) hos sin leverandør, inden man betaler, siger Henning Mortensen.
Styr på compliance
Den tredje trussel er ikke på samme måde udefrakommende. Den handler nemlig om at have orden i eget penalhus.
- Der er rigtig mange ting, virksomhederne skal have styr på i dag. Databeskyttelseforordningen og fx NIS2-direktivet, som rammer SMV’er inden for særlige brancher, hvis de har med kritisk infrastruktur at gøre. Generelt er det jo sådan, at man ikke har lyst til at være kunde hos en virksomhed, som ikke har styr på sin sikkerhed. Fordelen er jo til gengæld, at de virksomheder, der har fokus på det og har sikkerhedsforanstaltninger, der lever op til reglerne, også står godt rustet imod de udefrakommende angreb, siger Henning Mortensen. Det kan give anledning til bøder, påbud og dårlig omtale, hvis penalhuset roder.
Ovenstående er blot et kort udsnit af det, virksomheder med digitale arbejdsgange og processer risikerer at blive ramt af. Der er fx også CEO-fraud, hvor virksomhederne modtager falske mails eller SMS’er, der ligner, de er sendt fra en direktør eller leder; overbelastningsangreb, der lægger systemerne helt ned; og decideret cyberspionage.
Henning Mortensen har arbejdet med cybersikkerhed i mere end 20 år og har været vidne til en betydelig udvikling i forbrydernes metoder.
- De bliver mere og mere kreative og effektive. På samme tid er der også sket en markant forøgelse af virksomhedernes opmærksomhed. De står bestemt ikke stille, og de udvikler sig også hele tiden. Men i takt med, at de bliver mere og mere digitale, jo mere udsatte bliver de også. Derfor er det så vigtigt med fokus på det her, siger Henning Mortensen.
Gode råd, hvis du vil undgå angreb
- Få såkaldt Air-gapped backup, som er en backup-kopi af dine data, der opbevares på en opbevaringsenhed uden adgang til internettet eller andre eksterne netværk. Det skal ikke være muligt at få adgang ved hjælp af medarbejdernes normale logins.
- Sørg for at holde alt opdateret, så I ikke har kendte sårbarheder.
- Få en sikkerhedspakke: Antivirus, lokal firewall, phishing-filter på mails, DNS-blokering.
- Sørg for at klæde medarbejderne på, så de kender til truslen og udviser forsigtighed.
- Lær at spotte mistænkelige mails.
- Test jer selv med gratistjenester og brug gratis offentligt tilgængelige vejledninger.
- Lad være med at være lokal administrator på din computer. Så har du adgang til alt, og det har potentielt skadelig software også.
- Kend jer selv: Få et overblik over alt udstyr, alle tjenester og alle brugere - også de eksterne.
- Før kontrol med leverandører - særligt databehandlere i cloudtjenester.
- Lav stærke adgangskoder, genbrug dem ikke, brug kodehusker. (tip: på HaveIBeenPwned.com kan du tjekke, om fx din e-mailkonto er blevet kompromitteret).
- Del ikke flere oplysninger end nødvendigt.
- Til større virksomheder: Skil jeres systemer ad, så ”guldet” ligger længst væk fra døren og er sværest at få fat i – såkaldt netværkssegmentering. Etablér logning, logopsamling og SIEM.
Se et webinar om it-sikkerhed
I webinaret uddyber Henning Mortensen de gode råd om bekæmpelse af de it-kriminelle. Du kan også møde Christian Møller Laursen, CFO Leman, som fortæller om, hvordan Leman blev udsat for et cyberangreb.
Læs flere artikler og analyser, som hjælper erhvervsledere til at træffe bedre beslutninger
