Store organisationer har brug for mere striks styring af deres processer, herunder it-beredskabet. Det betyder, at man i høj grad følger rammeværktøjer og standarder som ISO 22301 slavisk, hvilket ikke nødvendigvis giver værdi for SMV’er. Der er i bund og grund tale om sund fornuft, men opgaven er selvfølgelig tungere, jo større og mere kompleks en virksomhed man har.
Samtidig har store virksomheder ofte en højere grad af resiliens end små virksomheder grundet faktorer som større geografisk udbredelse, større eller bredere forhandlernetværk og kundegrupper og større organisation til at absorbere et midlertidigt tab.
For små virksomheder er risikofaktorerne mere koncentrerede, og en krise har derfor en forholdsmæssigt større konsekvens og udgør en trussel mod virksomhedens umiddelbare forretningsgrundlag. Dermed er et it-beredskab endnu mere afgørende for den lille virksomhed.
Den positive side af dette er, at et it-beredskab for den lille virksomhed er simplere at udvikle, og at planerne typisk også vil være mere operationelle og nemmere at følge under og efter et angreb.
SMV’ers rolle i samfundet
Små og mellemstore virksomheder udgør over 99 % af de cirka 320.000 virksomheder i Danmark og omkring halvdelen af landets arbejdspladser. Samtidig indgår de i forsyningskæder, hvor mange virksomheders cybersikkerhed har afsmittende effekt på andre virksomheder, såfremt disse rammes af et hackerangreb. Derfor er der fra offentlig side fokus på og støtte til at fremme cybersikkerheden i SMV-segmentet. Men for den enkelte virksomhed er det naturligvis de direkte konsekvenser for ejere og medarbejdere, der er i spil, hvis det værste skulle ske, og virksomheden ikke overlever et angreb.
Alle er et mål for hacking
Antallet af gange, vi i sikkerhedsindustrien har hørt postuleret, at ”vi har jo ikke noget, der er værd at stjæle, så hvorfor skulle vi blive hacket?”, skal der nok bruges et par ekstra hænder for at tælle.
Hvis vi kigger på hacking som en forretningsmodel, er der nogle paralleller, vi kan drage til ”almindelige” virksomheders markedsføring og salgsstrategi:
- Basale (men effektive) angreb er billige at udføre, mens det at lave et fokuseret angreb mod et specifikt offer er dyrere. Så der er masser af angreb, der kan ses som hackerudgaven af spammails og avisreklamer – er der bare et par gode ”kunder” i nettet, betyder det ikke noget, at størstedelen ikke kan eller ønsker at betale. Forskellen er så, at avisen ryger til genbrug, mens en hacket kunde stadig er hacket.
- At have adgang til en hacket maskine er en vare i sig selv. Adgangen kan sælges videre, eller computerkraften kan udlejes – det er sådan, de fleste botnet og angreb-as-a-service drives.
- Mere sofistikerede angreb kan anvende én virksomhed som trædesten til en anden virksomhed, der er det egentlige mål.
- Angreb mod én virksomhed kan utilsigtet ramme andre virksomheder, enten fordi malware spreder sig ukontrolleret, eller fordi man anvender samme infrastruktur eller leverandør.
Og kigger man på den aktuelle situation i Europa, må man også forholde sig til den angrebstype, der ikke er fokuseret på den enkelte virksomhed, men på samfundspåvirkningen, hvis mange virksomheder rammes samtidig.
Spørgsmålet er altså ikke, om man er et mål, så meget som hvor dygtig en angriber skal være for at komme gennem forsvarsværkerne.
Angreb vil forekomme – og de vil lykkes før eller siden
Når SMV’er per definition har mellem 1 og 249 ansatte, vil en god del af virksomhederne ikke have nogen stor it-afdeling – og den/de it-ansvarliges kerneopgaver er helt naturligt fokuseret på forretningsunderstøttelse snarere end sikkerhed. Af samme grund anvendes i udstrakt grad eksterne it-drift-leverandører, enten i form af klassisk it-drift eller cloud-løsninger.
Angreb kan være mere eller mindre avancerede, og det er vigtigt at begrænse angrebsfladen. Det er først og fremmest den basale cyberhygiejne, der skal være på plads: OS og applikationer skal holdes opdateret med sikkerhedspatches, der skal bruges multifaktorautentificering osv., og man skal overvåge, om der er atypisk aktivitet rettet mod it-systemerne.
Om det så udføres af virksomhedens egne medarbejdere, eller det er outsourcet til en leverandør, skal man stadig sikre, at det finder sted. Særligt det at stille sikkerhedskrav til leverandører – og følge op på dem – er noget, som rigtig mange virksomheder overser.
Men uanset hvor god hygiejne man har, vil et angreb før eller siden lykkes.
Vær beredt
Men hvad gør man så? Vi kan drage en parallel til indbyggerne i Californien, der har været hårdt plaget af skovbrande de senere år: Man har en ”ready bag” med sine personlige papirer, og hvad man ellers skal bruge for at kunne klare sig i en periode, hvis man er nødt til at forlade hjemmet i hast, man har en radio til at få nyheder, hvis mobil- og internet er nede, og man øver det hele igennem en gang imellem.
For en virksomhed, der er i risiko for noget, der lammer it-systemerne, er det tilsvarende:
- Man har sikret kopi(er) af vigtige data.
- Man har en plan for, hvordan man opretholder produktionen til en vis grad uden IT/OT.
- Man har en plan for, hvordan man får IT/OT tilbage i drift og lagt data ind igen.
Når man har investeret i at få lavet overblikket og planen, er det relativt billigt at vedligeholde. Det er primært backup, man løbende skal sikre, bliver taget. Resten skal egentlig kun opdateres, hvis der sker større ændringer i it eller forretning – og så skal man træne det, så man kan huske det, når uheldet er ude.
Pointen er, at man ikke alene skal have styr på sin egen cyberhygiejne og sikre, at ens leverandører gør det samme, man skal også have forberedt sig på at holde virksomheden i luften og få den tilbage på sporet hurtigst muligt, når de it-kriminelle lykkes med et angreb.
For virksomheder, der overvejer at opnå D-mærket, er både backup af vigtige data og en it-beredskabsplan i øvrigt blandt de kriterier, der skal opfyldes – ligesom sikkerhedsopdatering af software og styresystemer er det.
Netop nu kører tilskudsordningen SMV:Digital til rådgivning om digital sikkerhed og ansvarlig dataanvendelse, som er en oplagt mulighed for at få styrket virksomhedens sikkerhedsniveau.
Rune Fog Hansen har 24 års erfaring med design, implementering, outsourcing og auditering af it og cybersikkerhed i offentlige og private organisationer. Han har igennem karrieren arbejdet som it-beredskabsansvarlig i DSB og som konsulent hjulpet en række små og store organisationer med implementering, afprøvning og forbedring af deres beredskab til forretningsvidereførelse.