I 2017 blev A.P. Møller - Mærsk ramt af et hackerangreb. Virussen kom ind ad en bagdør i et stykke software og spredte sig hurtigt rundt i hele koncernen. Den satte computere og software ud af drift, selskabets containerhavne verden over stod stille, og kunderne kunne ikke få at vide, hvor deres fragt var.

Mærsk måtte lukke alle sine systemer ned. Angrebet varede i adskillige dage og kostede koncernen op mod to milliarder kroner.

I 2021 trængte cyberkriminelle ind i Vestas’ netværk og satte en væsentlig del af systemerne ud af funktion. De krævede løsepenge for at åbne dem igen og truede med at offentliggøre følsomme dokumenter.

Vestas afviste at betale og genskabte selv de data, som var blevet lukket ned. Hverken driften af vindmøllerne eller den daglige produktion blev påvirket, men hackerne offentliggjorde store mængder stjålne filer med blandt andet finansielle oplysninger og tekniske tegninger af vindmøller.

Både Mærsk og Vestas står forrest i risikozonen for at blive ramt af cyberangreb, fordi de begge beskæftiger sig med samfundskritisk virksomhed. Men det betyder ikke, at mindre produktionsvirksomheder kan sænke paraderne og stole på, at deres it-sikkerhed er i orden og bliver ved med at være det.

”Vores entydige erfaring, når vi for eksempel er ude og støtte med håndtering af en it-sikkerhedshændelse, er, at ikke ret mange myndigheder, virksomheder og organisationer i udgangspunktet har et niveau, som de er tilfredse med,” siger Mark Fiedel.

Han er chef for cyberanalyse i Center for Cybersikkerhed under Forsvarets Efterretningstjeneste og fortalte på CO-industris Topmøde for medarbejdervalgte bestyrelsesmedlemmer 2023 om cybersikkerhed og bestyrelsens rolle i at sikre, at virksomhedens it-sikkerhed er på det rigtige niveau.

BESTYRELSEN SKAL GÅ FORREST

Mark Fiedel peger på, at det er afgørende, at bestyrelsen også interesserer sig for it-sikkerhed.

Bestyrelsesforeningens Center for Cyberkompetencer har i samarbejde med blandt andre Center for Cybersikkerhed udarbejdet en vejledning og en række anbefalinger til, hvordan bestyrelser kan arbejde med at styrke virksomhedens cybersikkerhed.

Cybersikkerhed bør for eksempel være en fast bestanddel af bestyrelsens årshjul, så det bliver en naturlig del af bestyrelsens arbejde og fokus.

Samtidig skal en god adfærd omkring sikkerhedspolitik også masseres grundigt ind i organisationen. Det er ikke nok at give en orientering om politikken. Den skal være en indgroet del af medarbejdernes adfærd. Det kan ske gennem regelmæssig træning i relation til cybersikkerhed, og så skal bestyrelsen og den daglige ledelse gå forrest og understøtte en stærk og bevidst cybersikkerhedskultur.

LAV EN PIXIBOG

Desuden er det vigtigt at have en grundig beredskabsplan klar med tydelige instrukser om, hvad der skal ske, og hvem der ringer til hvem i tilfælde af et angreb. Der skal for eksempel stå, hvad virksomheden gør, hvis telefonsystemet er nede, og hvor de rigtige telefonnumre befinder sig.

Mark Fiedel anbefaler derfor, at man udarbejder en pixiberedskabsbog, som fysisk ligger et sted, hvor man nemt kan få fat i den.

Og så handler det om at tænke som modstanderne. Hvad vil de gøre, hvis de vil ind i virksomhedens netværk, og hvordan kan det forhindres?

”Det rigtige miks indbefatter både de tekniske hardcore ting, og det der i virkeligheden mere rimer på intern revision. Altså at være skarp på proces og procedurer, at træne skrivebordsøvelser samt løbende opdatere og justere ens planer,” siger han.

Det kan dog kun lade sig gøre, hvis topledelsen er klar til forandringer. 

”It- og sikkerhedsorganisationen kan være nok så motiveret, dedikeret og engageret, men hvis der ikke er vilje til at allokere de nødvendige ressourcer og interesse for at forstå, hvad it-sikkerhed handler om, så bliver det rigtig svært. Så bliver det enkeltpersoners heroiske indsatser, som kan gøre en forskel, og det er ikke en særlig solid måde at køre forretning på,” fastslår Mark Fiedel.

INDUSTRIEL SKALA

Og der er virkelig grund til at være på vagt. Cyberangreb kører nemlig på industriel skala, påpeger Mark Fiedel. Det er nemt for de kriminelle at sætte automatiske programmer op, som kører over internettet fra ende til anden og leder efter nyt udstyr med kendte sårbarheder. De kriminelle kigger blandt efter, om der er to-faktor godkendelse eller autentifikation på en mailserver. Er der ikke det, forsøger de at skaffe sig adgang ved at sprøjte forskellige kombinationer af brugernavne og passwords ind i systemet.

”Det er helt basale ting, som vi og alle mulige andre gode kræfter har gentaget i løbet af de seneste fem til ti år. Men der er stadig rigtig mange forhold, som ikke er på plads, for de kriminelle kommer stadig ind - også via simple metoder,” siger han.

Især truslen om cyberspionage er meget høj for en del virksomheder. Det kan være svært at opdage, om der er statsstøttede hackere inde på ens netværk for at spionere, men konsekvenserne af spionage, herunder industrispionage, kan være alvorlige. Det kan de, fordi der kan være arbejdspladser, kontrakter og patenter på spil, og hackerne er ikke mindst dyre at få smidt ud igen.