Ny rapport: Cybersikkerhed er underprioriteret i danske virksomheder
Danske virksomheder ser cybersikkerhed som vigtigt, men prioriterer området lavt, viser en ny rapport udarbejdet af forskere fra IT-Universitetet og Syddansk Universitet. En del af forklaringen er, at topledere har for lidt viden om cybertruslen, mener forskerne bag rapporten.
ForskningInstitut for Datalogicyberkriminalitetit-sikkerhedledelseOksana Kulyk
Skrevet 12. januar 2021 08:47 af Vibeke Arildsen
I en ny rapport afdækker forskere fra ITU og SDU danske virksomheders udfordringer i forhold til cybersikkerhed og privacy. Rapporten er baseret på en spørgeundersøgelse samt opfølgende interviews med ledere, udviklere, sikkerhedseksperter og andre medarbejdere i både større og mindre virksomheder.
Forskerne har blandt andet spurgt ind til sikkerhedspolitikker, uddannelse af medarbejderne i cybersikkerhed, daglige arbejdsgange, samt hvordan virksomhederne integrerer sikkerhed i deres produkter.
Det samlede billede er, at cybersikkerhed er et underprioriteret område i virksomhederne. For eksempel svarer 48 procent af de ansvarlige for it-sikkerhed eller databeskyttelse, at sikkerhedsprocedurerne ikke overholdes i alle situationer. De hyppigste årsager hertil er mangel på tid og ressourcer, ledelsens indflydelse, og at procedurerne griber ind i organisationens andre arbejdsgange.
Blandt små og mellemstore virksomheder svarer kun 26 procent, at virksomheden har et dedikeret budget for cybersikkerhed. Det samme gør sig gældende for 68 procent af de store virksomheder.
Ledelsen har for lidt indsigt
En af hovedudfordringerne er, at lederne har for lidt indsigt i cybersikkerhed, mener Oksana Kulyk, adjunkt på ITU:
På den ene side anerkender lederne, at cybersikkerhed er vigtigt, og de ønsker, at deres forretning er beskyttet. På den anden side har mange et forældet syn på cybertruslen og lægger ansvaret for sikkerhed over på it-specialisterne i virksomheden.
Oksana Kulyk, adjunkt på ITU
”På den ene side anerkender lederne, at cybersikkerhed er vigtigt, og de ønsker, at deres forretning er beskyttet. På den anden side har mange et forældet syn på cybertruslen og lægger ansvaret for sikkerhed over på it-specialisterne i virksomheden. Ledelsens manglende viden og bevidsthed fører til en underprioritering af området,” siger hun.
Ofte prioriterer ledelsen kerneforretningen over cybersikkerheden, men det kan koste virksomhederne dyrt, mener Asmita Dalela, forskningsassistent på ITU.
”Cyberangreb risikerer jo netop at skade kerneforretningen. Derfor er det vigtigt, at topledelsen uddannes i cybersikkerhed fra et forretningsmæssigt perspektiv, så de forstår de forretningsmæssige konsekvenser af cybertruslen og bliver rustet til at danne et realistisk billede af virksomhedens sårbarheder,” siger hun.
Tillidsbaseret kultur
Cybersikkerhed er en global udfordring, og sikkerhedsniveauet i de danske virksomheder adskiller sig ikke væsentligt fra andre lande, vurderer Jacopo Mauro, lektor på SDU. Der er dog kulturelt betingede udfordringer, som særligt gør sig gældende i Danmark.
Tillid er altafgørende, men hvis ledelsen antager, at medarbejderne har viden og kompetencer inden for sikkerhed, som de ikke har, er det problematisk.
Jacopo Mauro, lektor på SDU
”I Danmark har vi en kultur med en høj grad af tillid, og det er også reflekteret i undersøgelsen. Lederne stoler for eksempel på, at udviklerne har styr på it-sikkerheden og blander sig ikke i deres arbejde. Her under pandemien lader ledelsen medarbejderne tage deres laptops hjem og forventer, at de har styr på datasikkerheden. Tillid er altafgørende, men hvis ledelsen antager, at medarbejderne har viden og kompetencer inden for sikkerhed, som de ikke har, er det problematisk,” siger han.
Rapporten viser samtidig, at udviklerne ikke mener, at ledelsen prioriterer cybersikkerhed og ikke understøtter dem tilstrækkeligt på dette område. Desuden mangler udviklerne uddannelse i cybersikkerhed.
”Lederne, vi har talt med, giver udtryk for, at de gerne betaler for kurser i cybersikkerhed, hvis medarbejderne efterspørger det, men udviklerne er ikke nødvendigvis bevidste om, at de har behov for mere viden. Det er også et problem, at det er medarbejderens eget ansvar at give udtryk for behovet, særligt hvis de mærker, at cybersikkerhed ikke prioriteres fra ledelsens side,” siger Oksana Kulyk.
Nødvendigt med mere viden
Forskerne mener, at det er på høje tid, at virksomhederne opruster inden for cybersikkerhed.
Manglende sikkerhed i vores digitale produkter påvirker ikke bare tjenesterne i sig selv, men kan også føre til sikkerhedsbrister i andre systemer, som produkterne integreres i.
Asmita Dalela, forskningsassistent på ITU
”Vi befinder os i en digital tidsalder, hvor vi alle benytter teknologi hver dag. Hvis ikke der er styr på cybersikkerheden i de virksomheder, der producerer de digitale produkter og services, vi benytter, er det stærkt bekymrende. Manglende sikkerhed i vores digitale produkter påvirker ikke bare tjenesterne i sig selv, men kan også føre til sikkerhedsbrister i andre systemer, som produkterne integreres i,” siger Asmita Dalela.
Jacopo Mauro understreger, at forskerne ikke er ude på at pege fingre eller bebrejde virksomhederne.
”Cybersikkerhed er svært og ressourcekrævende. Formålet med rapporten er at forstå, hvad der går galt, hvorfor det går galt, og hvordan vi kan hjælpe virksomheder og medarbejdere med at opnå en bedre cybersikkerhed,” siger han.
”Vores resultater viser, at både de tekniske medarbejdere og forretningsspecialisterne har brug for mere viden om cybersikkerhed. Det koster både penge og tid, men det er en nødvendig omkostning.”
Oksana Kulyk, adjunkt, email okku@itu.dk
Jacopo Mauro, lektor på SDU, email mauro@imada.sdu.dk
Vibeke Arildsen, presserådgiver, telefon 2555 0447, email viar@itu.dk