SMV’ernes it-sikkerhedsniveau er rystende lavt
4 ud af 10 af danske små og mellemstore virksomheder har et ‘lavt’ it-sikkerhedsniveau, og hver fjerde SMV tager hverken backup eller opdaterer regelmæssigt deres it-systemer. Det viser en helt ny analyse fra Erhvervsstyrelsen, hvor hver fjerde SMV også svarer, at de mangler helt basale it-sikkerhedstiltag for at beskytte deres forretning mod hackerangreb.
Truslen fra cyberkriminalitet vurderes af Forsvarets Efterretningstjeneste til at være MEGET HØJ, og i pressen kan vi læse om angreb på kendte danske virksomheder herunder bl.a. ISS (2020), Demant (2019) Maersk (2017), m.fl. Cyberkriminalitet rammer dog ikke kun store virksomheder, der er en hel underskov af angreb mod små og mellemstore virksomheder. En undersøgelse foretaget af Danske Bank i april 2019 viser at 27 % af danske SMV’er meddeler at have været udsat for et cyberangreb. Særligt hårdt ramt er de mellemstore virksomheder med mindst 50 ansatte, hvor hele 43 % angiver, at de har været ramt af et IT-angreb – men selv virksomheder med helt ned til to ansatte bidrager til den kedelige statistik.
Så sent som i juni 2020 blev den danske producent af moderigtigt regntøj, Rains, snydt for knap 7 millioner kr. ved at IT kriminelle hackede virksomhedens e-mail system og derved fik ændret betalingsoplysninger til Rains underleverandører.
Du kan finde Erhvervsstyrelsen nye rapport her: https://erhvervsstyrelsen.dk/sites/default/files/2020-09/Digital-sikkerhed-i-danske-SMVer.pdf
Bestyrelsens rolle – It-sikkerhed
Bestyrelsen har naturligvis en rolle at spille her, selvom det kan virke som en uoverskuelig opgave. Heldigvis stiller digitaliseringsstyrelsen og erhvervsstyrelsen sammen med en række samarbejdspartnere nogle gode værktøjer til rådighed på sikkerdigital portalen (https://sikkerdigital.dk/virksomhed). Her kan man hurtigt få udarbejdet en rapport om sikkerhedsniveauet for virksomheden, ved at den ansvarlige besvarer en række spørgsmål. Rapporten kan efterfølgende danne grundlag for en række forbedringstiltag, samt som rapportering til bestyrelsen.
På Center for Cybersikkerhed (https://fe-ddis.dk) kan man også finde en lang række værktøjer, herunder publikationen ”Cybersikkerhed for bestyrelser”, som vi anbefaler at ethvert ansvarligt bestyrelsesmedlem læser.
Center for Cyberkompetencer, (https://bestyrelsesforeningen.dk/cybersikkerheds-arrangementer/) organiseret under Bestyrelsesforeningen, afholder workshop i Cyberkompetencer for bestyrelser tirsdag den 10. november på Frederiksberg og Tirsdag den 24. november i Aalborg.
Endelig kan vi kun anbefale at IT-sikkerhed både med hensyn til drift, backup og cyber, m.v. kommer til at indgå som et fast element på risikoagendaen i årshjulet. Det er bestyrelsens ansvar at sikre at de fornødne procedurer for risikostyring og interne kontroller er på plads – også i relation til It-sikkerhed.
Følg BoardPartner på LinkedIn, eller meld dig ind i BoardPartners LinkedIn Forum for ’aktivt og værdiskabende bestyrelsesarbejde’ hvor medlemmerne løbende deler og debattere bestyrelsesrelevante emner.
Klaus Bach Thomsen er partner i BoardPartner og eksternt bestyrelsesmedlem i flere virksomheder.
Andreas Frøland er partner i BoardPartner og eksternt bestyrelsesmedlem i flere virksomheder.
