Jeg kan ikke lade være med at sidde tilbage med en følelse af, at Danmarks cybersherif nummer ét, chefen for Center for Cybersikkerhed, Thomas Flarup, i sin seneste udmelding sparker en åben dør ind, når han med alvorsfuld mine advarer de danske virksomheder om, at nu må de partout tage sig sammen og forstå, at cybertruslen mod dem aldrig har været højere – og at de altså skal beskytte sig.

Med den nye og endnu engang forhøjede trusselsvurdering fra Forsvarets Efterretningstjenestes Center for Cybersikkerhed smider Thomas Flarup en bombe under alle danske virksomheder, men vender herefter vender ryggen til og efterlader dem uden hjælp. 

Og det er netop her, at jeg igen får min morgenkaffe galt i halsen og mærker blodtrykket stige. For jeg har flere gange påpeget den absolutte mangel på hjælp, som Danmarks erhvervsmæssige rygrad i den grad har brug for: De små og mellemstore virksomheder, der udgør mere end 90 procent af Danmarks virksomheder.

Lad os lige et øjeblik vende tilbage til, hvad Thomas Flarup siger i artiklen, nemlig at ”hackerangreb fylder historisk meget i trusselsbilledet, og de danske virksomheder bliver nødt til at forstå alvoren.” Han fortsætter med følgende vurdering: ”cyberangreb er blandt de allerstørste forretningsrisici, som danske virksomheder står overfor…, men mange virksomheder anerkender ikke nødvendigheden af at beskytte virksomheden mod cyberangreb” og endda at ”mange virksomheder undervurderer lige nu, hvor store konsekvenser et hackerangreb kan have for virksomheden.”

Ingen hjælp at hente fra myndighederne

Personligt er jeg ikke et øjeblik i tvivl om, at de danske virksomheder så udmærket forstår, at truslen mod dem er stor. Rambøll og Dansk ITs nylige rapport, IT i Praksis, har for eksempel kigget på de 1.000 største virksomheder i Danmark, og deres analyse viser, at ledelsen i de store virksomheder for alvor har taget cybertruslen til sig og aktivt arbejder på at nedbringe den. 

Men hvor efterlades de små og mellemstore virksomheder, som ikke har de samme økonomiske eller kompetencemæssige ressourcer som de store? Dem er der jo trods alt flest af i Danmark. 

Vi har i 2022 hørt flere grumme fortællinger om mindre virksomheder, som er blevet ramt af hackerangreb og med hatten i hånden har rendt fra Herodes til Pilatus i det offentlige Danmark for at finde hjælp. 

Tag bare den danske virksomhed Support IT, der med sit datacenter hostede flere af landets mæglerkæder (bl.a. Nybolig, Estate og RealMæglerne). De blev ramt af et hackerangreb, og derfor blev deres kunder også ramt. Support IT gjorde alt hvad de kunne for at genetablere driften så hurtigt som muligt og købte sig hjælp til det, men efterfølgende har Support ITs direktør Peter Hansen været ude at efterlyse viden og hjælp til danske virksomheder, der rammes. 

Mediet Computerworld tog sagen i egen hånd og efterprøvede, hvilken hjælp det egentlig var muligt at få fra de danske myndigheder. Det kom der en nedslående artikel ud af, hvor Politiet, Justitsministeriet, Forsvarsministeriet og Center for Cybersikkerhed hver især pegede på hinanden. Journalisten måtte opgivende konstatere ”at ingen danske virksomheder indtil nu har haft frugtbare oplevelser med de danske myndigheder, når de forsøger at anmelde en cyberhændelse.”

Behov for uvildig CERT

Kan det virkelig passe, at vi, i det gennemdigitaliserede Danmark, vi lever i i dag, ikke kan hjælpe vores små og mellemstore virksomheder værne sig mod en kriminalitetsbølge, der blot vokser for hver dag?

Jeg har efterhånden mange gange pointeret, at det ikke er hensigtsmæssigt, at vi lægger en CERT-funktion (koordinationscenter for efterforskning af it-kriminalitet) under Forsvarets Efterretningstjeneste, hvor netop Center for Cybersikkerhed ligger. I sagens natur kan de ikke være åbne omkring alt, hvad de ved, selvom de kan – og jeg citerer Thomas Flarup: ”måle, at der hvert minut bliver banket på døren hos virksomheder og myndigheder, hvor hackere leder efter sårbarheder og muligheder for at komme ind i systemet.”

Så de ser det – de måler det – men de gør intet for at hjælpe.

I stedet for - eller i tillæg til - Center for Cybersikkerhed under Forsvarets Efterretningstjeneste har vi brug for en uvildig CERT-enhed, som ikke er politisk motiveret og ikke er begrænset på samme måde.

Det er nemt at pege fingre mod erhvervslivet og sige ”nu må I altså se at beskytte jer”. Men de virksomheder, jeg taler med, uanset størrelse, ser med stor alvor på cybertruslen. De ved bare ikke, hvor de skal starte, og de har meget svært ved at gennemskue, hvad der er af reelle trusler mod lige præcis deres virksomhed.

Forskellige billeder

I it-sikkerhedsindustrien har vi naturligvis rigtig meget information, som vi glad og gerne deler. Vi gør alt, hvad vi kan for at gøre det hele så letforståeligt som muligt og deler rundhåndet ud af vores gode råd. Men den store udfordring for virksomhederne er, at de får forskellig information alt efter, hvem de hører fra, og det skaber forvirring. 

Det er ikke fordi vi fra it-sikkerhedsindustrien bevidst er ude på at forvirre nogen, men hver vores trusselsintelligens er i høj grad baseret på anonymiseret input fra vores egne netværk af brugere verden over. Netop derfor har vi hver især forskellige billeder af, hvad der rør sig lige nu og her. 

Og det er præcis dét, som vi skal bruge en uvildig CERT-enhed til. De kan nemlig samle alle disse informationer og give de danske virksomheder - og de offentlige institutioner for den sags skyld - ét samlet billede og konkrete råd til, hvad de kan gøre for at beskytte sig.