Cybersikkerhed

CYBERSIKKERHED

”

Digitaliseringsminister

UDNYT HJEMMEBANEFORDELENE OG VIND OVER HACKERNE

Johnni Meldgård Rude, Security Director, IT Relation

Læs mere side 2

IT-SIKKERHED MÅ IKKE BLIVE EN PAPIRØVELSE

Martin Kofoed, Administrerende Direktør Improsec

Thomas Wong, Director for Technical Cyber Risk Advisory Improsec

Læs mere side 3

NYT TRUSSELSBILLEDE KRÆVER DE RETTE INVESTERINGER I CYBERSIKKERHED

Torben Clemmensen, Head of Nordic Presales, TEHTRIS

Læs mere side 6

Uden en ambitiøs cyberpolitik bliver vores største styrke vores akilleshæl”

UDNYT HJEMMEBANEFORDELENE OG VIND OVER HACKERNE

Hackerne angriber altid det svageste punkt hos en virksomhed. Men virksomhederne har hjemmebanefordelen. Det er helt gratis at udnytte, derfor skal virksomhederne se indad, før de begynder at investere i it-sikkerhed og sikkerhedsløsninger, der alligevel ikke dækker behovet.

Virksomhederne udvikler sig hele tidenog det gør de it-systemer, der støtter dem også. De konstante forandringer kan gøre virksomhederne sårbare overfor cyberkriminelle, for ændringer åbner huller og eksponerer nye sårbarheder. Når kravene til kerneforretningen flytter sig, skal it-leverancerne og sikkerheden følge med. Og det forudsætter, at virksomhederne kender sig selv.

”Hackerne vil altid gå efter det svageste led i virksomhedernes sikkerhed. Men de angriber din hjemmebane, og hvis du har gjort dit hjemmearbejde, så ved du også, hvor du er sårbar.

Og den vidensfordel skal du sørge for at udnytte,” siger Johnni Meldgård Rude, Security Director, IT Relation, der hjælper virksomhederne med it-løsninger, som matcher behovene.

Johnni Meldgård Rude uddyber:

”Vi ser desværre, at rigtig mange virksomheder ikke tager stilling til it-sikkerhed, men i stedet prøver lidt i blinde at købe sig til en nem løsning. Men der er ikke én løsning eller service, der klarer alle sikkerhedsproblemerne. Alt arbejde med sikkerhed begynder med at vide, hvor det gør mest ondt på forretningen at miste kontrollen. Så kommer beskyttelsen lige bagefter.”

Få orden i penalhuset

Virksomheden kender sit eget systemlandskab bedre end hackerne. Men hvis systemerne ikke er risikovurderede og beskyttet derefter, så udnytter de ikke fordelen. Og virksomhederne forpasser chancen for at investere klogt i beskyttelse. ”For rigtig mange virksomheder gælder det, at den største sikkerhedsopgradering, de kan lave, er at få orden på det digitale penalhus. Sæt drift og opdateringer af virksomhedens platforme i system og få dem proces-understøttet, så det ikke er overladt til tilfældigheder, der kan føre til, at hullerne opstår. Så du skal risikovurdere systemerne i forhold til forretningen, og så kan du begynde at kigge på it-sikkerhedstiltag, som er effektive og relevante,” siger Johnni Meldgård Rude.

EU-direktiver som GDPR og NIS2 er også med til at højne virksomhedernes fokus på at leve op til sikkerhedskrav, og det samme er stigende krav fra partnere og kunder. Fælles for hele indsatsen er, at den skal sættes i system, genbesøges og understøttes af et kontinuerligt arbejde.

Bliv bevidst om modenheden

Rejsen mod bedre sikkerhed begynder ifølge IT Relation

med en kombination af mennesker, teknologi og processer. Og nogle af de mest værdifulde sikkerhedstiltag er gratis øvelser - udover den tid de interne medarbejdere skal bruge. ”Ledelsen skal have overblik. Det er helt afgørende. Og så handler det om at se på og at få dokumenteret, hvilke systemer og aktiver, der er kritiske for, at man kan drive forretningen. Man skal se på, om systemer indeholder persondata, og om de måske er eksponeret imod internettet. Og den rette beskyttelse og risikovurdering kræver, at man har den rette indsigt i virksomheden og ved, hvor sårbarhederne er. Virksomhederne kender sig selv bedst, og derfor skal de selv involvere sig og udnytte hjemmebanefordelen,” forklarer Johnni Meldgård Rude. Indsigten kan være med til at understøtte sikkerhedstiltag som 2-faktor-validering, hvis systemet er eksponeret imod internettet, og hvis det er et forretningskritisk system, skal det være en del af beredskabsplanen.

Stærk sikkerhed kræver stærke rutiner

Et andet vigtigt princip, som ofte bliver negligeret af virksomheder, er de rutinemæssige opgaver.

”Sikkerhed er ikke noget, der bare kan ligge i it-afdelingen og passe sig selv. Som alt andet sander sikkerhed til. Det er vigtigt, at sikkerheden bliver gennemgået jævnligt med fokus på allerede eksisterende services og systemer, så virksomhedens sikkerhed ikke bliver kompromitteret baseret på manglende vedligehold,” forklarer Johnni Meldgård Rude.

Cybersikkerhedstrusler og -angreb udvikler sig konstant, så det er helt centralt regelmæssigt at vurdere og opdatere sikkerhedsforanstaltningerne for at være på forkant med potentielle risici. Udnyt hjemmebanefordelene og begynd rejsen mod en styrket it-sikkerhed på www.itrelation.dk.

Her kan I tage pulsen på jeres virksomheds it-sikkerhed og få råd til jeres sikkerhedsrejse.

Vi ser desværre, at rigtig mange virksomheder ikke tager stilling til itsikkerheden, men i stedet prøver lidt i blinde at købe sig til en nem løsning. Men sådan en løsning findes ikke.

Johnni Meldgård Rude, Security Director, IT Relation

I mere end 20 år har IT Relations 750 specialister hjulpet virksomheder og organisationer med at understøtte forretningsmål med it-løsninger.

Læs mere på www.itrelation.dk

IT-SIKKERHED MÅ IKKE BLIVE EN PAPIRØVELSE

It-sikkerhed skal styrke forretningen og må ikke blot blive en papirøvelse, der kun sikrer, at direktiver som GDPR og NIS2 bliver overholdt.

Hvis it-sikkerhed skal gøre en forskel for virksomhederne, er det helt centralt, at det strategiske og operationelle niveau hænger sammen, at it-sikkerhed bliver anskuet holistisk, og at der er klare kommunikationslinjer mellem topledelsen og maskinrummet.

Danske virksomheder og organisationer er i skudlinjen, når det kommer til cyberangreb. Tal fra PwC Cybercrime Survey 2022 viser, at mere end seks ud af ti erhvervsledere og it-fagfolk er mere bekymrede for angreb i dag end for blot et år siden. En af hovedårsagerne til bekymringerne er Danmarks engagement i krigen i Ukraine, der blandt andet har udløst en stribe af DDoS-angreb, de såkaldte belastningsangreb, hvor hjemmesider eller mobiladgang til banken går ned, fordi it-kriminelle bevidst overbelaster siden.

I kølvandet på de mange angreb og for at beskytte data har EU lanceret direktiver som GDPR, og i 2024 venter NIS2, der kommer med skærpede krav til virksomhedernes it-sikkerhed.

”Cybersikkerheden er truet, og det er naturligvis vigtigt, at virksomhederne lever op til direktiverne. Når det er sagt, vil vi gerne understrege vigtigheden af, at virksomhederne beskæftiger

FAKTA

Vi er Improsec. Vores firmanavn er en sammentrækning af det, vi gør; vi forbedrer sikkerheden. Som en uvildig og uafhængig rådgiver indenfor Cybersikkerhed tager vi aktivt ansvar for at forbedre sikkerheden hos både private virksomheder, organisationer og offentlige institutioner.

Vi sælger ikke hardware, software eller managed services. Vi leverer viden, erfaring samt strategisk og dyb teknisk ekspertise på specialistniveau. Vigtigst af alt, arbejder vi for en mere SIKKER og BEDRE fremtid sammen med vores kunder.

Læs mere på www.improsec.com

sig med it-sikkerheden, fordi de ønsker at sikre produktionen og beskytte data. It-sikkerhed er vigtig, fordi der er en trussel mod virksomheden, og ikke fordi der kommer et direktiv,” siger Thomas Wong, Director for Technical Cyber Risk Advisory hos Improsec og uddyber: ”Jeg har fx heller ikke en airbag i min bil, fordi loven dikterer det, men fordi airbaggen kan redde mig i et uheld. På samme måde skal en virksomhed, der eksempelvis producerer stål, have it-sikkerheden på plads for at sikre, at produktionen ikke bliver truet eller går i stå”.

Virksomhederne skal se indad Sikkerhed er blevet mere kompleks i dag. Der er mange aspekter af sikkerhed, som en virksomhed skal tage højde for. Dette kan være en udfordring for virksomheder, der ikke har tilstrækkelige ressourcer eller ekspertise til at forstå og forholde sig til disse trusler og risici.

Hos Improsec, der er specialister i at udføre operationelle it-sikkerhedstests og sikkerhedsrådgivning, ser de en risiko ved, at it-sikkerheden hos virksomhederne bliver en papiropgave, der reelt ikke styrker virksomhederne.

”Med GDPR er it-sikkerhed for alvor rykket ind på ledelsesgangene, og det er fint. Desværre ser vi en tendens til, at kommunikationen mellem topledelsen og maskinrummet ikke fungerer optimalt,” siger Thomas Wong: ”Compliance og kontrol er godt, men tekniske test og afprøvning er et vilkår og en nødvendighed for effektiv håndtering af risiko. Det kræver, at ledelsen forstår det tekniske bag sikkerheden, og CISO’erne forstår strategien fra ledelsen.”

Forstå teknikken bag sikkerheden

Ifølge Improsec kræver det, at virksomhederne sætter sig ind i teknikken i maskinrummet og styrker kommunikationen, så der ikke opstår et vakuum, hvor ledelsen nikker til en stribe af tekniske rapporter med grønne flueben fra maskinrummet, uden teknikken er kendt.

”Hvis virksomhederne faktisk havde et indblik i det operationelle - altså teknikken, ville de forskellige EU-direktiver slet ikke slå så hårdt, fordi indsigten vil understøtte, at der er styr på sikkerheden,” forklarer Thomas Wong. Hos Improsec har de netop specialiseret sig i at hjælpe virksom-

hederne med at forstå teknikken bag samt at bidrage med overvågningen, så de sikkerhedsansvarlige får de rigtige redskaber, så de kan kommunikere klart til ledelsen.

”Virksomhederne er nødt til at anlægge en holistisk tilgang til it-sikkerheden, fordi de it-kriminelle altid vil lede efter en åben dør, indtil de finder en. Det nytter ikke noget, hvis tilgangen til it-sikkerheden bliver for løs og sporadisk, for så finder de it-kriminelle hurtigt den dør, de kan komme ind gennem,” forklarer Improsecs Administrerende Direktør, Martin Kofoed. Et eksempel kan være, at virksomheder benytter sig af multifaktor-godkendelser, når medarbejderne logger ind på et system. Men har virksomheden samme sikre tilgang, når et nyt system eller en applikation gøres tilgængelig for kunderne? Hvis der ikke er en sammenhæng, bliver it-sikkerheden skrøbelig, fordi kæden aldrig er stærkere end det svageste led.

De nye angreb er gamle kendinge

”Typen af angreb, vi ser for tiden, er ikke nye. Men med Rasmus Paludans koranafbrændinger og Danmarks engagement i krigen i Ukraine oplever vi nu, at angrebene ikke længere kun er møntet på at få politisk opmærksomhed, men på at ødelægge den teknologiske infrastruktur,” siger Martin Kofoed og uddyber: ”Pointen er, at havde virksomhederne kendt teknologien og allerede beskyttet sig mod DDoS-angreb, da vi så dem de første gange for år tilbage, havde vi ikke problemerne med dem nu. Den gang var de ikke top of mind, men det burde have været håndteret for længe siden.”

Trusselskatalog kunne hjælpe virksomhederne Hos Improsec efterlyser de mere åbenhed virksomhederne imellem. Og så efterlyser it-sikkerhedseksperterne, at myndighederne fx udarbejder et trusselskatalog, så virksomhederne kan se, hvilke konkrete sikkerhedstrusler de skal forholde sig til. Det vil være mere motiverende og konstruktivt end at true med EU-direktiver som GDPR og NIS2, der kan udløse høje bødestraffe, retten til at drive virksomhed osv.

Et rammeværk, der faktisk beskriver truslerne, vil gøre det lettere for virksomhederne at skabe en holistisk tilgang til it-sikkerhed med klar kommunikation mellem det strategiske og operationelle plan i virksomheden.

UDEN EN AMBITIØS CYBERPOLITIK BLIVER VORES STØRSTE STYRKE VORES AKILLESHÆL

Danmark har et af de mest digitaliserede erhvervsliv i Europa. Det er til gavn for os alle. Digitaliserede virksomheder er nemlig de mest produktive og konkurrencedygtige. Men den styrke vil blive vendt imod os, hvis vi ikke i samarbejde mellem det offentlige og private gør endnu mere for at beskytte de danske virksomheder.

Af digitaliseringsminister Marie Bjerre (V)

Som digitaliseringsminister holder jeg et skarpt øje med alt det, der truer vores digitale systemer. Og trusler er der desværre rigeligt af. Der er både fjendtlige og kriminelle kræfter, som hver dag forsøger at udnytte vores svagheder. Især de cyberkriminelle truer de danske virksomheder. Når vi holder det op imod sikkerhedsniveauet i de danske SMV’er, hvor 44 pct. har et for lavt sikkerhedsniveau i forhold til deres risikoprofil, er det potentielt en meget alvorlig situation.

Det kan virke lidt abstrakt. Men det bliver meget hurtigt helt konkret for den lille virksomhed, der mister adgangen til sine kunde- og leverandørinformationer, eller hvor et cyberangreb sætter produktionen i stå. I det tilfælde står man med ansatte, der ikke kan arbejde, kunder der ikke får deres produkter eller et lager, man ikke længere har overblik over. Når den lille virksomhedsejer vågner op til den hverdag, er det ikke længere abstrakt, og i værste fald kan et cyberangreb gøre, at virksomheder må dreje nøglen om. De færreste virksomheder kan klare sig uden adgang til deres digitale systemer, fordi de har brugt selvsamme systemer til at blive bedre virksomheder. Det er derfor vigtigt for mig, at vi gør endnu mere for at hjælpe med at styrke sikkerheden i de danske SMV’er. Og som ny digitaliseringsminister ser jeg det som en af mine vigtigste opgaver.

En ambitiøs cyberpolitik

Der findes ikke én enkelt løsning på cybertruslen. Men jeg mener, at vi bl.a. skal fokusere mere på at styrke kompetencernebåde blandt medarbejdere og specialister. Derudover skal vi øge bevidstheden om cybertruslen, samtidig med at vi tydeliggør fordelene ved at have styr på sin sikkerhed - eksempelvis ved at D-mærket bliver udbredt. Vi skal samarbejde endnu mere på tværs af det offentlige og private. Og vi skal vejlede endnu bedre og understøtte, at virksomhederne har den viden og de redskaber, de skal bruge for at forbedre sikkerheden. Her har vi allerede udmøntet tæt på 50 mio. kr. gennem SMV:Digital, som er gået direkte til at forbedre den digitale sikkerhed i SMV’er. Som del af en styrket vejledningsindsats åbnede vi 1. marts en ny cyberhotline, som hjælper borgere og virksomheder med at få styr på den digitale sikkerhed. Når man ringer til denne cyberhotline, kan virksomheder f.eks. få vejledning i, hvordan de ruster sig mod digitale trusler som for eksempel ransomware, faktura-bedrag og phishing. Og så kan de få hjælp og vejledning, hvis de står i den svære situation at være udsat for et cyberangreb. Cyberhotlinen skal ses i forlængelse af vores i forvejen omfattende vejledningsindsats på sikkerdigital.dk. Og jeg ser hotlinen som et godt redskab til at hjælpe endnu flere virksomheder og borgere med deres digitale sikkerhed.

Vi kommer også til at regulere de mest kritiske dele af vores digitale systemer. Vi er ved at forhandle Cyber Resilience Act på plads sammen med de øvrige medlemslande i EU, ligesom

Ansvarshavende redaktør Henning Andersen, henning@partnermedier.dk

Projektleder Emma Nordahl Jepsen, emma@partnermedier.dk

Journalister Pia Bundgaard Hansen, Henrik Malmgreen

Art Director Heidi Carlsen, heidi@partnermedier.dk

Grafisk produktion Majbritt Høger, majbritt@partnermedier.dk

Forsidefoto Fotograf Anni Norddahl, ophavsret Digitaliserings- og Ligestillingsministeriet

Udgiver

NIS2-direktivet snart skal implementeres i dansk lov. De nye regler vil gøre Danmark og danske virksomheder mere sikre. Opgaven vil være forskellig på tværs af virksomhederne og sværere for nogle virksomheder end andre, da vi har meget stor variation i vores erhvervsliv. Både når vi implementerer reglerne, og når vi vejleder virksomhederne, er det derfor vigtigt, at vi har blik for virksomhedernes forskelligheder. En god implementering og en god vejledning af reglerne, vil kunne begrænse byrderne og samtidig øge sikkerheden i dansk erhvervsliv.

Sammen om løsningerne Som nævnt anser jeg understøttelse af styrket cybersikkerhed i dansk erhvervsliv som en af mine vigtigste opgaver. Den opgave skal løses i tæt samarbejde med erhvervslivet, der har hovedrollen her. Vi har brug for at samarbejde med vores partnere i det private - for det er ude blandt virksomhederne, at dagligdagens cyberforsvar skal stå sin prøve. Af den grund har vi en fælles Cybersikkerhedspagt, hvor både mit ministerium, Center for Cybersikkerhed og lang række private organisationer har forpligtet sig på en række fælles målsætninger. Herunder at skabe nye samarbejder på tværs.

Det er den slags samarbejde, som er nødvendigt, hvis vi skal løse de enorme udfordringer, vi står overfor på cybersikkerhedsområdet. Det er ikke udfordringer, nogen af os kan løse alene. Og hvis ikke vi formår at løse dem, bliver vores digitale styrke til vores svaghed.

K ære Læser

Indholdet i denne udgivelse er bl.a. blevet til i samarbejde med vores mange sponsorer og annoncører. Vores tekstforfattere og journalister har gjort sig umage med at finde og skrive indhold til dig, som vi håber vil give dig god information o g inspiration. God læselyst!

Hold dig opdateret, følg din branche på www.businessreview.dk

for evt. trykfejl og farveafvigelser.

EU HAR VEDTAGET ET FÆLLES SPROG FOR IT- OG INFORMATIONSSIKKERHED

Med det nye NIS2 direktiv fra EU løftes it-sikkerhed op på et helt nyt niveau. Det kommer til at stille en række nye krav til virksomhederne, der skal være klar til at kunne efterleve dem om blot halvandet år.

Iløbet af efteråret 2024 træder det nye NIS2-direktiv i kraft. Et direktiv, der skal være med til at sætte et nyt og højere niveau for fælles datasikkerhed på tværs af EU. Det nye direktiv regulerer virksomheder og myndigheder på cyber- samt informationssikkerhedsområdet og kommer til at omfatte en række sektorer, der ikke tidligere har været omfattet af regulering. Blandt andre sektorer inden for fødevarer, spildevand og affald samt udvalgte sektorer i fremstillingsindustrien.

”Selv om der er halvandet år til, er det imidlertid ikke for tidligt at komme i gang. At blive compliant med det nye direktiv bliver man nemlig ikke sådan lige fra den ene dag til den anden”. Det siger Senior Security Advisor Mette Nikander fra it-sikkerhedsselskabet Nixu, og Market Unit Lead Henrik Engqvist er helt enig i den betragtning. Han er glad for det nye direktiv, og selv om der sikkert er nogle virksomheder, der synes det vil gøre dagligdagen mere besværlig, ser han modsat på det som en mulighed for at sikre virksomhedernes forretning.

Positivt afkast

”Min opfordring til virksomhederne er at se NIS2 direktivet, der kommer til at omfatte langt flere typer af virksomheder end det nuværende NIS1 direktiv, som en forretnings enabler. Ideen med direktivet er nemlig, at det skal øge sikkerheden på tværs af virksomhedernes værdi- og leverandørkæde. Man kan som leverandør risikere at blive bortdømt, hvis ens kunde forventer,

man er NIS2 compliant, men man ikke er det”, siger Henrik Engqvist. Både han og Mette Nikander gør opmærksom på, at det givet er noget, man ikke altid er opmærksom på ned gennem leverandørkæden.

Det bliver imidlertid en nødvendighed, fordi der med NIS2 virkelig sættes fokus på it-sikkerhed fra EU’s side. Ud over risikoen for at kunne blive bortdømt som leverandør, er der nemlig også en risiko for økonomiske sanktioner, hvis man som virksomhed ikke lever op til direktivet.

Hele organisationen skal med ”Man taler ikke så meget om det, men der er givet virksomheder, der tager manglende it-sikkerhed som en kalkuleret risiko i håbet om ikke at opleve sikkerhedsbrister, men det er altså slut nu. Enten er man compliant, eller også er man ikke”, siger Mette Nikander videre. Både hun og Henrik Engqvist føjer til, at NIS2 ikke blot handler om it-sikkerhed set ud fra et teknologisk synspunkt, men også fra et organisatorisk synspunkt.

”Alle skal kende deres rolle i virksomheden og forstå, hvor vigtigt det er, at it-sikkerhed også handler om medarbejdermæssig adfærd og parathed. Det at agere klogt og velovervejet skal være en del af virksomhedens DNA.

Det er lige så vigtigt for os at rådgive vores kunder om, når vi leverer løsninger til dem”, ud-

dyber Henrik Engqvist. Han siger videre, at man hos Nixu oplever, at virksomhederne allerede har hørt om NIS2 og derfor kan mærke øget interesse for deres sikkerhed.

En investering i tryghed

”Danmark er et af de mest digitaliserede samfund i verden. Derfor står vi også forrest på øretævernes holdeplads, når det gælder risikoen for sikkerhedsbrister.

Uanset om det er personfølsomme data, kundedata eller andre former for forretningskritiske data, kan et angreb blive katastrofalt og i sidste ende måske koste virksomhedens eksistens”, forklarer Henrik Engqvist og understreger vigtigheden af at blive NIS2 compliant hurtigst muligt.

Mette Nikander føjer til, at det handler om ikke at se det nye EU-direktiv som et benspænd, men snarere som et konkurrenceparameter. Det gælder for virksomheden om at se opgradering af sikkerheden som en investering mod kompromittering, tab eller tyveri af data. Samtidig skal virksomheden være klar over, at der ikke er tale om en engangsforeteelse.

Det at have styr på sikkerheden er en løbende proces, der i princippet aldrig slutter.

Hvad er NIS2 NIS2-direktivet er en modernisering af NIS-direktivet (Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen. NIS2 omfatter organisationer i sektorer, der håndterer vigtig og/eller samfundskritik infrastruktur, herunder blandt andet inden for energi, transport, sundhed, drikkevand, spildevand, fødevareforsyning, affaldshåndtering og offentlig administration, men kan også være relevant for underleverandører til disse.

(Kilde: Kammeradvokaten)

FAKTA

5 gode råd til it-sikkerhed fra Nixu Mange teknologiproducenter råder virksomhederne til at have en ”zero trust” politik, når det gælder it-sikkerhed. Det støtter godt op om de nye krav til it-sikkerhed i NIS2, og 5 gode råd fra Nixu til. Forbedret it-sikkerhed er:

• Kend til hvad der skal beskyttes.

• Forstå de sikkerhedskontroller, der allerede er etableret.

• Inkorporer nye værktøjer og moderne arkitektur.

• Vedtag og følg detaljerede policies.

• Monitorér og alarmér.

Se mere her: www.nixu.com/dk

NYT TRUSSELSBILLEDE KRÆVER DE RETTE INVESTERINGER I CYBERSIKKERHED

Krigen i Ukraine har skabt et fornyet trusselsbillede i Vesten, hvilket har øget cyberkriminaliteten mod danske virksomheder markant.

Mange virksomheder er ikke forberedte, men det behøver ikke være ressourcekrævende, at vælge løsninger der beskytter virksomheden og samtidig lever op til europæiske lovkrav som GDPR og den kommende NIS2.

Tal fra PwC’s Cybercrime Survey 2022 viser, at mere end seks ud af ti erhvervsledere og it-fagfolk er mere bekymrede for cyberangreb i dag end for blot et år siden. Hos TEHTRIS, som er en fransk it-sikkerheds- og softwarevirksomhed, der er specialiserede i at hjælpe virksomhederne med at undgå cyberspionage og -sabotage, genkender de udfordringerne.

”Vi har set en tydelig vækst i den politisk motiverede it-kriminalitet, som er en stigende trussel. It-kriminaliteten handler nu ikke længere om at lave et opråb, men om at ødelægge vital infrastruktur og få et udbytte, hvilket er en farlig cocktail for virksomhederne,” fortæller Torben Clemmensen, Head of Nordic Presales, TEHTRIS fra det netop nyåbnede kontor i Danmark, der skal hjælpe virksomheder i hele Norden med it-sikkerheden.

Danmarks synlige rolle og engagement i politiske brændpunkter i verden, som eksempelvis krigen i Ukraine tiltrækker uønsket it-kriminalitet. Angreb mod lufthavne, butikker og banker er blevet hverdag. Tal fra TEHTRIS viser, at på blot 11 dage i de første måneder af 2023, har der været 46 politisk motiverede hackerangreb mod Danmark og Sverige, hvoraf 80% ramte Danmark.

Den dårlige nyhed for de danske virksomheder og organisationer er, at it-kriminaliteten bliver mere kompleks, samt der kommer flere regelsæt fra EU, som skal overholdes. Den gode nyhed er, at det faktisk er muligt at beskytte sig mod de ubudne gæster og være på forkant med lovgivningen.

Vælg en europæisk partner

De danske virksomheder kender efterhånden GDPR lovgivningen, som EU præsenterede for få år siden. I somme-

FAKTA

TEHTRIS har i mere end 12 år stået bag TEHTRIS XDR Platform, der beskytter virksomheder og organisationer - realtime – mod hackerangreb. Platformen er 100% udviklet og hostet i Europa. Lige fra EDR til SOAR tilbyder

TEHTRIS et komplet arsenal af cybersikkerhedsløsninger, der er ISO 27001 certificeret og lever op til europæiske standarder som GDPR og den kommende NIS2.

Læs mere på www.tehtris.com/en/

ren 2024 kommer NIS2-direktivet, som omfatter langt flere brancher end NIS. I NIS2 skærpes ledelsens ansvar for at få forankret en grundig forståelse af informationssikkerhed og sikkerhedsrisici ned igennem alle virksomhedens lag.

”De regelsæt, som de danske virksomheder skal overholde, udspringer af europæisk lovgivning. Derfor giver det god mening, at virksomhederne samarbejder med it-sikkerhedsudbydere, der netop tager udgangspunkt i det europæiske regelsæt og tilmed sikrer, at data bliver indenfor Europas grænser,” siger Torben Clemmensen og uddyber:

”Vi er en europæisk udbyder, der leverer løsninger, som lever op til alle de gældende EU-regler. Vores løsninger er allerede klar til NIS2, som træder i kraft i 2024. Kendskabet til de europæiske regler sikrer, at vores kunder aldrig kommer på bagkant, men er klar, når ny lovgivning rulles ud. Desuden ved vores kunder, at deres data altid er indenfor Europas grænser, hvor lovgivningen beskytter dem.”

Tag det sikre valg

Hos TEHTRIS vil de gerne slå et slag for, at it-sikkerhed ikke behøver at være en uoverskuelig opgave, som kræver et hav af ressourcer. TEHTRIS XDR Platform sikrer derfor virksomhederne et 360 graders overblik over hele sikkerhedsinfra-

strukturen. Platformen benyttes i dag af store, internationale virksomheder og offentlige organisationer og tilpasses til den enkelte virksomheds behov og udfordringer. Med 24/7-support, ISO27001-certificering og med et ”cybersecurity Made in Europe”-mærkat, beskytter løsningen danske og nordiske virksomheder mod 0-day sårbarheder og cyberspionage og særlig virksomhedens brug af ”honeypots” – software til at opsnappe it-kriminelles adfærd – til at kunne forudse hackernes metoder. Den type cybersikkerhedstrusselsinformation (CTI) er afgørende for sikkerheden i en moderne virksomhed.

TEHTRIS forstår også, hvor strategisk cybersikkerhedsvalget er for it-ledere eller administrerende direktører. Vedtagelse af en XDR-platform, der ikke krævede at gå all-in på en enkelt leverandør; men en, der faktisk udvider deres detektions- og responskapacitet ved at forbedre de værktøjer, de allerede har, og beskytter de investeringer, de allerede har foretaget; Dette er nøglen, som vi kan give dem.

”Virksomhederne er nødt til aktivt at tage stilling til it-sikkerhed og væbne sig bedre, fordi hackerne hele tiden repræsenterer en ny form for terrorisme. Det handler om at have en klar strategi på området og sikre, at dørene kun kan åbnes indefra,” fortæller Torben Clemmensen.

Vi er en europæisk udbyder, der leverer løsninger, som lever op til alle de gældende EU-regler. Vores løsninger er allerede klar til NIS2, som træder i kraft i 2024.

Leder du efter 6 ugers jobrettet uddannelse?

Kontakt os i dag!

Undervisning 5 dage om

ugen

Microsoft 365 & Windows Server 2019 inkl. Cloud & IT-sikkerhed

GDPR – ISO 27001 inkl. Persondataforordningen

Løn & Personalejura inkl. HR, Lønsystemer & MS Office

Python ProgrammeringFra Grundlæggende til Avanceret

Mange flere kurser kan findes på vores hjemmeside www.itucation.dk

7027 2784 kurser@itucation.dk

Find os på Svanevej 22, 2400 Kbh NV

4,9 stjerner på Trustpilot

KRAV TIL LEDELSEN VED ETABLERING AF EN WHISTLEBLOWERORDNING

Med whistleblowerloven er det lovpligtigt at etablere en whistleblowerordning på alle private arbejdspladser med mindst 50 ansatte senest den 17. december 2023. Men er I klar som ledelse til at håndtere indberetninger fra en ansat?

Indberetninger, der handler om alvorlige overtrædelser på arbejdspladsen såsom tyveri, svig, underslæb, bedrageri, bestikkelse, grov chikane, seksuel chikane mv. om en anden ansat.

Hvad nu, hvis indberetningen fra en ansat handler om dig i ledelsen?

Beslutning til at træffe afgørelse om, hvad der skal ske med indberetningen, om der skal ske undersøgelser af, om indberetningen er korrekt, eller tiltag som afskedigelse eller politianmeldelse, skal tages af ledelsen. Hvem skal træffe den objektive beslutning, hvis ledelsen er inhabil til at træffe en upartisk beslutning?

Løsningen kan være at få etableret en ekstern whistleblowerordning og uddelegere, så en ekstern følger op på indberetningen, giver tilbagemelding til den ansatte og i de tilfælde, hvor ledelsen selv bliver whistleblowet, kan den eksterne whistleblowerenhed få mulighed for at indstille til tiltag eller sanktioner. I modsat fald skal en ansat i virksomheden udpeges som whistleblowerordningens kontaktperson, hvis ledelsen står for skud. Så det kan godt være, at den ansatte kan agere som upartisk, uafhængig og ligesom en DPO-databeskyttelsesrådgiver ikke skal have instruks fra ledelsen om, hvorledes sagen skal behandles, men hvis din egen stilling bliver usikker, ville du så alligevel følge ledelsens instruktioner?

Whistleblower er en handling

Direkte oversat fra engelsk betyder whistleblower ’fløjteblæser’. Ordet stammer fra 1960’erne, hvor britiske og amerikanske

medier brugte det om fodbolddommere og dommere i andre sportsgrene, der blæser i en fløjte, når de ser en strafbar handling. I dag bruges ordet whistleblower om en person, der informerer om forhold, som vedkommende mener er kritisable eller direkte ulovlige. Om informationen lækkes til offentligheden, en myndighed eller en arbejdsplads, er ikke afgørende for brugen af ordet. Det er selve handlingen – at informere om lovbrud eller andre kritisable forhold – som kaldes whistleblowing. Da vi som samfund er interesserede i sandheden, er det vigtigt, at whistleblowers er beskyttede.

Ellers vil personen ofte vurdere, at karriere og anseelse på arbejdspladsen vægter højere end retskaffenhed. Netop derfor er det essentielt, at der findes regler, som gør det muligt at informere om ulovligheder. Vel at mærke, uden at whistlebloweren skal bekymre sig om repressalier for at være lovlydig og samvittighedsfuld.

I situationen, hvor det er ledelsen, der indberettes om, vil en intern whistleblowerordning gøre det svært at bevare fortroligheden omkring den ansattes identitet, hvilket er et krav i whistleblowerloven. Der er derfor meget på spil for den ansatte. Vedkommende kan blive anset som en stikker eller risikere andre repressalier. Det kan potentielt gå ud over personens anseelse i virksomheden. På den måde er whistleblowing en balancegang mellem loyalitet over for arbejdspladsen og ansvar over for loven og kollegaer. Et eksempel herpå er, da Finanstilsynet videregav oplysninger om syv whistleblowers til en journalist i forbindelse med en anmodning om aktindsigt. Finanstilsynet fik alvorlig kritik af Datatilsynet.

IFCR tilbyder en whistleblowerordning

Med en whistleblowerordning i IFCR-Institut for Cyber Risk får du en uafhængig og upartisk whistleblowerenhed til at administrere din whistleblowerordning.

Samtidig er du sikret, at din whistleblowerordning overholder whistleblowerlovens krav.

Du sender et klart signal om, at din virksomhed tager beskyttelsen af whistleblowers seriøst.

Whistleblowerordningen giver adgang til et helt team, mens en intern medarbejder typisk varetager opgaven alene. Der vil være adgang til yderligere ressourcer som f.eks. advokatrådgivning, IT-sikkerhedsteam, informationssikkerhed, ISO 27001 og verdens bedste hackere; denne titel har de vundet ved verdensmesterskabet, International Cybersecurity Challenge. Din whistleblowerordning mindsker sårbarheden over for videnstab, når en ansat medarbejder opsiger sin stilling, herunder omkostning til nyansættelser eller udfordringen med manglende interne ressourcer.

Ordningen bidrager til øget kvalitet af virksomhedens HR-arbejde og sikrer et højt beskyttelsesniveau af whistleblowers. Ordningen vil i sidste ende gavne virksomhedens økonomi, herunder at undgå bøder.

IFCR - Institut For Cyber Risk inviterer til webinaret “Der er ingen grund til at vente med at få etableret en Whistleblowerordning!” Webinaret afholdes den 28. marts 2023 kl. 10:00. Læs mere og tilmeld dig på ifcr.dk/events

D-MÆRKET HJÆLPER

DIG GENNEM STRENGERE

EU-KRAV

EU er på vej med strammere krav til it-sikkerhed. Med D-mærket kan du sikre dig, at du lever op til kravene og dokumentere det for kunder.

I2024 træder et nyt it-sikkerhedsdirektiv i kraft (NIS2).

Det skal styrke it-sikkerheden, og ifølge en ny kortlægning vil det i første omgang berøre godt

1.000 virksomheder på tværs af 12 sektorer.

- Det kan godt blive flere, der bliver direkte omfattet af direktivet, men det afhænger lidt af, hvordan loven bliver implementeret i Danmark, siger Morten Rosted Vang, fagleder for digital ansvarlighed i Dansk Industri (DI).

Derudover fremhæver Morten Rosted Vang, at vigtige leverandører til de omfattede virksomheder også kommer til at mærke NIS2-kravene.

Skulle nogen af de berørte virksomheder blive fanget i ikke at leve op til kravene, vil det give bøder på op til 2 procent af virksomhedens globale omsætning.

- Hvis myndighederne gør som de plejer og implementerer NIS2 efter sektoransvarsprincippet, kan de få store problemer med at skaffe medarbejdere nok til de mange nye tilsynsenheder i ressortministerierne, fordi der også er brug for de samme cyber-kompetencer i det private. Samtidig kan virksomhederne drukne i bureaukrati, hvis de forskellige myndigheder implementerer reglerne forskelligt. Vi kan potentielt ende i en situation, hvor virksomheder, der er omfattet af flere sektorer, skal efterleve forskellige krav og tilsynsregimer,” siger Morten Rosted Vang.

D-mærket er din garanti Heldigvis er der hjælp at hente. Virksomheder og organisationer kan nemlig sikre sig, at de lever op til minimumskravene ved at blive D-mærket.

- D-mærket bygger på europæiske og internationalt anerkendte standarder og rammeværker, og der er god overensstemmelse mellem D-mærkets kriterier og krav og NIS2-direktivets krav til hhv. styring og forankring i ledelsen samt krav til risikostyring og sikkerhedsforanstaltninger og NIS2-direktivets minimumskrav som helhed, siger Morten Rosted Vang. Han opfordrer desuden virksomheder i al almindelighed til at gøre brug af D-mærket.

- Ansvarlig it er helt nødvendig for at vi skal kunne bevare tiltroen til den omfattende digitalisering af verden, som vi ser ind i. Med D-mærket signalerer du ansvarlighed og kan dokumentere det for kunder og myndigheder, og du kan selv sove tryggere i visheden om, at du har gjort, hvad du kunne for at undgå digitale uheld eller kriminalitet, siger Morten Rosted Vang.

Morten Rosted Vang, fagleder, digital ansvarlig og cybersikkerhed

Dansk Industri.

FAKTA

ET SAMLET DANMARK STÅR BAG D-MÆRKET!

Industriens Fond står bag D-mærket i samarbejde med Dansk Industri, Dansk Erhverv, SMVdanmark og Forbrugerrådet Tænk.

D-mærket støttes af Erhvervsstyrelsen og er en uafhængig privat organisation.

NYE IT-SIKKERHEDSKRAV

TIL DANSKE VIRKSOMHEDER

VIL KOSTE OP MOD ½ MIA. KR.

Over 1.400 danske virksomheder står til at blive ramt af det kommende NIS2-sikkerhedsdirektiv fra EU, hvilket vil kræve samlede it-investeringer på op til 448 mio. kr.

Et stort antal danske virksomheder bliver snart ramt af nye massive it-sikkerhedskrav fra EU. Men de færreste af de ramte virksomheder er sandsynligvis klar over det, og risikerer derfor at blive ramt af millionstore bøder, hvis de ikke lever op til kravene. Fra medio 2024 skal over 1.400 danske virksomheder have implementeret en række omfattende sikkerhedsforanstaltninger, da de med et nyt EU-direktiv, NIS2, pludselige bliver defineret som en del af den kritiske infrastruktur. Tidligere har blot 130 danske virksomheder været en del af den kritiske danske infrastruktur.

Bl.a. bliver dele af detailhandlen samt en række fødevareproducenter, restauranter og transportvirksomheder, nu defineret som en del af den kritiske infrastruktur, der skal leve op til de massive it-sikkerhedskrav, som NIS2-direktivet kommer med. ”NIS2 har mange gode elementer, da vi pga. digitaliseringen af samfundet også naturligt får flere virksomheder, der bliver kritiske for Danmark. Men mange af de 1.400 virksomheder ved sandsynligvis ikke, at de pludselig er blevet en del af Danmarks kritiske infrastruktur. De står nu overfor massive it-investeringer, og risikerer enorme bøder, hvis de ikke når at implementere de nye sikkerhedskrav i tide,” siger Natasha Friis Saxberg, adm. direktør i IT-Branchen.

Lever virksomheden ikke op til NIS2-direktivet, risikerer de bøder på op til 75 mio. kr. eller 2% af virksomhedens omsætning – alt efter hvad der er højest.

Virksomhederne står overfor massive investeringer EU forventer, at de virksomheder, der skal leve op til det nye NIS2-sikkerhedsdirektiv skal øge deres it-investeringer med 20-30%.

For de danske virksomheder anslår analysevirksomheden IDC, at hver virksomhed i gennemsnit vil få en merudgift på 350.000 kr., hvilket svarer til samlede ekstra it-investeringer for de 1.400 berørte virksomheder på 448 mio. kr. IT-Branchen advarer om, at så store investeringer ikke bare er noget, man implementerer på kort tid.

”Selvom direktivet først træder i kraft i 2024, så er implementeringstiden stadig forholdsvis kort, når det handler om så store it-investeringer. Det er derfor vigtigt, at myndighederne hurtigt får orienteret alle berørte virksomheder om, at de er omfattet af det kommende sikkerhedsdirektiv. Ellers risikerer

Danske myndigheder og virksomheder har en tendens til at overimplementere EU-lovgivningen. Men det er dyrt at være klassens duks, så vi skal hjælpe virksomhederne med at finde den rette balance, så der kommer styr på it-sikkerheden og leves op til reglerne, uden at virksomhederne mister overblikket og investerer store beløb i unødige tiltag.

vi en situation, hvor virksomhederne ikke har mulighed for at afsætte midlerne og ressourcerne i tide,” udtaler Natasha Friis Saxberg.

Øgede krav til virksomhederne og ledelsen

Som noget nyt stiller NIS2 skrappe krav til både ledelsen, virksomhedens risikostyring og rapportering.

”Ledelsen får nu direkte ansvar for, at cyberrisikoen bliver identificeret og håndteret samt, at NIS2-kravene overholdes. Sker det ikke, kan myndighederne faktisk forbyde de ansvarlige chefer at have en ledelsesfunktion. Så de nye krav kan pludselig også have store personlige konsekvenser,” fortæller Jacob Herbst, CTO i Dubex A/S og medlem af det nationale Cybersikkerhedsråd samt forperson i IT-Branchens policy board for cybersikkerhed.

En stor del af kravene handler om at kunne forebygge og minimere cyberangreb – ikke bare hos en selv, men også i forhold til hele ens værdikæde. Det er især inden for disse områder, Jacob Herbst forventer, at virksomhederne skal investere og fokusere:

• Uddannelse af ledelsen

• Risikoanalyser med både forebyggende og begrænsende tiltag

• Sikkerhedspolitikker og procedurer

• Cyberhygiejne og adgangskontrol

• Forsyningskædesikkerhed for leverandører

• Håndtering af sikkerhedshændelser og rapportering indenfor 24 timer

• Beredskabsplaner og krisehåndtering

Jacob Herbst påpeger samtidig, at det er vigtigt at få lavet en national implementeringsplan og få hjulpet virksomhederne, så vi i Danmark undgår den forvirring og panik, der opstod, da Persondataforordningen blev indført.

”Danske myndigheder og virksomheder har en tendens til at overimplementere EU-lovgivningen. Men det er dyrt at være klassens duks, så vi skal hjælpe virksomhederne med at finde den rette balance, så der kommer styr på it-sikkerheden og leves op til reglerne, uden at virksomhederne mister overblikket og investerer store beløb i unødige tiltag,” slutter han. Samtidig påpeger han, at det reelt kan blive et problem at finde folk med de rette kompetencer til at løfte opgaven i de enkelte virksomheder.

FAKTA

IT-Branchen er sammen med Danmarks Statistik kommet frem til de 1.400 berørte virksomheder ved at kigge på de branchebetegnelser, som EU har skrevet, er omfattet NIS2, hvorefter disse er overført til danske branchekoder. Da virksomheder med under 50 medarbejdere som udgangspunkt ikke er omfattet NIS2-kravene, er de efterfølgende blevet fjernet.

Det er dog de sektorspecifikke myndigheder, der tager endelig stilling til, hvilke virksomheder der skal omfattes af NIS2, og der kan derfor være forskel på den endelige liste af virksomheder og ovenstående tal, der er pt bedste bud på en kortlægning.

Industriens Fond er i gang med en mere detaljeret analyse af omfanget og paratheden hos de berørte virksomheder. Den analyse forventes at være klar i starten af det nye år.

Læs mere på www.itb.dk

WHISTLEBLOWER WEBINAR

DEN 28. MARTS 2023 KL. 10:00 - 11:15

Med whistleblowerloven er det lovpligtigt at etablere en whistleblowerordning på alle private arbejdspladser med 50 eller flere ansatte senest den 17. december 2023.

Der er ingen grund til at vente med at få etableret en whistleblowerordning. Derfor holder IFCR et webinar om de nye krav til etablering af en whistleblowerordning og beskyttelse af whistleblowere og om hvordan dette håndteres i dagligdagen.

Advokat & Senior Legal Manager i IFCR og stifter af Danmarks

Whistleblowerforening, Kasia Torian, er oplægsholder på webinaret.

Læs mere og tilmeld dig på ifcr.dk/events

Det er gratis at deltage på webinaret