I denne juletid er der nok mange der reflekterer over året der er gået og tænker over hvilke projekter der skal igangsættes i det nye år 2024.

Måske har din virksomhed som så mange andre været ramt at en cyberhændelse i årets løb, en hændelse som har kostet tid, penge og slidt på virksomhedens omdømme.

Måske du som så mange andre har måttet beklage at I ikke var i stand til at passe på kundernes data?

Hvis ikke, så bør du tænke på om det er rent held eller er et udtryk for en bevidst indsats fra din side.

Jeg håber på at 2024 bliver året hvor flere topledere, ejerledere og bestyrelser igangsætter vedvarende IT-sikkerhedsindsatser.

IT-sikkerhed er et marathon, ikke en sprint. Samtidig er det en vedvarende holdindsats som omfatter hele organisationen og de kritiske samarbejdspartnere.

For at kunne arbejde struktureret og vedvarende med IT-sikkerheden er det afgørende at have et ISMS - et Information Security Management System fx vores Nem ISMS.

Nem ISMS sætter IT-sikkerheden i system, sikrer overholdelse af standarder og gør det nemt at samarbejde og dokumentere IT-sikkerhedsarbejdet.

Start det nye år med at få IT-sikkerheden på dagsordenen, vi er klar til at hjælpe.

Jeg ønsker jer alle en rigtig glædelig jul og et cybersikkert nytår.

Venlig hilsen Kaj Asmussen

Forsvarets Efterretningstjeneste FE har netop udgivet deres trusselsvurdering "Udsyn 2023".

I denne 75 siders rapport gives et dystert billede af det aktuelle trusselsniveau.

Truslerne fra Rusland og Kina er omfattende. Og virksomheder der arbejder med forskning eller er involveret i donationer til Ukraine er cyberspionage en reel trussel.

Men for de fleste virksomheder er truslen fra de IT-kriminelle den største trussel. Trusselsbilledet har aldrig været højere.

Citat af analysechef Mark Fiedel

Så det kan kun gå for langsomt med at iværksætte passende foranstaltninger.

Du kan læse rapporten på FE's hjemmeside.

Center for Cybersikkerhed har lige offentliggjort deres trusselsvurdering ”Ransomware-truslen mod produktionsvirksomheder”. Og ikke uventet er deres trusselsvurdering ”MEGET HØJ”.

Det er samtidig disse virksomheder som også i denne tid bør kigge i retning af NIS2 kravene, da mange produktionsvirksomheder indenfor fødevarer, medicin, maskiner o.l. bliver direkte omfattet af NIS2 kravene.

Der er uden tvivl flere svar, men lad mig prøve at fokusere på nogen af de væsentligste.

Panik-faktoren

For en produktionsvirksomhed betyder oppetid alt, når IT-systemerne er lagt ned, går der typisk ikke lang tid før produktionen stopper og medarbejdere skal sendes hjem. Det er utrolig dyrt at holde en produktion stoppet, derfor er det nemt for de IT-kriminelle at skabe panik og måske overtale en virksomhed til at betale en løsesum.

Komplekse sårbarheder

Produktionsvirksomheder har både IT og OT, dvs. at de har operationel teknologi, som anvendes til at styre maskiner og processer i produktionen. Dette gør det mere kompliceret at få overblik og beskytte virksomheden. Og det åbner flere angrebsmuligheder for de IT-kriminelle.

Høj grad af on-premise

Lidt i boldgade med anvendelse af OT, er det også typisk sådan at produktionsvirksomheder ikke er så langt med at flytte applikationer og data i skyen. Applikationer og data i skyen er nemmere at beskytte og en stor del af ansvaret for en høj IT-sikkerhed overtages af IT-leverandørerne. Dette er ofte ikke tilfældet for producerende virksomheder, som oftest har servere og en del af infrastrukturen placeret i deres eget serverrum. Dette betyder at kunden selv har et stort ansvar for løbende opdatering, antimalware og backup. Opgaver der kræver kompetencer som ikke altid er til stede.

Alt i alt er produktionsvirksomheder således en lækkerbisken for de IT-kriminelle og det anbefales på det kraftigste at arbejde med IT-sikkerheden løbende.

Du kan læse Center for Cybersikkerheds trusselsvurdering for produktionsvirksomheder her.

.