Er udviklingen i cybersikkerhed drevet af EU eller kriminelle?
Læsetid i minutter: 2
FXA DK - Artikler 27. juni 2024 13:30:24 CEST
Af Martin Kofoed, Executive Partner, Cyber Security Division, itm8
Når man følger med i både danske og internationale medier, kan man ikke undgå at bemærke, at fænomenet ”cybersikkerhed” i stigende grad tager overskrifter.
Hvis det ikke handler om virksomheder, der bukker under for cyberangreb, eller meldinger om tab af følsomme data, er det annonceringer af nye lovkrav, direktiver og forordninger fra både EU og den danske stat. Dette kan lede til refleksionen: ”Hvem driver egentlig udviklingen inden for cyber”?
Cyberkriminalitet er verdens tredje største økonomi
Hvis man kigger på den økonomi, der er forbundet med cyberangreb og cyberkriminalitet, er det massive midler, der er tale om. World Economic Forum udgav i 2023 en artikel, der angav, at hvis cyberkriminalitet var en nation, ville det være verdens 3. største økonomi efter Kina og USA.
Derudover kan vi kigge på udviklingen de senere år. Særligt fra midten af 2017 hvor vi blandt andet oplevede cyberangreb, der påvirkede Mærsk-koncernen, og førte til et tab på mere end 300 millioner USD. Her kan man antage, at den økonomiske påvirkning er en væsentlig driver for fokus på området. Både for lovgiver og virksomheder men i særdeleshed også for de kriminelle.
Øget trusselsvurdering
Siden krigen i Ukraine brød ud i 2022, har vi kunne observere en trusselsvurdering, som løbende er forøget. Dette til trods for at Center for Cybersikkrehed siden 2016 har vurderet, at truslen for cyberkriminalitet og spionage er på et ”meget højt” niveau, som er det højeste niveau CFCS arbejder med.
Vi bliver altså løbende mindet om, at de kriminelle står og banker på, og at vi skal forberede os. Senest også på såkaldte destruktive angreb. Det er et udtryk for, at krigsførende nationer som eksempelvis Rusland har suppleret våbenarsenalet med ”cybervåben”.
På den anden side ser vi lovgiver – både på nationalt og internationalt niveau. Over de senste år er der udgivet mere end 20 forskellige forordninger og direktiver på europæisk niveau. Alle sigter mod at virksomheder og organisationer øger deres modenhed og modstandsdygtighed over for de digitale angreb. Cybersikkerhed er blevet en ”license to operate” og i nogle tilfælde ”license to exist”.
NIS2-direktivet kræver dokumentation, træning og beredskabsplaner
Et eksempel er NIS2 direktivet der snart implementeres i dansk lov. Som det foreskriver, skal aktører indenfor kritisk og væsentlig infrastruktur – såsom sundhed, finans, tele, transport, energi og forsyning – kunne dokumentere, at de er klar til angreb.
Der skal blandt andet findes veldokumenterede og gennemafprøvede beredskabsplaner. Organisationen skal sikre relevant ledelsesinformation om risici forbundet med cybertruslen. Og det skal sikres, at både ledelse og medarbejdere er tilstrækkeligt trænede i ”cyber”. Dette er blot for at nævne nogle få elementer, der skal prioriteres et øget fokus på.
EU vs. de kriminelle
Så hvor stiller det virksomhederne, og hvem driver egentlig udviklingen – staten/EU eller de kriminelle? Svaret ligger nok midt imellem.
Det er et konstant udviklingskapløb, og med mængden af sager og den massive økonomi der er forbundet med området, vil min personlige vurdering være, at det er de kriminelle, der driver udviklingen, mens os der er eller potentielt bliver forurettet, halsende forsøger at følge med.
Danske virksomheder er bagud på sikkerheden
Når vores hackere og sikkerhedsstrategiske konsulenter løbende er ude og kigge på virksomheder, så kan vi konstatere, at virksomheder og organisationer overvejende er bagud. Der hersker ikke en generel modenhed i flertallet af virksomheder, der kan matche de trusler man står overfor. Og der er ligeledes lang vej endnu, for at kunne leve op til de krav lovgivning forudsætter efterlevelse af.
Hvis virksomhederne vil på omgangshøjde eller endda foran modstanderen, kræver det investering og træning. Det skal selvsagt ske balanceret og i henhold til virksomhedens appetit på risiko. For man kan hurtig købe sig fattig i cyber. Men den pris og konsekvens man kan risikere at skulle møde, ser vi desværre bare alt for mange eksempler på. Og det kan de færreste tåle. For ikke alle er Mærsk.