Skal vi lade virksomheder gå konkurs for at holde den moralske fane pletfri?

Den 17. februar 2025 af Martin Kofoed, Partner & Chief Cyber Security Officer, Cyber Security Division, itm8 

“I må aldrig betale, hvis jeres IT-systemer og data bliver taget som gidsel.“ Det siger danske og internationale regeringer, store forsikringsselskaber og vigtige meningsdannere, når talen kommer på ransomware. 

Det logiske og moralske argument bag står lysende klart: Det skal ikke kunne betale sig at være kriminel – og ved at betale løsesummer for at få frigivet sine data, understøtter man de kriminelle hackeres forretningsmodel. 

Det er indlysende forkert at handle med kriminelle. Men graver man lidt dybere og taler med nogle af de virksomhedsejere, der er endt med at betale løsesummer, gemmer der sig ofte en længere og mere kompliceret historie bag. Historier om livsværk og drømme, der med et fingerknips risikerer at forsvinde. Historier om ansatte, der pludselig står uden arbejde og eksistensgrundlag fra den ene dag til den anden. Historier om følsomt data, der risikerer at ende til offentligt skue.

Vi risikerer at sætte vækstlaget i den danske økonomi skakmat

Jeg siger ikke, at vi som udgangspunkt og for enhver pris skal være villige til at betale for at få frigivet data. Langt fra. Men vi bliver nødt til at løfte diskussionen om forhandling med, og betaling af cyberkriminelle til et billede, der ikke er sort/hvidt. Nuancerne mangler, når nogle af samfundets mest magtfulde mennesker og organisationer udtaler sig om “handel” med cyberkriminelle. Vi risikerer, at det går ud over de virksomheder, der står svagest mod de professionelle cyberkriminelle: De små og mellemstore virksomheder (SMV’er). 

SMV’er udgør 90 procent af danske virksomheder og har ansat 2/3 af alle medarbejdere i den private sektor. Men ofte mangler de enkelte virksomheder cybersikkerhedsekspertise og digital robusthed, hvis først de kriminelle kommer på indersiden af deres systemer. 

Et ransomware-angreb kan for mange virksomheder udgøre en reel, eksistentiel trussel. De mister alt fra kundedatabaser til forretningskritisk produktionssoftware og muligheden for at udbetale løn til deres medarbejdere. I sidste ende kan et angreb, hvis det er omfattende nok, lukke virksomhedens forretning fuldstændig. Og så er der kun 2 valgmuligheder: Betal eller gå konkurs. 

Det er ikke nødvendigvis, fordi virksomhederne ikke gør, hvad de kan for at sikre sig. Men hver eneste uge bliver der opdaget nye sikkerhedshuller i selv de mest moderne IT-systemer. Og når selv store, globale giganter som Saint Gobain, ISS og Mærsk  bliver ramt, hvordan kan vi så forvente, at en mellemstor dansk virksomhed skal kunne stå imod alle angreb? 

Vi skal huske på, at det ikke er virksomheden, der har gjort noget forkert. Ja, nogle af dem kunne naturligvis have beskyttet sig bedre mod angreb. Men det er ikke virksomheden, der har stjålet noget. Og ligesom vi ikke giver husejeren skylden for, at tyven er brudt ind i deres hus, selvom de ikke har haft alarmsystem, så er det ikke udelukkende virksomhedernes skyld, at nogen stjæler deres data eller sætter lås på deres systemer.  

Derfor skal vi heller ikke tvinge virksomheder ud i en situation, hvor de føler sig udskammet, fordi de træffer et valg mellem pest eller kolera. Konkurs eller handel med kriminelle. Vi er alle sammen enige om, at de cyberkriminelle ikke har fortjent en eneste krone. Men kan man ikke godt forstå, at nogle virksomheder alligevel går med til en handel, hvis alternativet er konkurs?  

Kriminelle grupper skal bekæmpes. De må og skal ikke have frit spil. Men en bekæmpelse er ikke effektiv på den lange bane, hvis metoden medfører risiko for virksomhedernes konkurs eller at følsomme persondata lækkes. Vi må i stedet sætte krav og forventninger om, at det internationale samfund i fællesskab gør en struktureret og afstemt indsats imod de kriminelle organisationer.

Se også vores webinar: 10 tips til din IT-sikkerhed

IT-sikkerhed ændrer sig konstant, og det kan være svært at følge med. Med vores webinar “10 tips til din IT-sikkerhed i 2025” får du et indblik i, hvad du kan forvente af trusselsbilledet i det kommende år. Og vigtigst: Hvordan du bedst beskytter din virksomhed mod cyberangreb.  

Se webinaret her