Virksomheder skal turde tale højt om succesfulde phishing-angreb

Skrevet d. 12-12-2025 af Esben Kaufmann

Phishing er en af største trusler mod virksomheders sikkerhed. Derfor skal vi også blive bedre til at tale åbent om det, når phishing-angreb lykkes. Ellers får vi svært ved at komme dem til livs.

Artiklen blev først bragt som debatindlæg i ITWatch d. 11. december.

I dag er phishing én af de absolut største trusler mod virksomheders IT-sikkerhed. 

Selvom spamfiltrene bliver bedre, finder mange phishing-mails stadig vej til medarbejdernes indbakker – alt sammen fordi metoderne løbende bliver skarpere, mere overbevisende og sværere at gennemskue. Cyberkriminalitet er ikke længere ekstraordinære hændelser, men er blevet et fast vilkår for danske virksomheder.

Alligevel er det ikke trusselsniveauet i sig selv, der bekymrer mig. Det, der virkelig udfordrer vores evne til at stå imod, er noget langt mere menneskeligt: At vi stadig ikke tør snakke åbent om det, når phishing-angreb faktisk lykkes.

Og alle erhvervsmål står for skud. I mit eget daglige virke med cybersikkerhed ser jeg, hvordan it-angreb rammer både større organisationer såvel som små og mellemstore virksomheder, der immervæk udgør 99 procent af dansk erhvervsliv.

Især én tendens går igen på tværs af erhvervslivet: Medarbejdere tøver med at sige det højt, hvis de er faldet for et phishing-forsøg, der forsøger at narre en til at dele følsomme oplysninger som adgangskoder, bankoplysninger eller CPR-nummer.

Det er langtfra kun medarbejdernes egen udfordring, for direktioner putter også ofte med phishing-hændelser, når de opstår, hvilket er komplet misforstået. For virksomheder skal kunne dele, analysere og lære af phishing-hændelser åbent både medarbejder- og ledelsesniveau, hvis vi skal komme dem til livs.

Ifølge Center for Cybersikkerhed er cirka en fjerdedel af alle sikkerhedsbrud i danske virksomheder relateret til phishing.

Det er udtryk for en ekstraordinært høj cybertrussel – og et billede, jeg genkender. Jeg har siddet med flere virksomheder, hvor et uheldigt klik har ført til driftsstop, ransomware-angreb eller tab af fortrolige data. Sommetider med efterfølgende økonomiske tab i millionklassen.

Samtidig bliver phishing-mails bliver mere og mere sofistikerede. Tiden er forbi, hvor den slags angreb typisk bestod af sløjt formulerede beskeder fra nigerianske prinser. I dag er det mails mere eller mindre skræddersyet til medarbejderen, ofte baseret på oplysninger om arbejdspladsen, fx en falsk faktura fra en kendt leverandør, en tilsyneladende troværdig besked fra den administrerende direktør eller en ”opdateret dokumentpakke” fra HR.

Så sent som her i november så vi det udfolde sig herhjemme, da Datatilsynet meldte et markant antal brud på persondatasikkerheden, fordi medarbejdere havde åbnet en inficeret OneNote-fil fra en phishing-mail. Filen skabte en bagdør ind til medarbejderens enhed, hvorfra angriberen kunne stjæle data, installere malware eller lægge fundament til større angreb.

Tal om det – især når det går galt

Pointen er, at det kan ske for alle. Også de dygtigste og mest årvågne. Derfor er det på høje tid, at virksomheder bliver mere åbne om phishing.

Engang talte erhvervslivet heller ikke om arbejdsulykker, der blev fejet under gulvtæppet af frygt for skyld, skam og dårligt omdømme. I dag ved vi, hvor farligt det er. Først da vi begyndte at tale åbent om ulykkerne og evaluere på dem, reducerede vi dem.

Ikke fordi mennesker stoppede med at lave fejl – men fordi vi lærte af dem. Det samme gælder phishing.

Jeg møder stadig virksomheder, hvor en medarbejder, der er faldet for et phishing-angreb, undskylder – eller endnu værre, tier stille. Det skaber en kultur, hvor fejl skjules, og hvor kritiske risici ikke bliver håndteret. Med andre ord det værst tænkelige scenarie.

Så sig det højt, når I bliver ramt. Lad dine medarbejdere vide, at det ikke er skamfuldt at falde i. Hyld i stedet den medarbejder, der siger det højt. For dén medarbejder giver jer et konkret indblik i, hvordan angrebene faktisk ser ud, og giver jer mulighed for at reagere på skaden, der allerede er sket.

Phishing og cyberkriminalitet forsvinder nemlig ikke – og vi kan ikke opbygge et bolværk, der fanger alt. Men vi kan skabe arbejdspladser, hvor et phishing-angreb ikke udvikler sig til både en personlig og forretningsmæssig krise, fordi nogen var bange for at sige det højt.