Små virksomheder har store huller i it-sikkerheden

Hackeren sidder i mørklagte lokaler, begravet over tastaturet, mens han udpeger sit næste offer i cyberspace og går målrettet til værks. Noget tyder på, at det er det billede, som toner frem på nethinden hos lederne i små- og mellemstore virksomheder, når de hører ordene ”hacker” eller ”it-kriminelle”.

– En udbredt forståelse blandt virksomhederne er, at de it-kriminelle går målrettet efter ”noget, der er værd at stjæle”, lyder det i en ny rapport, som Det Kriminalpræventive Råd (DKR) netop har offentliggjort.

Sandheden er bare en anden. Langt de fleste angreb er nemlig mere eller mindre tilfældige. Taktikken er ofte at skyde med spredehagl og så håbe på, at der er gevinst, forklarer it-ekspert.

– Det tager kun seks minutter at scanne alle computere på internettet. Enhver computer på internettet bliver derfor scannet med jævne mellemrum af hackere, der søger en computer at angribe, så den lille virksomhed kan sagtens blive ramt. Se på det ud fra et cost-benefit-perspektiv. Det er gratis for hackerne at angribe et system, så selvom en hacker måske ikke får meget ud af at hacke et system, så er det en god investering, siger Willard Rafnsson, adjunkt på IT-Universitet i København.

Se video: Installatør Bo Jensen fik hacket sin virksomhed

Det kan godt være, at hackeren ikke kan bruge dit kundekartotek til noget særligt, men måske er det meningen at bruge din server til at få flere muskler til at sende endnu flere angreb ud i cyberspace. En anden meget brugt metode er at låse hele systemet og kræve løsepenge for at give adgang til filerne igen. Er der bare en lille brøkdel, der gør det, så virker forretningsmodellen for hackerne, da det som sagt nærmest er gratis for dem at gøre det. Samtidig er det vigtigt at forstå, at det ikke nødvendigvis kræver en doktorgrad i datalogi at slå sig ned som hacker. Der er en bred vifte af computerprogrammer, der lynhurtigt sætter uerfarne brugere i stand til at finde smuthullerne i sikkerheden.

– Jeg har studerende, der lærer at bruge de her værktøjer på et par uger. Ikke for at kunne hacke men for at kunne beskytte virksomhederne og vise hvor sårbarhederne er i systemerne, siger Willard Rafnsson.

Hver fjerde uden basal it-sikkerhed

Blandt de små- og mellemstore virksomheder (SMV’er) har 40 procent et lavt niveau for it-sikkerhed, da de kun bruger mellem nul og fire ud af i alt ni anbefalede sikkerhedsråd. Erhvervsstyrelsen konkluderer endda i sin seneste undersøgelse fra august i år, at 26 procent af SMV’erne ikke engang gør brug af de to helt centrale sikkerhedsforanstaltninger. Det drejer sig om opdatering af styresystemer og backup af data. For de helt små virksomheder på mellem fem og ni ansatte gælder dette for hver tredje af virksomhederne.

Byggebranchen er især udfordret på it-sikkerheden. Ifølge undersøgelsen har kun 11 procent af virksomhederne i bygge- og anlægsbranchen et højt sikkerhedsniveau, mens det gælder for 27 procent af industrivirksomhederne. Man skal dog helt over i kommunikationsbranchen, før flertallet af SMV’erne har et højt sikkerhedsniveau. Ifølge it-eksperten kan der være flere årsager, men en af forklaringerne er, at håndværkerbranchen har omfavnet alle de nye muligheder i hverdagen gennem de seneste 20 år, uden at opmærksomhed på sikkerheden er fulgt med den udvikling.

– Før i tiden var it ikke så udbredt i el- og vvs-branchen, men it er krøbet gradvist ind hos dem, så det nu bliver brugt overalt til effektivisering. Det handler om alt fra servere til IoT-enheder, og derudover bruger medarbejderne smartphones i dagligdagen. It-løsningerne er blevet billigere, og der er mulighed for at bruge dem alle steder, men opmærksomhed på it-sikkerheden er ikke fulgt med den udvikling, siger Willard Rafnsson.

Læs også: Små virksomheder kan få gratis kursus i it-sikkerhed

Erhvervsstyrelsens undersøgelse er lavet på baggrund af besvarelser fra 5.292 virksomheder med minimum fem årsværk. De tilhører de private, ikke-finansielle byerhverv. Det Kriminalpræventive Råds undersøgelse er en såkaldt kvalitativ undersøgelse, hvor man har interviewet i alt 36 af de helt små virksomheder (under 10 ansatte) om deres syn på it-sikkerhed.

Betegnelsen ”SMV” er defineret ved at være virksomheder med 5-249 medarbejdere.

Få hele overblikket i TEKNIQ Arbejdsgivernes magasiner her