En ny undersøgelse fra Erhvervsstyrelsen viser, at næsten halvdelen af de danske små og mellemstore virksomheder ikke har den nødvendige cybersikkerhed. Flere mener, at det er et bekymrende højt tal.
Af Simon Herping Stie Olesen og Telma Svangtun Eriksen
1.980.352 kroner. Så meget koster det i gennemsnit at blive ramt af ransomware-angreb for en dansk virksomhed med 50-99 ansatte. Det viser tal fra Danmarks Statistik.
“At blive udsat for cyberkriminalitet behøver ikke at være kompliceret. Der er nogle, der har fået adgang til et brugernavn og et password, har overtaget kontoen og smidt dem, der har den, ud. Jeg tror ikke, at virksomhederne har været opmærksomme på, at det var en risiko,” siger Jens Myrup Pedersen, forsker i cybersikkerhed ved Aalborg Universitet.
Ifølge en undersøgelse fra FN har Danmark indtaget førstepladsen for tredje år i streg, når det gælder digitalisering. Dog har det også vist sig, at danskerne, ifølge FN’s undersøgelse om Global Cybersecurity Index 2020, falder ned på en 32. plads, når snakken falder på cybersikkerhed. Netop dette problem viser sig i de danske små- og mellemstore virksomheder, også kaldet SMV’er, som i høj grad er udsat for cyberangreb.
Alarmerende tal
Næsten halvdelen af de danske SMV’er har, ifølge Erhvervsstyrelsen, ikke et sikkerhedsniveau, der passer til deres risikoprofil. Et tal som digitaliseringsansvarlig hos SMVdanmark, Lasse Lundqvist, kalder “forholdsvis alarmerende.”
De alarmerende tal skyldes en lang række faktorer. Flere nævner, at nedprioritering fra både politikerne og virksomhederne selv har haft stor indflydelse på, at SMV’er i dag er udsatte.
Siden 2019 er der, ifølge Danmarks Statistik, sket en stigning på 156 procent i antallet af små virksomheder, der har oplevet brud på deres it-sikkerhed.
“SMV’er i høj grad i risiko for cyberangreb. Det er nødvendigt at hæve bundniveauet for cybersikkerhed blandt disse virksomheder,” siger Tobias Liebetrau, forsker i cybersikkerhed ved Københavns Universitet.
Nedprioriteringen af it-sikkerhed
Selvom tallene fra Erhvervsstyrelsen viser, at knap halvdelen af Danmarks ca. 300.000 SMV’er har et for lavt sikkerhedsniveau, er det kun 12 procent, som udtaler, at de ikke har viden og kompetencer, til at øge deres it-sikkerhed. Det tyder altså på, at it-sikkerheden i SMV’erne bliver nedprioriteret.
En påstand, som Tobias Liebetrau fra Københavns Universitet bakker op om. Han mener, at der er et skred i prioriteringen af cybersikkerhed mellem de små og store virksomheder.
“De små virksomheder har ikke prioriteret it-sikkerhed tilstrækkeligt. I de store virksomheder er det noget, som man prioriterer højt, hvor de små virksomheder prioriterer ressourcerne andetsteds,” siger han.
SMVdanmark indrømmer også, at en del af skylden ligger hos deres egne medlemmer. Lasse Lundqvist mener, at SMV’erne i et vist omfang ikke har optaget truslen i tide.
“Mange SMV’er har haft andre interesser og prioriteringer. I den forstand har de jo sovet i timen.”
Politisk hjælp
Flere peger på, at SMV’erne selv har en stor del af ansvaret for, at de står, hvor de gør. Lasse Lundqvist sætter dog spørgsmålstegn ved, hvorvidt alle SMV’er rustet til at stå imod it-udfordringerne eller om det kræver hjælp fra politisk side.
“Den gængse SMV’er jo en meget lille virksomhed med 2 til 4 ansatte i flere forskellige brancher. Og det er jo ikke dem, der er vant til at arbejde med it-løsninger. Her kræver det en øget hjælp fra politisk side,” siger han.
Han bliver bakket op af Jens Myrup Pedersen, forsker ved Aalborg Universitet.
“Som udgangspunkt er det jo virksomhedernes eget ansvar at have styr på deres risici, men når det er sagt, så er der rigtig mange virksomheder, som løber en større risiko, end de selv ved og hvad der er hensigtsmæssigt,” siger han.
“Så kan det hurtigt blive et samfundsproblem, fordi vi som samfund også er afhængige af at have de her SMV’er, så hvis der er mange af dem, der bliver lagt ned, så bliver det også et samfundsproblem – og derfor synes jeg også, at det går hen og bliver et politisk problem,” fortsætter han.
Detailstyring af it-systemer
En anden, som er enig i, at emnet ikke fylder nok politisk, er professor Henrik Daniel Kjeldsen, som underviser i et valgfag om cybersikkerhed på diplomingeniøruddannelsen på Aarhus Universitet.
“Der er noget snak, hvilket medfører nogle tiltag, som ikke gør det store for os nede på gulvet. Det er jo ret simpelt. Det kræver flere penge og en vilje til at prioritere det her højere. Et konkret tiltag kunne være at oprette en diplomingeniøruddannelse i sikkerhedsteknologi, men jeg tror, at der skal ske et stort angreb, før der for alvor bliver gjort noget ved det,” siger han.
En holdning, som dog ikke møder entydig opbakning fra politisk hold. Christoffer Aagaard Melson, IT-ordfører for Venstre, mener, at man skal passe på med at blande sig for meget i it-forholdene i de små virksomheder.
“Hvis det ikke er kritisk infrastruktur, så synes jeg ikke, at man skal blande sig for meget. Jeg er ikke meget for at skulle detailstyre it-systemet ved den lokale cykelforhandler. Men it-sikkerhed skal helt sikkert højere op på den politiske dagsorden, end den er i dag – for det er en af de største udfordringer i fremtiden,” siger han.
Hvorfor digitalisering ikke er højere oppe på den politiske dagsorden, har lektor i statskundskab på Aarhus BSS, Henrik Bech Seeberg, et bud på.
“Mange partier snakker indirekte om digitalisering, men meget få snakker om det som noget selvstændigt.”
Større vidensdeling
Flere erhvervs- og brancheorganisationer ønsker sig et en større grad af vidensdeling omkring it-sikkerhed mellem den private og offentlige sektor. En af dem, der råber højt i debatten, er branchedirektør for Dansk Industri Digital, Rikke Hougaard Zeberg. Hun har skrevet flere artikler, hvor hun prøver at råbe politikerne op.
“Det er ikke en opgave, der kan løses af det private alene eller det offentlige alene, fordi it-systemerne hænger sammen, så derfor er det nødvendigt at man samarbejder offentligt-privat,” siger hun.
Det er IT-ordfører for Venstre, Christoffer Aagard Melson enig i.
“Vi arbejder for at skabe en større vidensdeling. Især i forhold til forsvarsforliget har vi prøvet at skubbe til Center for Cybersikkerhed for at dele ud af deres viden,” siger han.
Men det gælder ikke kun den ene vej rundt. På Institut for Elektro- og Computerteknologi ved Aarhus Universitet, har man haft held med at gøre det offentligt-private samarbejde mere konkret.
“Vi har en mand ude fra det private, der arbejder med it-sikkerhed og som kommer ind og lærer fra sig,” siger professor på Århus Universitet, Henrik Daniel Kjeldsen.
Mangel på it-specialister
Et andet aspekt i problemet, er, ifølge både organisationer og forskere, den manglende ressourcetilførsel til it-uddannelserne i Danmark.
“Den kæmpestore digitale transformation, som Danmark står overfor og som vi er midt i, kræver jo at vi har veluddannede IT-specialister, som kan være medvirkende til at lave de her it-systemer – og vi har en kæmpe mangel på dem i Danmark,” siger Rikke Hougaard Zeberg, branchedirektør for DI Digital.
Emnet bliver også diskuteret på EU-plan, hvor Margrethe Vestager har udtalt, at de har en digital plan for hele Europa. I dag er der lidt under 10 millioner it-specialister og det tal skal fordobles til 20 millioner i 2030.
“Det betyder, at vi skal op på en anden klinge i forhold til at få uddannet flere. Der er regeringen simpelthen ikke ambitiøse nok – mit håb for en ny regering er, at de vil tage den her dagsorden seriøst og ikke bare sætter gang i en snak om, at dem, der ikke kommer ind i København, må finde en studieplads i Aalborg. Det er for uambitiøst, mener jeg,” siger Rikke Hougaard Zeberg, branchedirektør for DI Digital.
Den påstand er rektor på IT Universitetet i København helt enig i.
“Vi mangler it-medarbejdere i alle sektorer, og det kan få enorme konsekvenser for samfundet, hvis vi ikke uddanner flere it-kandidater. Det koster erhvervslivet dyrt, men de offentlige kerneinstitutioner er lige så afhængige af en velfungerende it-infrastruktur,” skriver rektor Per Bruun Brockhoff i et skriftligt svar.
Status quo
Netop ITU i København har også været i medierne for at råbe politikerne op. I juni 2021 kom en politisk aftale på plads på uddannelsesområdet, hvor alle universiteter blev pålagt af udforme en plan, som bl.a. skulle indeholde hvordan de ville imødekomme kravet om at udflytte eller nedlægge studiepladser med op til 10 procent. Det har fået den konsekvens, at ITU skal bevare status quo i antallet af pladser frem mod 2030.
“Erhvervslivet skriger på flere it-medarbejdere. Vi har både kapacitet og kvalificerede ansøgere til at uddanne flere på ITU. På kort sigt, vil vi gerne udbyde 200 studiepladser mere om året. Vi må desværre afvise rigtig mange ansøgere, fordi vi fra politisk side er pålagt et loft over studiepladser. Der skal politisk vilje til for at løse problemet,” skriver Per Bruun Brockhoff, rektor på ITU.
Venstres it-ordfører, Christoffer Aagard Melson, er enig i betragtningen om, at der skal optages flere på de relevante uddannelser.
“Vi arbejder også for at få et nyt tilbud vest for Storebælt,” siger han.
“Det vigtigste er, at man gør noget”
Tallene lyver ikke. Der er brug for at få kigget it-sikkerheden i de danske SMV’er efter i sømmene. Spørgsmålet er bare hvad løsningen skal være. Og hvem der skal stå bag den. Men én ting er sikkert.
“Man kan altid synes, at det er for lidt eller at man skulle gøre noget andet, men det vigtigste er faktisk, at man gør noget – og jeg synes, at det er fint, at man prøver at hjælpe virksomhederne i den rigtige retning,” siger Jens Myrup Pedersen, forsker i cybersikkerhed ved Aalborg Universitet.