Bemærk, at flere links i teksten fører til websider på engelsk

Cybersikkerhed er ikke længere noget, som virksomheder kan tillade sig at ignorere. Sikkerhedsbrud betyder ikke blot nedetid til skade for virksomheden og dens brandomdømme, men også tab af kunder, bøder og økonomiske tab. Og med flere cyberangreb i første halvdel af 2020 end i hele 2019 er det vigtigere end nogensinde før at beskytte sikkerheden på dit website.

Til trods for den voksende risiko halter mange virksomheder bagefter, når det drejer sig om at beskytte sig selv, deres websites og kunderne. Her er nogle af de mest almindelige fejl, som virksomheder begår i forhold til sikkerheden på deres websites.

1. Begrænset bevidsthed om cybersikkerhed blandt ansatte

Menneskelige fejl er den mest almindelige årsag til brud på cybersikkerheden. Uanset om det drejer sig om klik på det forkerte link eller manglende beskyttelse af adgangskoder, gennemføres cyberangreb oftest via de ansatte. Men sådan behøver det ikke at være.

Data fra CFC Underwriting, som tilbyder cyberforsikringer, viser, at 38% af de krav, som fremsættes mod forsikringsselskabet, kunne have været undgået med mere effektiv uddannelse af ansatte og etablerede uddannelsesprocesser.

Det er betryggende at høre, at virksomheder kan beskytte sig mod sikkerhedsbrud med en mere udbredt bevidsthed om websikkerhed og en robust intern digital sikkerhedskultur. Til trods for den tydelige sammenhæng mellem lav bevidsthed om cybersikkerhed og vellykkede angreb, er der dog mange arbejdsgivere, som undlader at handle. En undersøgelse fra 2019 viste, at blot 20% af de britiske virksomheder havde uddannet ansatte i cybersikkerhed inden for de seneste 12 måneder.

Løsning: En virksomeheds sikkerhed er kun så stærk som det svageste led. Uddannelse af dine ansatte i grundlæggende cybersikkerhed er nøglen til at reducere sikkerhedsrelaterede udfordringer – og en af de billigste og mest effektive metoder til at beskytte din virksomhed.

En af de hyppigst nævnte begrundelser for ikke at uddanne ansatte i cybersikkerhed er, at ”du ikke ved, hvor du skal begynde”. Hvor skal du så begynde? Start med det mest indlysende. 

  • Sørg for at ansatte, som forlader virksomheden, straks får inddraget deres adgangsrettigheder, så de ikke længere kan få adgang til dine systemer – og slet alle virksomhedsdata fra tidligere ansattes personlige enheder.
  • Forældet software åbner døren for cyberkriminelle, så sørg for at installere softwarerettelser og opgraderinger løbende.
  • 94% af al malware, som inficerer et netværk, kommer fra e-mails, så skadelige links og vedhæftede filer er et kæmpestort problem for virksomheder. Og spamfiltrering af e-mails er ikke tilstrækkeligt til at løse det. Styrk e-mailsikkerheden proaktivt gennem uddannelse, som lærer ansatte at genkende, undgå og markere risikable e-mails. En benchmarkingrapport om phishing fra KnowBe4 konstaterede, at blot et år med test og uddannelse i phishing gav en forbedringsrate på 87%.
  • Dårligt beskyttede brugernavne og adgangskoder er en anden almindelig sikkerhedstrussel med 61% af virksomhederne, som har mere end 500 konti med adgangskoder, der ikke udløber. Vejled amsatte i at oprette stærke loginoplysninger og beskytte dem effektivt, eller brug en sikker Password Manager til at gemme og oprette adgangskoder for dig.
  • At lade ansatte bruge deres egne enheder på arbejdet eller ”BYOD (Bring Your Own Device)” gør din virksomhed sårbar for yderligere trusler. Rollebaseret adgang, tofaktorgodkendelse og stærke brugeradgangskoder kan være med til at reducere risikoen.
  • Data på mistede og stjålne enheder er en anden angrebsmulighed for cyberkriminelle. Uddan ansatte i, hvordan de bruger virksomhedens udstyr uden for kontoret, og etabler en proces til rapportering af mistede enheder.
  • Giv klar vejledning om brugen af sociale medier på arbejdspladsen. En ud af fem virksomheder har oplevet infektion med malware, som er blevet distribueret via sociale medier.
  • Sørg for at ansatte altid installerer programrettelser og softwareopgraderinger på deres enheder – det er det, der er formålet med dem.
  • Uddan dine ansatte i vigtigheden af cybersikkerhed i deres interaktion med tredjepartssoftware og eksterne it-udbydere.

Overholdelse af disse enkle foranstaltninger vil stoppe mange almindelige cybertrusler i opløbet.

2. Manglende virksomhedspolitik om cybersikkerhed

En undersøgelse fra Department for Digital, Culture, Media, and Sport i Storbritannien viste, at mens næsten tre fjerdedele af virksomhederne siger, at cybersikkerhed er en høj prioritet, er det ikke noget, som omsættes til handling. Kun 27% har implementeret formelle cybersikkerhedspolitikker og -procedurer. Uden en cybersikkerhedspolitik bliver du nemt selv et let mål for angreb.

En effektiv cybersikkerhedspolitik fastlægger regler og ansvar i forhold til at beskytte it-systemer og virksomhedsdata. Det går hånd i hånd med at skabe større bevidsthed om sikkerheden blandt de ansatte.

McAfee definerer en cybersikkerhedspolitik som et dokument, der ”beskriver reglerne for, hvordan ansatte, konsulenter, partnere, bestyrelsesmedlemmer og andre slutbrugere tilgår onlineprogrammer og internetressourcer, sender data via netværk og i øvrigt udviser ansvarlig sikkerhed.”

Cybersikkerhedspolitikker kan også forbedre en virksomheds offentlige image og troværdighed. Det er vigtigt, at kunder, partnere, aktionærer, konsulenter og ansatte ved, at din virksomhed beskytter deres data. Cybersikkerhedspolitikken er en rigtig god måde at vise dem, at du tager sikkerhed alvorligt.

Løsning: Udarbejd et formelt dokument, som klart beskriver virksomhedens sikkerhedspolitikker, og som giver ansatte klar vejledning i, hvad der er tilladt, og hvad der er forbudt i forhold til virksomhedens it-systemer, netværk og enheder.

En god cybersikkerhedspolitik beskriver virksomhedens standarder for:

  • Brug af sociale medier
  • Begrænsninger for internetadgang
  • Krav til adgangskoder (lagring, opdatering og oprettelse)
  • Fjernadgang
  • Digitale signaturer
  • Håndtering af følsomme data
  • Trådløs kommunikation
  • Sikkerhedsforanstaltninger for e-mails
  • Brug af programmer fra tredjepart
  • Håndtering af en cybersikkerhedstrusler eller -hændelser

Eftersom cybersikkerhedstrusler hele tiden ændrer sig, er det vigtigt, at du holder din cybersikkerhedspolitik opdateret. Planlæg fra starten en regelmæssig gennemgang og tilpasning af politikken.

3. Manglende ansættelse af kvalificerede cybersikkerhedsansatte

Selvom mange cyberangreb kan tilskrives menneskelige fejl, er det kun én side af medaljen. Tekniske sårbarheder er også en væsentlig cyberrisiko. Her kommer kravet om kvalificerede cybersikkerhedsansatte ind i billedet. Men ifølge en Marlin Hawk-undersøgelse siger to tredjedele af virksomhederne, at de har svært ved at finde erfarne, dygtige cybersikkerhedsansatte, og 62% er bekymrede for, at det bliver endnu sværere i løbet af de næste fem år.

Hvis virksomheden er så heldig at få fat i en dygtig cybersikkerhedsansat, er det sandsynligt, at vedkommende bruger hovedparten af sin tid på at slukke ildebrande. Uden tilstrækkelig tid eller ressourcer kan cybersikkerhedsansatte have problemer med udtænke og gennemføre foranstaltninger, som beskytter sikkerheden på virksomhedens website effektivt på sigt.

Den globale efterspørgsel efter cybersikkerhedsfærdigheder fortsætter med at være større end udbuddet, og it-afdelinger er i forvejen overbelastede af at håndtere de stadigt mere komplekse cybertrusler, så mange virksomheder har ganske enkelt ikke tilstrækkelige ressourcer til at beskytte sig effektivt mod angreb.

Løsning: Svaret er automatisering. Ved at integrere automatisering i cybersikkerhedsprocesser er det muligt at lukke kompetencekløften, fordi virksomheder så selv med begrænsede ansatte og ressourcer løbende kan overvåge trusler og styrke deres cyberbeskyttelse i takt med væksten.

Nogle værktøjer til overvågning af websikkerhed, herunder Siteimprove Web Security, er ikke blot udviklet til at identificere sårbarheder på et website, men også komme med forslag til proaktive og udbedrende handlinger. Nogle af disse opgaver, f.eks. sporing af udløbsdatoer for websitecertifikater, styres nemt af websiteadministratorer, så cybersikkerhedsansatte får frigjort tid til at fokusere på mere avancerede sikkerhedsrisici.

Ifølge Ron Green, som er CSO for Mastercard, er automatiseringsteknologier en god hjælp for cybersikkerhedsansatte. "Maskinlæring og automatisering vil være en stor hjælp for nuværende og kommende CISO’er,” siger han. ”Virksomhederne vil dog stadig få brug for dygtige ansatte til at håndtere sikkerhed, men vores sikkerhedsansatte har i forvejen nok de skal overvåge, og du kan ikke bare blive ved med at ansætte flere nye ansatte, for der er bare ikke nok af dem derude.”

4. Opfattelsen af websitesikkerhed som et it-problem i stedet for en forretningsprioritet

Data fra en EY Global Board Risk-undersøgelse viser, at næsten halvdelen (48%) af de adspurgte bestyrelser mener, at cyberangreb og brud på datasikkerheden vil have en mere end moderat indvirkning på deres forretning i de næste 12 måneder. Men de anser stadig i udpræget grad websitesikkerhed som blot et spørgsmål om at overholde regler og standarder, og kun en lille brøkdel på 7% beskriver det som en katalysator for innovation.

Virksomheder, som udelukkende opfatter cybersikkerhed som et it-anliggende, overser de strategiske fordele ved at prioritere websitesikkerhed. Disse fordele omfatter større kundetillid, beskyttelse af immaterielle rettigheder og beskyttelse af deres brand. Når man undervurderer omfanget og alvoren af cybersikkerhedstrusler, er man en fare for sig selv.

Derfor er det afgørende for virksomheden at have en proaktiv tilgang til cyberkriminalitet:

  • Et brud på datasikkerheden koster i dag 3,86 millioner USD. Ud over det håndgribelige økonomiske tab oplever de berørte virksomheder også øget kundefrafald, mistet indtjening, mindre goodwill og et plettet omdømme.
  • I mange virksomheder er det mest værdifulde aktiv de immaterielle rettigheder. Immaterielle rettigheder omfatter patenter, design, forretningshemmeligheder, fortrolige data og de ansattes viden. Forestil dig, hvis disse skatte skulle havne i hænderne på de forkerte. I USA alene koster tyveri af immaterielle rettigheder hvert år virksomhederne op mod 600 milliarder USD.
  • De fleste forbrugere (87%) siger, at de ville vælge en anden leverandør, hvis de ikke har tillid til, at en virksomhed håndterer deres data ansvarligt.
  • Dyre advokatsalærer og sagsomkostninger. Overtrædelser af EU’s databeskyttelsesforordning (GDPR) kan f.eks. i dag koste en virksomhed en bøde på op til 4% af dens årlige omsætning. Bøder for overtrædelse af GDPR udgjorde 63 millioner USD alene i lovens første år.
  • Omdirigering af virksomhedsressourcer til at bekæmpe sikkerhedsbrud kan forringe driftseffektiviteten.
  • Der skal afsættes tid og ressourcer til at nedsætte særlige udvalg og komitéer til at undersøge overtrædelserne.
  • Og lad os ikke glemme de PR-omkostninger, der skal til for at genskabe tilliden blandt forbrugerne, aktionærerne og offentligheden efter offentliggørelsen af et brud på datasikkerheden.

Lyder det kun som et teknisk problem? Nej. Det er et forretningsproblem – og det haster.

Den største hindring for at håndtere websitesikkerhed som et forretningsproblem? Manglende opbakning på ledelsesniveau. Til trods for de mange overskrifter, som beskriver katastrofale brud på datasikkerheden, er det kun 5% af toplederne, som anser websitesikkerhed for at være deres vigtigste virksomhedsprioritet. Det understøttes af britiske data, som viser, at mindre end én ud af tre virksomheder har et bestyrelsesmedlem med cybersikkerhed som ansvarsområde.

En meget sikkert website styrker virksomheden

Der er dog heldigvis dokumentation for, at kløften er ved at blive mindre for 29% af virksomhederne, som nu erkender, at websikkerhed er et bestyrelsesanliggende. Hvis virksomheder håndterer det rigtigt, kan god cybersundhed vise sig at være et vigtig konkurrenceparameter. 73%af de adspurgte førende virksomheder, i en undersøgelse foretaget af AT&T Cybersecurity, er således enige i, at god cybersikkerhed bidrager til deres overordnede forretningsmæssige succes.

Løsning: Giv websitesikkerhed en plads ved hovedbordet. Effektiv sikkerhed kræver opbakning fra den øverste ledelse. Det anbefales derfor at ansætte en særlig Chief Information Security Officer (CISO). Med blot 4 ud af 10 virksomheder, som har en ansvarlig for cybersikkerhed på ledelsesniveau, kan dette give din virksomhed en reel konkurrencefordel. De skal uddanne den øverste ledelse i risici og ROI i forbindelse med cybersikkerhed og skabe opbakning til en virksomhedskultur med fokus på sikkerhed.

Bestyrelser og topledere holdes i stadig større omfang direkte ansvarlige for sikkerhedsbrud, som finder sted under deres ledelse. Equifax’ CEO Richard Smith blev således tvunget til at træde tilbage efter et sikkerhedsbrud i 2017, som afslørede følsomme oplysninger tilhørende 145 millioner kunder. I lyset af denne sag har der aldrig været et mere oplagt tidspunkt til at anmode om de nødvendige ressourcer til at beskytte dit website.

5. Manglende proaktiv overvågning af websitesikkerheden

Virksomheder beskytter sig selv bedst ved at være proaktive frem for reaktive. Regelmæssige sikkerhedsovervågninger er afgørende for at hjælpe virksomheder med at identificere sikkerhedshuller, bestemme risikoniveauet og træffe forebyggende foranstaltninger. Overvågninger er dog både ressource- og tidskrævende og udføres derfor ofte kun, når det er strengt nødvendigt.

For virksomheder, som ikke har nogen sikkerhedsansatte, kan sikkerhedsovervågninger være særligt udfordrende. Manuel overvågning kræver teknisk ekspertise, som mange webadministratorer ikke har.

Resultatet? I bedste fald spildte omkostninger, fordi virksomheden forfølger en sikkerhedsstrategi baseret på gætterier i stedet for at tackle sårbarheder baseret på data og prioritering af trusler. I værste fald et website fyldt med smuthuller og sårbarheder.

Løsning: Invester i et værktøj, der automatisk scanner dit website for væsentlige sårbarheder. Engangstjek er ikke tilstrækkelige. Og det hjælper selvfølgelig ikke noget blot at stikke hovedet i busken. Sikkerhed er en dynamisk størrelse, så løbende scanning af dit website for potentielle sikkerhedstrusler er et absolut must.

Der er forskellige måder til at forenkle krævende overvågning af websitesikkerheden. 

  • Overlad det til teknologien at administrere dine overvågninger med regelmæssige, automatiske sikkerhedsovervågninger.
  • Automatiske sikkerhedsovervågninger kombineret med manuelle test er den mest effektive metode til at analysere sikkerhedsstatussen for et website. Værktøjer som Siteimprove Web Security fungerer som en samarbejdsplatform, hvor web- og it-teams sammen kan håndtere sikkerhedstrusler centralt.
  1. Tro ikke at størrelsen ikke er vigtig
    Nintendo. Yahoo! Zoom. Hvad har de alle til fælles? De er alle sammen store selskaber, som har oplevet pinlige offentlige brud på sikkerheden. Mediernes næsten entydige fokus på kendte navne giver mange små og mellemstore virksomheder den misforståede og forkerte opfattelse, at cyberangreb ikke er noget, der kan eller vil ramme dem. Denne opfattelse kombineret med markedskræfter, som gør fuldtidsansatte interne sikkerhedsspecialister så godt som utilgængelige, gør dem dog ofte til et nemt mål for cyberkriminelle. Faktisk er næsten halvdelen af alle cyberangreb rettet mod små virksomheder.

Endnu mere bekymrende er en undersøgelse fra 2020, som viser, at 43% af alle små virksomheder i USA og Storbritannien overhovedet ikke har nogen forsvarsplan for cybersikkerhed. 

Og det er faktisk i strid med loven. I USA for eksempel skal selv små virksomheder, som ikke er omfattet af lovkrav på delstatsniveau, overholde visse minimumsstandarder for it-sikkerhed. De kan også retsforfølges for cyberangreb, som medfører tab af forbrugerdata, hvis det vurderes, at de har handlet uagtsomt. Nogle delstater, herunder Californien og New York, har endda indført it-sikkerhedskrav for virksomhederne.

Paul Lipman, CEO for BullGuard, siger: ”Små virksomheder er ikke immune over for cyberangreb og brud på datasikkerheden, men er ofte specifikke mål for angreb, fordi de undlader at prioritere sikkerhed. Utilstrækkelige løsninger og kompleks virksomhedssoftware frister mange ejere af små virksomheder til at droppe cybersikkerheden. Blot et enkelt angreb er dog nok til at tvinge en virksomhed i knæ.”

Løsning: Et cyberangreb på en mindre virksomhed kan være ødelæggende. Erkendelse af, at du selv kan være et mål for hackere, er første skridt på vejen til at udvikle et forsvar.

Udfordringer med begrænsede ressourcer og rekrutteringsproblemer har ført til udvikling af særlige websikkerhedsløsninger som f.eks. Siteimprove Web Security, som opfylder mindre virksomheders behov. De er udviklet til at hjælpe små teams med at forstå og forbedre websikkerheden uden at drukne i tekniske termer og kompleks sikkerhedssoftware.

Styrk din cybersundhed med Siteimprove Web Security
En ting, som alle disse fejl har til fælles, er, at de kan afhjælpes gennem en proaktiv, automatiseret og samlet tilgang til websitesikkerhed. Du kan bedst beskytte din virksomhed mod cyberangreb ved at integrere websitesikkerhed i alle dele af din digitale strategi.

Med best practice for websikkerhed, uddannelse af afsatte i cyberbevidsthed og investering i forsvarsteknologier fra en anerkendt leverandør beskytter du din virksomhed mod den voksende trussel fra cyberkriminalitet.

Vi vil gerne hjælpe dig med at beskytte din virksomhed, dit website og dine kunder mod cyberangreb. Derfor har vi lanceret Siteimprove Web Security. Web Security hjælper med at bygge bro mellem it og den del af organisationen, som er ansvarlig for websitet ved at skabe et fælles udgangspunkt. Det gør det ved at give dig et klart overblik over sikkerhedshullerne på dit website (med scorer for Web Application, Network og Server) og prioriterede handlingsorienterede anbefalinger til, hvordan du løser dem.

Få mere at vide om, hvordan funktionerne i Siteimprove Web Security beskytter sikkerheden på dit website, i vores blogindlæg ’Hvad er Siteimprove Web Security?’.