Knap halvdelen - 48 procent - af de ansvarlige for it-sikkerhed eller databeskyttelse svarer i en ny rapport fra ITU og SDU, at sikkerhedsprocedurerne i de virksomheder, de arbejder for, ikke overholdes i alle situationer.

De angiver samtidig mangel på tid og ressourcer, ledelsens indflydelse, og at procedurerne griber ind i organisationens andre arbejdsgange som årsager til den manglende overholdelse.

Det samlede billede i rapporten er, at cybersikkerhed er et underprioriteret område i virksomhederne. Blandt små og mellemstore virksomheder svarer kun 26 procent, at virksomheden har et dedikeret budget for cybersikkerhed. Det samme gør sig gældende for 68 procent af de store virksomheder.

- I Danmark har vi en kultur med en høj grad af tillid, og det er også reflekteret i undersøgelsen. Lederne stoler for eksempel på, at udviklerne har styr på it-sikkerheden og blander sig ikke i deres arbejde. Her under pandemien lader ledelsen medarbejderne tage deres laptops hjem og forventer, at de har styr på datasikkerheden. Tillid er altafgørende, men hvis ledelsen antager, at medarbejderne har viden og kompetencer inden for sikkerhed, som de ikke har, er det problematisk, siger Jacopo Mauro, lektor på SDU i en pressemeddelelse.

Ledelsen har for lidt indsigt

En af hovedudfordringerne er, at lederne har for lidt indsigt i cybersikkerhed. På den ene side anerkender lederne, at cybersikkerhed er vigtigt, og de ønsker, at deres forretning er beskyttet. På den anden side har mange et forældet syn på cybertruslen og lægger ansvaret for sikkerhed over på it-specialisterne i virksomheden. Den manglende viden og bevidsthed fører dermed til en underprioritering af området, selv om det kan koste virksomhederne dyrt.

- Cyberangreb risikerer jo netop at skade kerneforretningen. Derfor er det vigtigt, at topledelsen uddannes i cybersikkerhed fra et forretningsmæssigt perspektiv, så de forstår de forretningsmæssige konsekvenser af cybertruslen og bliver rustet til at danne et realistisk billede af virksomhedens sårbarheder,” siger Asmita Dalela, forskningsassistent på ITU.

Læs også: DI skruer op for digitale eksportfremstød i 2021

Byg sikkerhed ind i digitale produkter

I DI er Morten Rosted Vang, fagleder for digital ansvarlighed og cybersikkerhed, enig i at it-sikkerhed og privacy ikke bør placeres alene hos specialister i virksomheden.

- Det bør være en prioriteret del af ledelsens ansvarsområde og af almindelige forretningsrisici i stedet for at reducere det til en teknisk øvelse hos specialisterne langt fra forretningen. Ledelsesforankring kan også medvirke til, at der i virksomheden skabes en fornuftig balance mellem brugervenlighed og sikkerhed. Har ledelsen ikke taget valget om at sikre balancen, risikerer man i en travl hverdag, , at medarbejderne selv tager valget, og så er der stor sandsynlighed for, at sikkerheden viger for brugervenligheden, som undersøgelsen også viser, siger han.

Han påpeger desuden, at rapporten viser, at sikkerhed ofte ikke prioriteres i udviklingen af digitale produkter.

- Hvis sikkerheden skal følge med digitaliseringen, vil der være et voksende behov for, at digitale produkter kan tages sikkert i brug. Uden at man som bruger skal have særlige it-sikkerhedskompetencer for at sikre, at kriminelle ikke misbruger dem. Altså at produkterne er mere sikre i sig selv. Derfor arbejder vi i DI også for, at ”security & privacy by design” skal være et fokusområde for Danmark i den kommende nationale strategi for cyber- og informationssikkerhed.

Læs mere på DI’s rådgivningsside om informationssikkerhed.