I et gennemdigitaliseret samfund som det danske er det afgørende, at de digitale forsyningskæder beskyttes af et effektivt cyberforsvar. Vores undersøgelse viser dog, at det i den offentlige sektor kniber med fundamentale cybertiltag.

Hvad viser undersøgelsen?

Under halvdelen af respondenterne har en fyldestgørende procedure for løbende cyberhygiejne, hvilket bl.a. dækker over, at software og hardware holdes opdateret, at medarbejderne skifter deres passwords regelmæssigt, og at medarbejdernes adgang til netværket tilpasses den enkeltes behov. Dertil svarer 42 procent, at organisationens ansatte enten ikke modtager regelmæssig awareness-træning, eller at træningen kun foretages delvist. Blot 60 procent svarer, at de har en operationel og strategisk plan for, hvordan de vil forsvare deres organisation mod cybertrusler, ligesom kun 60 procent vurderer, at de har en cyber incident response-plan, som bliver testet regelmæssigt.

Kigger vi på disse fire grundlæggende cybertiltag samlet set, svarer kun 18 procent, at de har implementeret dem alle.

Deloittes Perspektiv

I arbejdet med cyber- og informationssikkerhed må cyberhygiejne og awareness-træning betragtes som grundlæggende og elementære initiativer, der er afgørende for enhver organisation, som gør sig forhåbninger om at stå imod cybertruslerne. I forlængelse heraf er det i vores optik nødvendigt dels at have en strategisk og operationel plan for, hvordan en organisation forsvarer sig mod de trusler, den står overfor, og dels at en indøvet, opdateret og trykprøvet incident response-plan træder i kraft, når organisationen bliver ramt af et cyberangreb. Danmark er som nation gennemdigitaliseret, og en stor del af vores samfund er afhængig af den offentlige sektors duelighed, hvilket gør vores digitale infrastruktur og forsyningskæder så meget desto mere betydningsfulde og sårbare. Derfor er det ikke tilstrækkeligt, at der ikke er flere, som har fuldstændigt styr på de fire ovenstående initiativer.

Det hurtige overblik

Awareness-træning
Center for Cybersikkerhed har vurderet, at “ubevidste insidere” er involveret i op mod halvdelen af de registrerede sikkerhedshændelser, hvilket øger vigtigheden af awareness-træning. De fremmeste CISOer i den offentlige sektor udnytter gamification eller in-your-face, real-time awareness til at øge effekten af træningen.

Cyberhygiejne
Mange større organisationer lider under et teknisk efterslæb, og ældre systemer udgør en sikkerhedsrisiko. Struktureret cyberhygiejne med bl.a. brugerstyrring, opdatering af soft- og hardware samt krav om regelmæssige skift af passwords kan øge sikkerheden betragteligt og koster ofte ikke andet end tid.

Incident response-plan
En god incident response-plan skitserer flere plausible scenarier for hændelser, og hvilke detaljerede trin der skal iværksættes for at mitigere dem. Planen skal tydeligt identificere nøgleroller og ansvarsområder for at håndtere en cyberhændelse og tryktestes gennem bl.a. red team-øvelser og war-gaming. Dertil skal incident response-planen spille sammen med de øvrige beredskabsplaner i tilfælde af en større hændelse.

Strategisk forsvarsplan
En operationel og strategisk plan for at forsvare en organisation mod cybertrusler starter med et detaljeret trusselsbillede, en vægtning af truslernes sandsynlighed og en kortlægning af organisationens sårbarheder via bl.a. analyser og penetrationstests. Herefter skal sikkerhedsindsatsen prioriteres, budgettet lægges, og de strategisk vigtigste handlinger før, under og efter et angreb identificeres og operationaliseres.

Kontakt os

Serdar Cabuk

Partner

+45 30 93 50 70

Share this story