Tavshed er også en risiko

Den nye nationale strategi for cyber- og informationssikkerhed 2026-2029 placerer små- og mellemstore virksomheder centralt i Danmarks digitale robusthed. SMV’er er ikke længere blot ansvarlige for deres egen sikkerhed, men udgør en vigtig del af de digitale værdikæder og den forsyningssikkerhed, som resten af samfundet er afhængig af.

Samtidig viser nye erfaringer fra CyberPilot, at netop de mindre virksomheder fortsat er blandt de mest udsatte mål for cyberkriminelle. Ifølge virksomheden rammer op mod halvdelen af alle cyberangreb små og mellemstore virksomheder, som ofte mangler både ressourcer, processer og træning til at følge med et trusselsbillede, der udvikler sig hurtigere end nogensinde.

Og når angrebene lykkes, starter de ofte det samme sted.

29 procent af cyberhændelser har phishing med i den indledende fase. Men ifølge CyberPilot er det ikke nødvendigvis det første klik, der skaber den største skade. Det er ofte tavsheden bagefter.

– “Når phishing er en del af starten på næsten hvert tredje cyberangreb, er det et tegn på, at mennesker er blevet den primære angrebsflade. Derfor er det afgørende, at vi også taler åbent om de fejl, der uundgåeligt vil ske,” siger Rasmus Vinge, CEO i CyberPilot.

CyberPilot oplever, at mange virksomheder stadig forsøger at håndtere hændelser bag lukkede døre. Motivet er ofte frygt for omdømme, ansvar og konsekvenser, men den strategi kan blive dyr, hvis den forsinker den første respons.

– “Hvis en medarbejder har klikket på noget mistænkeligt, er det vigtigste, at det bliver sagt højt med det samme. Hurtig reaktion kan være forskellen på et mindre hændelsesforløb og et alvorligt angreb. Når vi ikke deler erfaringer – hverken internt eller på tværs af virksomheder – mister vi muligheden for at lære og forebygge”. 

Budskabet rammer ned i en virkelighed, hvor cybertruslen mod danske virksomheder stiger, samtidig med at angrebene bliver mere målrettede. Phishing er ikke længere bare klodsede mails med åbenlyse sprogforskrækninger, men en disciplin, der i stigende grad spiller på tillid, timing og interne arbejdsgange.

 

Cyber er blevet et ledelsesproblem

CyberPilot har gennemført mere end 500.000 phishing-simulationer blandt virksomheder. Dataene viser blandt andet, at medarbejdere i gennemsnit klikker på 9 procent af phishing-mails, mens 4 procent efterfølgende forsøger at indtaste loginoplysninger.

Samtidig bliver angrebene stadig vanskeligere at identificere.

Hvor phishing tidligere ofte kunne genkendes på dårligt sprog og mistænkelige afsendere, er moderne angreb i stigende grad designet til at ligne helt almindelige arbejdsopgaver. Delinger via SharePoint, Google Drive og interne samarbejdsværktøjer bruges i dag aktivt af cyberkriminelle til at udnytte tillid og etablerede arbejdsgange.

Det peger på en udvikling, hvor cybersikkerhed i stigende grad flytter sig fra at være et rent IT-anliggende til også at være et spørgsmål om ledelse, kultur og organisatorisk læring.

– “Hvis en medarbejder har klikket på noget mistænkeligt, er det vigtigste, at det bliver sagt højt med det samme. Hurtig reaktion kan være forskellen på et mindre hændelsesforløb og et alvorligt angreb. Når vi ikke deler erfaringer – hverken internt eller på tværs af virksomheder – mister vi muligheden for at lære og forebygge”, lyder det fra Rasmus Vinge.

SMV’er er blevet en del af samfundets forsvarslinje

For startup- og scaleup-miljøet er problemstillingen særligt relevant.

Hurtig vækst, mange nye medarbejdere og løbende ændringer i processer gør virksomheder mere sårbare over for social engineering, der betegner den manipulerende metode, hvor it-kriminelle udnytter menneskelige adfærdsmønstre. Samtidig har mange vækstvirksomheder begrænsede sikkerhedsressourcer og prioriterer naturligt produktudvikling, salg og vækst højere end cybersikkerhed.

Men i takt med at myndighederne i stigende grad ser SMV’er som en del af den nationale digitale modstandskraft, bliver cybersikkerhed også et konkurrenceparameter og et ledelsesansvar.

CyberPilots erfaring er, at mange virksomheder fortsat forsøger at håndtere sikkerhedshændelser bag lukkede døre af frygt for omdømme, ansvar eller konsekvenser. Problemet er, at den strategi ofte forlænger responstiden netop i de timer, hvor skaden kan begrænses mest effektivt.

Derfor handler fremtidens cyberrobusthed ikke kun om software, firewalls og tekniske løsninger. Den handler også om, hvorvidt medarbejdere tør række hånden op, når noget ser forkert ud. Det bør ikke være tabu, når cyberangreb er så stor en del af virkeligheden fra startups til corporates.

For i en virkelighed, hvor phishing-angreb bliver stadig mere overbevisende, er spørgsmålet ikke længere, om nogen før eller siden klikker på det forkerte link. Spørgsmålet er, hvor hurtigt organisationen opdager det, reagerer på det og lærer af det. Og her kan den største sårbarhed vise sig at være en kultur, hvor ingen tør sige det højt.

Det svære er ikke at træne folk — men at få dem til at sige det højt

Hurtig vækst, mange nye processer og høj arbejdshastighed gør startups mere sårbare over for social engineering, netop fordi tempo ofte trumfer eftertanke.

Her er Rasmus Vinge og CyberPilots argument, at virksomheder skal gøre rapportering af fejl lige så naturlig som at melde en driftsfejl eller et produktproblem ind.

Den nødvendige erkendelse er, at phishing ikke kun er et sikkerhedsproblem, men et organisationsproblem. Hvis næsten hvert tredje angreb begynder her, bliver konkurrencedygtig sikkerhed mindre et spørgsmål om software alene og mere et spørgsmål om, hvor hurtigt en organisation lærer, reagerer og deler viden.

For virksomheder med begrænsede security-ressourcer er det en ubehagelig erkendelse. Men også en praktisk en: Den første forsvarslinje er stadig mennesket, og den største sårbarhed kan være en kultur, hvor ingen tør række hånden op.