Af Michael Gram, Kunde- & Forretningsudviklingschef, Gensam
Cyberangreb er ikke bare en hypotetisk risiko – det sker hver dag.
ENISA, som er EU’s agentur for cybersikkerhed, melder, at små og mellemstore virksomheder oplever op til flere hundrede forsøg på cyberangreb hver eneste dag. Langt de fleste kommer fra automatiserede programmer og handler f.eks. om forsøg på phishing og ransomware, og langt de fleste angreb bliver afvist. Men slet ikke alle. ENISA kan fortælle, at 28 % af alle forsikringsselskaber i EU offentligt har rapporteret gennemførte og alvorlige cyberangreb i 2024 – så antallet af små eller store cyberangreb er ganske voldsomt stort. Og truslen bliver bare ved med at stige.
Forsikringsselskaber er et oplagt mål, fordi de ligger inde med masser af følsomme data og forvalter store pengesummer. Og især mindre selskaber kan være sårbare, fordi de typisk har færre ressourcer dedikeret til it-sikkerhed.
Skurkene går efter de små
Hvis man sidder og tænker: Jamen vi er jo bare et lille selskab, der kun agerer i vores del af landet – vi kan umuligt være et mål – så tager man alvorligt fejl.
De professionelle hackere går ofte efter de mindre aktører, fordi forsvarsværket der er svagere. Hvis man ikke har multifaktor-login, opdaterede systemer, overvågning og en kriseplan klar – så er det ikke et spørgsmål om man bliver ramt, men hvornår. Og konsekvenserne kan være alt fra driftsstop til datalæk og tillidstab.
Det er ikke en skræmmekampagne, jeg er ude i her. Det er bare virkeligheden i 2025 og i al overskuelig tid fremover.
Derfor har EU vedtaget DORA – Digital Operational Resilience Act – som stiller skærpede krav til hele den finansielle sektor. Fra januar 2025 skal selskaber kunne dokumentere, at de har styr på deres digitale robusthed: risikoanalyse, hændelseshåndtering, test, leverandørstyring osv. Det kan virke uoverskueligt for et lille selskab, det er klart.
Cybersikkerhed skal være en kerneopgave på ledelsesniveau
Og derfor siger jeg altid: cybersikkerhed må ikke blive en barriere, men en kerneopgave. Det handler ikke om at gøre alt selv – men om at have styr på ansvar og processer. Og her er det altafgørende, at bestyrelse og ledelse er med. Som en kunde sagde til mig for nylig: “Vi må ikke gøre cybersikkerhed til et åg for medarbejderne – vi skal selv forstå truslen, så vi kan stille de rigtige krav.”
Her hos os arbejder vi systematisk med sikkerhed i hele vores platform Genua: adgangskontrol, overvågning, compliance-rapportering og backup. Men lige så vigtigt: vi hjælper kunderne med at forstå kravene. DORA er ikke kun teknik – det handler om styring. Vi har erfaring med at bygge sikkerhed ind i processerne, så det bliver en integreret del af driften, ikke en tung skygge.
Vi skal flytte cybersikkerhed væk fra teknikerrummet og ind i bestyrelseslokalet. Ikke med panik – men med forståelse og forankring. Det giver tryghed og robusthed.
Sikkerhed handler ikke om frygt – men om modenhed.
