Det trækker overskrifter, når William Demant, Mærsk og andre store virksomheder bliver ramt, men virkeligheden er, at de små virksomheder også er i skudlinjen. Autoværkstedet, vognmanden, webshoppen og alle de andre er også i hackernes søgelys.

Hvor bekymret er du for at blive ramt af et cyberangreb og udsat for fx indbrud i netbanken, ransomware eller phishing? Det har vi spurgt 350 af netop de små virksomheder om for at få et indtryk af, hvor påvirkede de er af truslen.  

42 pct. af direktørerne svarede, at de i 2021 er mere bekymrede for at blive udsat for cyberkriminalitet end for tre år siden. Det er en trussel mod de små virksomheders drift, som ledelserne ikke forventer vil gå væk med tiden. 34 pct. af direktørerne vurderer, at risikoen vil vokse over de næste tre år.

Tallene peger på, at de små virksomheder er bekymrede, og at trusselbilledet står klart. I den kontekst er bekymringen ikke nogen dårlig ting, for den er et udtryk for øget opmærksomhed.

Opmærksomhed er første skridt mod cybersikkerhed

Netop opmærksomhed er den måske vigtigste del af cybersikkerheden. Antivirus, firewalls og cyberforsikring er naturlige dele af et beredskab, men hele øvelsen begynder med en øget opmærksomhed. Udfordringen opstår nemlig, når den spirende bekymring skal omsættes til handling. Ikke mindst hos ledelsen i den lille virksomhed, som typisk har mange kasketter på i driften og ikke kan ringe til en stor it-afdeling og få hjælp.

Derfor var det en glædelig nyhed, at Dansk IT i marts præsenterede et nyt initiativ i samarbejde med Industriens Fond. Ambitionen er at give de små og mellemstore virksomheder et kompetenceløft og et bedre overblik hos den enkelte virksomhed. Det lover godt, at initiativet ikke alene handler om teknologien, men også stiller skarpt på virksomhedskultur og adfærd i et format, der er tilpasset den travle hverdag hos lederne.

En krævende opgave at omstille virksomheden

Hvordan kan ledelsen så gribe opgaven an? Spørgsmålet var et hovedtema for en interessant podcast fra McKinsey & Company, der i februar satte to eksperter i it-sikkerhed stævne til en diskussion om, hvordan ledelsen kan gå til opgaven. De var enige om, at håndteringen af et cyberangreb altid kræver et vist niveau af teknisk kompetence. Teknologi er afgørende, når problemet skal løses. Men når vi ser på de vidtrækkende konsekvenser – skader på omdømmet, de juridiske problemstillinger, kundernes tillid og svækkelse af driften, så skal ledelsen på banen.

Derudover er det især følgende tre områder, som eksperterne pegede på som afgørende for en virksomheds evne til at stå imod et angreb.

• For det første skal ledelsen være bevidst om problemet.
• Herefter skal beredskabet og redskaberne på plads, og det kræver en grundig gennemgang af hele organisationen, driften, processerne og de kritiske områder. Fokus skal her være på hele forretningen og ikke it og teknik alene.
• Endelig skal virksomheden gøre sig selv egnet, så cybersikkerhed bliver en fælles kompetence i hele organisationen. Alle ansatte skal kende beredskabet og vide, hvem man går til, hvis skaden skulle ske.

Men en sådan omstilling af virksomheden er et langt og sejt træk, som kræver ressourcer. Og ressourcer er en mangelvare i mange små virksomheder, ikke mindst efter et historisk hårdt år med nedlukning. En ny analyse fra Erhvervsstyrelsen viser også, at 39 pct. af de små og mellemstore virksomheder ikke har et sikkerhedsniveau, der er godt nok til deres risikoprofil.

Derfor har vi som forsikringsbranche også et ansvar for at hjælpe. Og vi har mulighed for at gøre det. Det gælder selvsagt øget opmærksomhed på cyberforsikring, der på tværs af brancher er et ekstra sikkerhedsnet under små og store virksomheder. Men det gælder også den tætte kontakt, forsikringsrådgiveren har til hver enkelt virksomhed. Her er relationen ofte præget af stor tillid, og i den tætte dialog, hvor vi risikovurderer virksomheden og rådgiver om en passende dækning, har vi mulighed for at tage cybersikkerheden op.

Det kræver viden om cybersikkerhed at tilbyde forsikring mod cyberangreb. Den viden kan vi godt blive bedre til at aktivere i kundemødet. Derfor vil jeg hermed opfordre til, at vi i branchen tager et større ansvar og gør vores for at hjælpe de små virksomheder med at omstille sig til mødet med cybertruslen.