Sådan undersøger du, om dine handelspartnere har styr på cybersikkerheden

For at kunne tilbyde din virksomhed de helt rigtige policevilkår har vi brug for at få indsigt i din virksomhed, jeres kunder og kredithandel.  

I en verden, hvor cyberangreb udgør en stigende trussel, bliver det vigtigere at kunne vurdere, om ens kunder og leverandører kan modstå et cyberangreb. Vi kigger nærmere på, hvilke virksomheder man skal holde øje med og hvad man bør undersøge.

Alle virksomheder kan blive ramt af cyberangreb. Når det er sagt, så er der områder, hvor det kan betale sig at være ekstra opmærksom.

Eksempelvis varierer risikoen for angreb en smule fra sektor til sektor. Atradius sikkerhedschef, Simon Schofield, nævner virksomheder i sundhedssektoren, finanssektoren og produktionsvirksomheder som steder, hvor risikoen for angreb er en smule højere end gennemsnittet.

Men ifølge Simon Schofield er det langt fra kun relevant, hvilken sektor en virksomhed opererer i, da risikoniveauet ofte hænger tæt sammen med virksomhedens eksponering for internettet. Jo mere eksponeret du er, jo højere risiko er der for et angreb.

”Generelt er B2B-virksomheder mindre eksponerede end virksomheder, der har direkte kontakt med forbrugere. Det skyldes blandt andet at virksomheder har stringente retningslinjer for kommunikation og at det derfor er nemmere for B2B-virksomheder at sikre sig mod angreb,” siger Simon Schofield og tilføjer at størstedelen af de cyberangreb vi ser, ikke er målrettet bestemte virksomheder og derfor vil kunne ramme alle, der ikke har styr på sikkerheden.

Både store og små

I september 2021 anslog Erhvervsstyrelsen at omkring 40% af små og mellemstore danske virksomheder havde utilstrækkelig digital sikkerhed.

Ifølge årets risikorapport fra World Economic Forum kan en af årsagerne til at SMV’erne globalt halter efter på sikkerheden være, at de betaler mere for at opnå samme niveau af sikkerhed.

Mens større virksomheder ofte sætter 1-2% af budgettet af til IT-sikkerhed, så må mindre virksomheder ifølge rapporten bruge op mod 4% af deres budget på at sikre sig. Ifølge Atradius sikkerhedschef, Simon Schofield, betyder det dog ikke nødvendigvis, at risikoen er større for mindre virksomheder.

For godt nok er de målrettede angreb mere sjældne, men de kan have alvorlige konsekvenser og rammer primært store virksomheder.

Cyberratings

De seneste år er der kommet flere udbydere af såkaldte cyberratings, hvor bureauer har specialiseret sig i at tilbyde ratings af cybersikkerheden hos virksomheder.

Selvom et hastigt stigende antal virksomheder ifølge Atradius sikkerhedschef, Simon Schofield, bruger cyberratings, så er det et værktøj, der ofte har væsentlige begrænsninger.

”Man skal huske at cyberratings generelt er lavet med offentligt tilgængelige data og dermed giver et indblik i, hvordan virksomheder fremstår. De fortæller ikke hvordan arbejdet med sikkerhed foregår bag facaden, medmindre de pågældende virksomheder har indvilget i at dele supplerende oplysninger med rating-bureauet.”

Dermed kan cyberratings fungere som et pejlemærke, men vil i de fleste tilfælde give et ufuldstændigt billede af, hvor godt virksomheder rent faktisk sikrer sig mod angreb.

Direkte kontakt

Hvis du gerne vil undersøge om en stor leverandør eller debitor har styr på cybersikkerheden, kan det derfor være nødvendigt at tage fat i dem og bede dem fortælle mere om deres sikkerhedspolitik og -procedurer. Det kan man enten få andre til eller man kan gøre det selv med hjælp fra egen sikkerhedsafdeling og eventuelt konsulenter.

Vi har talt med RelateIT’s chef for infrastruktur, Andreas Mark Juul Pedersen, og Atradius egen sikkerhedschef, Simon Schofield, om, hvilke punkter, en virksomhed bør have styr på, når det kommer til cybersikkerhed og god digital hygiejne:

• Aktiver. Opdatering af software skal være sat i system og hardware skal kun tages i brug, når man har sikret sig, at det ikke er inficeret.
• Back-ups og beredskabsplaner. Man skal være i stand til at kunne genskabe essentiel data.
• Træning af medarbejdere. Ifølge seneste risikorapport fra World Economic Forum skete 95% af alle brud på IT-systemer på grund af menneskelig fejl. Løbende træning af medarbejdere er derfor helt essentielt for sikkerheden.
• Klar politik. Man skal have en klar IT-sikkerhedspolitik, hvor man på strategisk niveau har taget stilling til, hvordan man vil håndtere forskellige worst case scenarier.
• Datasikkerhed. Man skal have styr på brugerne og vide hvem der har adgang til hvad.
• Tests. Sidst, men ikke mindst er det essentielt at man tester sit beredskab jævnligt, ellers kan man ikke være sikker på, at ens sikkerhedsforanstaltninger virker.