Forestil dig, at du står op en onsdag morgen og åbner for vandhanen. Der kommer ikke noget vand.
Du tjekker din netbank. Den loader ikke. Kommunens hjemmeside er nede. Din lokale dagligvarebutik kan ikke bestille varer hjem. Der er udfald i strømleverancen fra dit forsyningsselskab.
Det lyder som en dystopisk Hollywood-film.
Men det er præcis den type scenarier, der bliver talt om, når Styrelsen for Samfundssikkerhed nu igen vurderer cybertruslen mod Danmark som “meget høj”. Øverste trin på skalaen.
Folk tror, det sker for de andre
Alligevel tænker mange: “Det rammer nok min nabo. Ikke mig. Ikke os.”
En ekspert i TV2 Østjylland sagde det meget præcist: Folk tror, det sker for de andre.
Virkeligheden er, at alle kan blive ramt.
Det handler ikke kun om store ministerier. Det handler om helt basale ting i din hverdag. Vandforsyning. Betaling. Adgang til sundhedsdata. De digitale løsninger, du bruger uden at tænke over det.
Den usynlige infrastruktur
Og så handler det om den del, vi sjældent taler om i overskrifterne.
De mellemstore og mindre virksomheder. Kommunerne. Forsyningsselskaberne. Alle dem, der er en del af den usynlige infrastruktur under vores hverdag.
Hvis en kommune bliver ramt, mærker borgerne det. Hvis et forsyningsselskab går ned, mærker hele byen det. Hvis en transportvirksomhed lammes, mærker forsyningskæderne det.
Du behøver ikke være et mål for at blive ramt. Du skal bare være forbundet.
Den samme mentalitet igen og igen
Når jeg er ude som IT-sagkyndig og sikkerhedskonsulent, ser jeg den samme mentalitet igen og igen.
“Vi har da antivirus.”
“Vi har da backup.”
“Vi har da fået lavet noget awareness-træning. En gang.”
Men man kan ikke slukke brande uden brandslukningsudstyr. Og I får ikke et robust setup uden at teste det.
Antivirus stopper ikke et målrettet angreb. Backup hjælper ikke, hvis den også er krypteret. Og awareness-træning fra 2022 forbereder ikke medarbejderne på AI-genereret phishing i 2025.
De gode råd er ikke nok
Derfor er det ikke nok med gode råd om MitID, kodeord og wifi. De er nødvendige, men ikke tilstrækkelige.
Der skal nogen ind, der tør stille de ubehagelige spørgsmål.
Hvad sker der, hvis jeres driftsleverandør bliver ramt? Hvordan reagerer I, hvis jeres netværk bliver krypteret en tirsdag kl. 10? Hvor hurtigt opdager I, hvis nogen allerede sidder inde i systemerne?
De fleste virksomheder kan ikke svare. Ikke fordi de er dumme eller ligeglade, men fordi ingen har tvunget dem til at tænke det igennem.
Test jeres forsvar i virkeligheden
Det er her, de grundige sikkerhedsgennemgange og praktiske øvelser kommer ind. Ikke som papirøvelser, men som konkrete gennemgange af systemer, processer, leverandører og beredskab.
En cybersikkerhedsaudit afslører, hvor hullerne er, før angriberne finder dem. Ikke hvad I tror om jeres sikkerhed, men hvordan det faktisk står til.
Red teaming tester jeres forsvar ved at simulere et rigtigt angreb. Teknik, social engineering og fysisk adgang kombineret. Så I ser, hvad der faktisk sker, når nogen prøver at bryde ind.
Og cybersecurity mystery shopping tester den menneskelige faktor. Ville jeres medarbejdere lukke en angriber ind? Ville de klikke på linket? Dele oplysninger over telefonen?
Det er bedre at finde ud af det nu end at læse om det i pressen bagefter.
Tre spørgsmål i lyset af den “meget høje” trusselsvurdering
Hvis vandet ikke kom ud af hanen i morgen tidlig, ville din organisation være en del af forklaringen? Måske ikke direkte, men måske som leverandør til nogen, der er. Kender du din rolle i kæden?
Hvis en vigtig kunde bad om dokumentation for jeres sikkerhed, ville du være tryg ved at sende den med det samme? Eller ville du først skulle finde ud af, hvad I egentlig har på plads?
Hvornår har I sidst fået lavet et reelt og grundigt sikkerhedsaudit? Ikke af jeres egen IT-leverandør, men af nogen udefra, der har prøvet at finde hullerne, før angriberne gør det.
Få en uafhængig vurdering
Jeg sælger ikke produkter. Jeg har ingen leverandøraftaler at beskytte. Når jeg laver et cybersikkerhedsaudit, får I en ærlig vurdering af, hvor I står. Og hvad I bør gøre.
For kommuner og offentlig sektor tilbyder jeg audits tilpasset de særlige krav og ansvar, der følger med at håndtere borgernes data og samfundskritiske systemer.
Trusselsniveauet er “meget højt”. Hvad er jeres beredskab?
Har du brug for at få testet jeres sikkerhed af nogen udefra? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
