De fleste danske virksomheder, der investerer i et IT-sikkerhedstjek, vælger det forkerte. Ikke fordi de er dumme. Men fordi ingen har fortalt dem, at der er forskel.
Fire tjek. Fire angreb.
Fem virksomheder fik tjekket deres IT-sikkerhed det seneste år. Fire blev hacket alligevel.
Scenarie 1: Penetrationstest uden mennesker
En servicevirksomhed havde fået testet firewall, netværk og servere. Alt var tæt.
Så ringede en venlig stemme til helpdesken: “Hej, jeg er ny i salg, jeg kan ikke logge ind.”
To minutter senere havde hackeren et gyldigt password.
Penetrationstesten fandt nul fejl. Det gjorde hackerne heller ikke. De ringede bare.
Scenarie 2: Revision uden test
Et entreprenørfirma havde fået revideret alle IT-politikker. Flot rapport, grønt lys, nul anmærkninger.
Men da ransomwaren låste alt kl. 4 om natten, stod direktøren med en beredskabsplan fra 2022 og nummeret på en IT-chef, der var stoppet året før.
Revisionen tjekkede, om planen fandtes. Ingen tjekkede, om den virkede.
Scenarie 3: Internt tjek uden leverandør
En finansvirksomhed havde styr på alt internt. Egne systemer hærdede og overvågede.
Men ingen havde tjekket leverandøren, der administrerede firewallen. Da leverandørens cloud-portal blev hacket, lå konfigurationen for 80 kunder åben. Passwords, VPN-adgange, netværkstegninger.
Virksomhedens eget tjek stoppede ved deres egen dør.
Scenarie 4: Awareness uden adfærd
En handelsvirksomhed havde trænet alle medarbejdere i phishing. Klikraten var nede på 3%.
Men en medarbejder gemte firmalogins i browseren på sin private laptop. En infostealer høstede 268 passwords på 40 sekunder. Tre uger senere var alt krypteret.
Phishing-testen viste, at folk kunne genkende en falsk mail. Den viste ikke, hvad de gjorde, når ingen kiggede.
Fire virksomheder. Fire forskellige tjek.
Alle fire troede, de var dækket. Ingen af dem var det.
Hvert tjek testede kun ét ben af sikkerheden og lod resten stå åben.
Alle fire scenarier er baseret på virkelige hændelser fra det seneste år.
Den femte virksomhed
Den femte virksomhed blev også angrebet. Men de opdagede det inden for timer.
Ikke fordi de havde brugt flest penge.
Men fordi de havde testet fem ting: teknikken, mennesket, processerne, leverandøren og deres egen compliance.
De vidste, hvor de var sårbare. Og de vidste, hvad de endnu ikke havde testet.
Det er forskellen
Ikke mellem dem, der bruger mest, og dem, der bruger mindst.
Men mellem dem, der ved hvad de ikke ved, og dem, der finder ud af det den nat, ransomwaren rammer.
58% af danske virksomheder har ikke lavet sikkerhedstests eller øvelser de seneste 12 måneder. Over halvdelen ved ikke, hvilket ben der er åbent.
Tre ting du kan gøre nu
Tag jeres seneste sikkerhedsrapport frem. Testede den teknikken, mennesket, processerne, leverandøren eller compliance? Hvis den kun dækker ét, ved I nu, hvor hullet er.
Spørg jeres leverandør: Hvornår fik I sidst tjekket jeres egen sikkerhed? Hvis de ikke kan svare, er det jeres risiko.
Sæt jer ned som ledelse og stil ét spørgsmål: Hvis vi blev angrebet i nat, ved vi så, hvad der svigter først?
Fem ben. Hvor mange har I testet?
Teknikken. Mennesket. Processerne. Leverandøren. Compliance.
Hvor mange af de fem har I aldrig testet?
Få et tjek der dækker alle fem
En cybersikkerhedsaudit tester alle fem ben: teknisk sikkerhed, menneskelige faktorer, processer og beredskab, leverandørrisiko og compliance. Ikke kun det ene ben, der er nemmest at måle.
Et leverandøraudit stopper ikke ved jeres egen dør. Det kortlægger, om jeres leverandører har styr på deres egen sikkerhed, eller om deres hul bliver jeres problem.
Og en teknisk sikkerhedsgennemgang afslører, om jeres systemer er så tætte, som den sidste rapport påstod, eller om der er huller, som kun bliver fundet af nogen, der kigger efter dem.
Fire virksomheder troede, de var dækket. De var det ikke. Hvor mange ben har I testet?
Har du brug for et sikkerhedstjek, der dækker alle fem ben?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
