Cybersecurity

Den bedste firewall sidder mellem ørerne.

Du kan ikke installere sund fornuft – men du kan træne den.

Mindzeed gør cybersikkerhed sjov, belønnende og overraskende let at lære.

CYBERSECURITY

TILLID I EN ZERO-TRUST VERDEN

Trustworks Cyber Security: ”Teknologi kan beskytte systemer, men det er mennesker, der beskytter tilliden.” 04

PARADIGMESKIFTE I CYBERSIKKERHED

Ifølge Søren Ankerstjerne fra Lean-On skal cybersikkerhed tænkes ind efter Secure by Design principperne. 05

ANDREAS ESPERSEN OM NIS2

NIS2-loven slår én ting fast med krystalklar tydelighed: Det er ledelsen, der har ansvaret for cybersikkerheden. 12

Mindzeed træner dig, før hackerne gør det.

Cybersikkerhed handler ikke kun om teknologi, men om mennesker.

Mindzeed gør det sjovt at lære, let at forstå – og umuligt at glemme.

CYBERSECURITY

Cyber er direktionens ansvar

Cybertruslen er ikke et teknisk problem. Det er et direktionsansvar. Alligevel viser erfaringen, at langt de fleste direktioner står uden reelle krisekompetencer, når virksomheden bliver ramt.

Account Manager

Pasha Zdrinka

Managing Director

Johan Gilbe

Content Coordinator

Maja Friberg

Graphic Design

Emma Brejner

Tekst

Casper Ulsøe Magnus Bjørn Ambye

Omslagsfoto Shutterstock

Distribution

Børsen November 2025

Trykkeri

Bold Printing Malmö, Bold printing Stockholm, Gota Media Borås & Bold Printing Sundsvall. Med forbehold for evt. tryk- og farvefejl.

Følg os @contentwaydk

Contentway

Contentway er specialister i content marketing. Vi hjælper virksomheder med at nå en præcis målgruppe gennem skræddersyet medie. Vi distribuerer relevant information af højeste kvalitet, som med velovervejede og aktuelle emner i fokus skaber og tilbyder den rette medieeksponering til vores kunder.

Kontakt os Contentway A/S Vesterbrogade 10 1620 København

Telefon +45 89 87 10 25

Web contentway.dk

Email info@contentway.dk

”Når et cyberangreb rammer, bliver hele virksomheden sat under pres. Det er ikke IT-chefen, der skal træffe de afgørende beslutninger. Det er direktionen,” siger Michael Sjøberg, stifter og Chief Hostage Negotiator hos Delta Crisis Management.

Han har rådgivet danske og internationale virksomheder gennem et større antal ransomware-sager, hvor direktionen pludselig skal håndtere kriminelle afpressere, mens produktionen står stille og risikoen for lækage af følsomme data lurer.

Ifølge ham er det her, virkeligheden for alvor skiller sig fra planerne på papiret.

”Under to procent af de ledelser, vi har hjulpet, har trænet krisehåndtering på direktionsniveau, inden de er blevet ramt. Langt de fleste direktioner står altså uden værktøjer og praktisk erfaring, når krisen rammer. Og det gør dem mere udsatte for både økonomiske og omdømmemæssige tab,” siger han.

Han peger på, at mange virksomheder i dag har en cyberforsikring, men at forsikringen i sig selv ikke skaber handlekraft.

”En forsikring kan dække tab, men den kan ikke genskabe kontrol. Det kræver ledelse, kommunikation og træning. Det kræver, at direktionen har øvet sig,” siger han.

Michael Sjøberg anbefaler, at direktionen træner i at håndtere cyberangreb i flere spor: IT, kommunikation, jura og gerningsmænd – og at ledelsen øver sig med udgangspunkt i andre virksomheders reelle erfaringer:

”En cyberkrise rammer altid på flere niveauer og har en bred vifte af omkostninger og risici med sig, som man skal forsøge at nedbringe.

Mange undervurderer, hvor hårdt det påvirker ledelsen at stå i en situation, hvor virksomhedens eksistens er truet. Det kræver erfaring at bevare roen og tage de rigtige beslutninger,” siger Michael Sjøberg.

Budskabet er enkelt: Cybersikkerhed starter i direktionen. Ikke som et punkt på dagsordenen, men som en disciplin, man skal mestre.

”Alle kan blive ramt. Forskellen ligger i forberedelsen. De ledelser, der øver sig, er også dem, der kommer bedst igennem. Det handler ikke om held; det handler om parathed.”

Sikkerhed skal tænkes ind i AI fra dag ét

Som en af de første i Norden hjælper Zure virksomheder med at sikre Microsofts nye data-platform, Fabric. For ifølge sikkerhedschef Kim Grönberg kræver fremtidens innovation et stærkt fundament af tillid, governance og kontrol.

Data og kunstig intelligens er blevet rygraden i moderne forretning – men også en kilde til nye risici.

Når data bliver et strategisk aktiv, skal det samtidig beskyttes på et niveau, der matcher betydningen. Zure oplever, at mange organisationer stadig mangler en helhedsforståelse af, hvordan sikkerhed, teknologi og forretning hænger sammen.

”Det kan være udfordrende for dataansvarlige at forstå det komplekse sikkerhedslandskab på moderne dataplatforme. Microsoft Dataplatforme opdateres løbende, og uden passende kontrolmekanismer kan der opstå både risiko for datalækage og reduceret overblik,” udtaler Kim Grönberg, Head of Cybersecurity hos Zure.

Konsulenthuset Zure, der har rødder i Norden og kontorer i flere europæiske lande, har gennemført nogle af de første sikkerhedsvurderinger af Microsoft Fabric-miljøer.

Platformen samler data, integration og analyse på tværs af Microsofts økosystem – men stiller samtidig nye krav til governance og ansvar.

”Fabric udvikler sig hurtigt, og netop derfor skal sikkerheden være på plads fra start. Det er altid dyrere at reparere end at forebygge,” siger Kim Grönberg.

Fra vurdering til bevidsthed I et nyligt projekt gennemførte Zure en teknisk gennemgang af en kundes Fabric-løsning. Det blev en øjenåbner for både IT og forretning.

”Data-platformejeren var en forretningsperson med begrænset teknisk fortåelse. Efter workshoppen forstod han, hvorfor sikkerhed

og adgangsstyring er så afgørende – og fik straks indført de rigtige kontroller,” fortæller Kim Grönberg.

Han oplever, at dialogen mellem forretning, IT og compliance ofte er nøglen til succes.

”Når de tre områder taler sammen, bliver sikkerhed ikke en barriere, men et konkurrenceparameter,” siger han.

AI kræver governance – ikke fri leg Da Microsoft Copilot blev lanceret, opdagede mange, at værktøjet kunne få adgang til langt mere data end forventet. Det er et tydeligt eksempel på, hvorfor AI-projekter skal bygges på klare rammer for dataetik, adgang og kontrol.

”Man skal vide, hvilke AI-værktøjer der bruges, og hvad de har adgang til. Uden kontrol kan man uforvarende gøre Copilot til et angrebsværktøj,” advarer Kim Grönberg.

Han understreger, at AI-sikkerhed og innovation ikke er hinandens modsætninger:

”Hvis man bygger et solidt sikkerhedsfundament tidligt, kan man udvikle hurtigere og med ro i maven. Det er sådan, man skaber tryg innovation.”

For Zure handler det om at klæde virksomheder på til den næste fase, hvor AI bliver en integreret del af driften.

”Om få år vil data- og AI-sikkerhed være en selvstændig disciplin i de fleste organisationer. Vi hjælper dem med at nå dertil allerede nu,” siger han.

OM ZURE

Zure startede tilbage i 2011 og er i dag et nordisk konsulenthus specialiseret i Microsoft-teknologier inden for cloud, data, AI og cybersikkerhed, Microsoft 365og Moder Work løsninger.

Zure trives med komplekse udfordringer og ny teknologi, og kombinerer dyb ekspertise med en no-nonsense-tilgang for at hjælpe virksomheder med at modernisere, innovere og vokse.

KONTAKT ZURE DENMARK

Kenneth Bess Founder of Zure Denmark kenneth.bess@zure.com +45 71 70 6007

Lau Robdrup Business Development Manager lau.robdrup@zure.com +4542777487

Topledelsen skal forstå virksomhedens beredskab

I en tid, hvor cyberangreb og datalæk rammer virksomheder i alle størrelser, er cyberforsikring blevet et varmt emne. Men ifølge Henrik Lind, CEO og medstifter af B4Restore A/S, er forsikring ofte kun et plaster på såret. ”Det, der afgør tabets størrelse, er virksomhedens evne til hurtigt at gendanne driften. For i en digital virkelighed, er håb ikke en strategi –dokumenteret gendannelse er”.

Når Henrik Lind taler om databeskyttelse, gør han det som fortaler for en nødvendig ændring i måden, virksomheder tænker beredskab på.

Som medstifter har han siden 2003 stået i spidsen for den danske virksomhed B4Restore, der arbejder for at gøre restore assurance til en ny standard – hvor virksomheder ikke kun er forsikrede, men beviseligt i stand til at gendanne driften, når alt går galt.

Mange virksomheder anvender en kombination af cloud-services, outsourcing, hybrid infrastruktur, hvor ensartet backup og løbende, realistisk test af beredskabsplaner er vanskelig.

Henrik Lind CEO og medstifter af B4Restore A/S

”De fleste virksomheder har en backup. Men få har testet, om de faktisk kan bruge den, når det virkelig gælder,” siger han.

B4Restore leverer en Data Protection as a Service, hvor beredskabstest og gendannelsesøvelser er inkluderet. Servicen er udviklet og tilpasset virksomheder med høje krav til compliance, sikkerhed og gennemsigtighed.

Senest er B4Restore valgt som leverandør til det internationale forskningsprojekt ITER, med base i Frankrig, hvor 35 nationer samarbejder i jagten på bæredygtig fusionsenergi. Projektets skala er enorm og datamængderne estimeres til op mod 5 exabyte i projektets levetid. B4Restores opgave består i at sikre at disse data altid er beskyttet, tilgængelige og pålidelige – baseret på de højeste internationale standarder, herunder krav om løbende beredskabstest.

Gendannelse først:

Test og stresstest, før angrebet rammer I dag følger de fleste organisationer en klassisk reaktionskæde, når uheldet er ude:

Først ringer man til sin incident response-partner, der isolerer systemerne, analyserer og dokumenterer bruddet – og først derefter forsøger man at få forretningen op at køre igen.

Ifølge Henrik Lind er det her, mange mister dyrebar tid – og i værste fald opdager, at også backup-data er kompromitteret.

”I den traditionelle model ligger den største risiko sidst i processen. Først dér opdager man, at backup’en muligvis også er ramt,” siger han.

B4Restore bygger hele sin tilgang på princippet om ”restore-assurance-first” –hvor genopretningen prioriteres fra start, og driften kan genetableres, mens analyserne stadig er i gang. På den måde bliver gendannelse ikke en tilfældig succes, men en kontrolleret proces.

”Det handler om at vende rækkefølgen: Kom op at køre først, og find årsagen bagefter. For hver time, du står stille, taber du forretning, kunder og tillid,” siger Henrik Lind.

”Der bliver ikke uddannet mange til at arbejde med backup og recovery. Det er sjældent en førsteprioritet,” siger Henrik Lind og tilføjer:

Kernen i løsningen er det såkaldte Isolated Recovery Environment (IRE) – et digitalt “Cleanroom”, hvor backup-data opbevares og gendannes adskilt fra virksomhedens netværk”.

Et beredskab, der kan bevises Kernen i løsningen er det såkaldte Isolated Recovery Environment (IRE) – et digitalt “Cleanroom”, hvor backup-data opbevares og gendannes adskilt fra virksomhedens netværk. Her testes gendannelsen løbende, og B4Restore kan dokumentere, at virksomhedens beredskabsplan fungerer.

”Vi kører øvelser løbende sammen med kunderne, så vi ved, at deres vigtigste systemer kan genopbygges. Det betyder, at ledelsen kan se på et dashboard: Ja, vi kan komme i luften igen. Det er ikke et håb – det er dokumenteret,” forklarer Henrik Lind.

For mange virksomheder betyder det, at de for første gang kan vise deres bestyrelse og forsikringsselskab, at de lever op til kravene i fx NIS2 og DORA – i praksis. Branchen skal følge med og stille krav om testet gendannelseskapacitet – med dokumentation fra faktiske beredskabsøvelser. Det er en udvikling, der også begynder at påvirke forsikringsbranchen, hvor selskaber i stigende grad bør stille krav om testet gendannelseskapacitet, før de tegner dækning.

Ressourcemangel driver behovet for nye løsninger

Mens cybertruslerne vokser, bliver it-kompetencerne mere knappe. At opbygge og vedligeholde et internt backup- og restore-setup kræver både teknisk specialviden, compliance-indsigt og en adskillelse af roller, som de færreste kan leve op til.

”IT-teams ender ofte med få eller samme ressourcer på produktion og backup – og så er virksomheden sårbar ved sygdom, spidsbelastninger og jobskifte.”

Funktionsadskillelse: Den glemte forudsætning for effektiv databeskyttelse

Funktionsadskillelse (Separation of Duties) kombineret med air-gapped backup er en integreret del af B4Restores leverance. Backup-data opbevares med fysisk, logisk og teknologisk adskillelse fra virksomhedens produktionsmiljø og IT-medarbejdere. Det sikrer den mest effektive beskyttelse mod ransomware, insider threats og datakorruption. Dermed slipper virksomhederne for både at opbygge kritisk masse og for at vedligeholde tunge compliance-processer selv.

Separation of Duties er ikke en teknisk detalje, men et strategisk ledelsesansvar. Ved at adskille roller og adgang mellem drift og backup sikrer ledelsen, at ingen enkeltperson eller system kan kompromittere både produktion og gendannelse.

Europæiske datacentre og gennemsigtighed Et andet bevidst valg er, at alle data håndteres i EU-baserede Tier-3-datacentre. For B4Restore handler det både om datasuverænitet og tillid.

“Valget af EU-baserede datacentre handler om datasuverænitet og kontrol – kunderne skal være sikre på, at data ikke kan flyde til uvedkommende myndigheder eller tredjeparter. Derfor holder vi os konsekvent til europæiske datacentre,” siger Henrik Lind.

Samtidig har B4Restore droppet den klassiske model med store investeringer i hardware og software. Kunderne betaler kun for den kapacitet, de bruger. Det giver forudsigelig økonomi – og mulighed for at skalere både op og ned, fra måned til måned.

Mod en ny standard for cyber-resilience Henrik Lind tror, at fremtidens digitale robusthed bliver målt på noget helt konkret: hvor hurtigt man kan komme tilbage i drift. Derfor arbejder B4Restore på at gøre restore assurance til en fælles branche-standard – et objektivt mål for gendannelsesparathed, på linje med ISO-certificeringer.

”I dag spørger forsikringsselskaberne til, om man har immutable backup. I morgen vil de kræve bevis for, at man har testet den – at man faktisk kan gendanne,” siger han.

”Vi forsøger at gøre restore assurance til en ny standard, hvor man kan dokumentere sin modstandsdygtighed. For i sidste ende handler det ikke om at undgå angreb, men om at overleve dem – hurtigt, sikkert og kontrolleret. Når først bestyrelser og forsikringsselskaber begynder at efterspørge restore assurance evidens, bliver tiden til stabil drift en konkurrenceparameter.”

OM B4RESTORE A/S Dansk virksomhed etableret i 2003. B4Restore leverer Data Protection as a Service til offentlige og private kunder samt Managed Service Providers.

• Backup, recovery og business continuity af kritiske systemer og data

• Funktionsadskillelse (fysisk, logisk og teknologisk) og Air-gapped backup

• 24x7 service inkl. overvågning og rapportering samt revisionsspor til compliance

• Regelmæssig test af beredskabsplaner (Business Continuity, IRE, Cleanroom)

• Datalagring på dansk jord i Tier-3 datacentre

• Compliance: ISO 27001/ 22301, ISAE 3402 & 3000 (NIS2/DORA); Kritisk infrastruktur OT/IT

Tillid i en Zero-Trust verden

I en tid, hvor trusselsbilledet vokser, nye EU-regler presser sig på, og virksomheder navigerer mellem stigende kompleksitet og konstant forandring, er cybersikkerhed blevet et ledelsesanliggende på linje med strategi og økonomi.

Men mens mange reagerer på trusler med frygt og kontrol, vælger andre en anden vej: at skabe tryghed gennem tillid.

Bag den tilgang står konsulenthuset Trustworks, der i løbet af blot to år har fordoblet antallet af medarbejdere. Væksten er ikke kommet gennem aggressive salgsstrategier, men gennem tillid og samarbejde – både internt og i relationen til kunderne.

”Vi tror på, at mennesker, der har det godt og arbejder sammen, skaber bedre løsninger end systemer, der styres af frygt,” siger Tanja Kaufmann, der sammen med Andreas Nielsen har ansvaret for Trustworks Cyber Security –internt og med blikket rettet mod markedet.

For dem handler tillid ikke om blind tro, men om tillid til processer, faglighed og mennesker – i fuld overensstemmelse med princippet om ’Zero-Trust’, hvor sikkerhed netop bygges på verificeret adfærd og gennemsigtighed.

”Man kan ikke opbygge stærke organisationer gennem kontrol alene. Det skal vokse ud af faglig respekt og tillid til hinandens dømmekraft,” siger Andreas Nielsen.

Tillidskulturen har givet Trustworks en stærk position i et marked præget af hård konkurrence. Ved at sætte faglighed og samarbejde over standardløsninger har virksomheden skabt sit eget blue ocean i et ellers blodrødt marked –og er i dag en efterspurgt rådgiver for alt fra C20-virksomheder til offentlige myndigheder.

I praksis betyder det, at Trustworks hjælper med at skære gennem kompleksiteten, identificere de mest kritiske risici og prioritere det, der skaber reel effekt – frem for at overgøre indsatsen eller skabe papirtigre.

Et fællesskab bygget på tillid

”Vi er et tillidsbaseret konsulenthus,” forklarer Tanja Kaufmann.

”Ingen individuelle mål, men kollektive

målsætninger. Det betyder, at alle arbejder for det samme – at skabe løsninger, der faktisk virker for kunden.”

Netop fællesskabet og flade strukturer er en vigtig del af virksomhedens identitet. Trustworks er ejerledet, og beslutninger træffes tæt på medarbejdere og kunder.

”Ejerne sidder på gangen – ikke i et bestyrelseslokale,” siger Andreas Nielsen.

Den korte vej fra tanke til handling giver en særlig kultur, hvor alle tager del i ansvaret.

”Når mennesker har tillid til hinanden, tør de dele viden, udfordre beslutninger og finde løsninger sammen. Det er sådan, resiliens opstår,” siger Andreas Nielsen.

Resiliens er mere end et modeord

Resiliens er blevet et buzzword i både erhvervsliv og politik, men det er mere end et smart begreb.

”Resiliens betyder modstandskraft. For os handler det om at kunne modstå både eksterne trusler og interne forandringer – og stadig bevare retningen,” forklarer Tanja Kaufmann.

Hun oplever, at mange virksomheder fokuserer på at beskytte systemer, men glemmer kulturen, der skal bære det.

”Hvis man ikke har processer, der kan tåle fejl og læring, bliver man sårbar – uanset hvor avanceret teknologien er.”

Derfor arbejder Trustworks med at gøre resiliens til en integreret del af organisationen – ikke et enkeltstående projekt.

Realiteten er, at man ikke kan beskytte alt. Derfor handler det om at forstå sin forretning

og vælge, hvor indsatsen gør mest gavn. Ifølge Andreas Nielsen er det netop den erkendelse, der adskiller pragmatisme fra panik – og skaber modstandsdygtighed, der varer længere end næste revision.

Frygt er en dårlig forretningsmodel Når snakken falder på NIS2-direktivet, er tonen både realistisk og kritisk.

”NIS2 er vigtigt og nødvendigt. Men debatten omkring det er alt for præget af frygt,” siger Tanja Kaufmann. Hun oplever, at mange bruger store ressourcer på at overholde krav uden reel effekt – og at nøglen er at skære ind til det, der faktisk gør en forskel.

Frygt er også med til at flytte fokus fra de egentlige risici. Og netop det er ifølge Andreas Nielsen kernen i problemet. Han kalder det FUD – Fear, Uncertainty and Doubt – en mekanisme, der ifølge ham ’skaber pseudoarbejde og dræner både energi og innovation’. Han sammenligner situationen med de første år under GDPR:

”Dengang handlede alt om at undgå bøder. I dag ved vi, at de virksomheder, der gjorde compliance til en strategisk fordel, står stærkere.”

Når IT og OT mødes

Et af Trustworks’ fokusområder er grænsefladen mellem IT og OT – mellem digital infrastruktur og fysisk drift.

”Her opstår nogle af de mest komplekse udfordringer med ledelsens nye ansvar,” siger Andreas Nielsen og uddyber.

”Mange systemer er bygget til at fungere isoleret, men i takt med digitaliseringen bliver alt forbundet – hvis ikke teknisk, så i hvert fald organisatorisk – også de systemer, der styrer energiforsyning, transport og sundhed.”

Han peger på, at tværfaglighed bliver afgørende for at håndtere den udvikling:

”Vi lægger stor vægt på tværfaglighed, og vores One Trustworks-strategi skal sikre, at vi tænker på tværs af kompetencer. Det er afgørende, fordi kunderne både skal håndtere et

øget trusselsbillede og udnytte mulighederne i digitalisering og AI – hvilket kræver samarbejde, tillid og stærk governance.”

Samarbejdet mellem IT og OT kræver ifølge Tanja Kaufmann en ny form for forståelse:

”Vi fungerer ofte som tolk mellem teknikere og ledelse. Når de to verdener forstår hinanden, kan man skabe løsninger, der både er sikre og realistiske.”

Hun peger på, at netop det samarbejde bliver afgørende i fremtidens kritiske infrastruktur.

Mindre kontrol – mere samarbejde Netop samarbejde er et gennemgående tema for Trustworks.

”Danmark er et tillidssamfund, men vi er på vej til at miste det i vores tilgang til sikkerhed,” siger Andreas Nielsen.

Han understreger, at kontrol kan føles trygt, men sjældent skaber langsigtede løsninger.

”Vi skal ikke spænde ben for erhvervslivet i forsøget på at skabe sikkerhed. I stedet skal vi spille hinanden gode – stille klare krav, men give plads til kreativitet.”

Noget Tanja Kaufmann også kan nikke genkendende til.

”Sikkerhed handler i sidste ende om samarbejde. Den bedste løsning er sjældent den mest kontrollerede, men den, hvor alle forstår, hvad de spiller ind med.”

Tillid en vigtig del af sikkerhedslaget Hos Trustworks tror man på, at fremtidens sikkerhed handler om balance mellem teknologi og mennesker.

”Teknologi kan beskytte systemer, men det er mennesker, der beskytter tilliden,” siger Tanja Kaufmann.

For Andreas Nielsen er det netop balancen mellem teknologi og kultur, der gør forskellen.

”Vi vokser hellere langsommere og bevarer vores DNA, end at løbe med på panikken. Resiliens handler om at kende sine værdier og stå fast, når det blæser.”

Geopolitiske trusler driver paradigmeskifte

i cybersikkerhed

Mens geopolitiske spændinger, ny lovgivning og stigende krav til digital sikkerhed ændrer vilkårene for danske virksomheder, står hele it-landskabet over for et paradigmeskifte. Ifølge Søren Ankerstjerne fra Lean-On skal cybersikkerhed og virksomhedernes modstandskraft tænkes ind efter Secure by Design principperne og ikke kun som et ekstra lag eller løbende tilvalg eller indsatser.

Når Søren Ankerstjerne taler om sikkerhed, gør han det både som teknolog og som strateg. Udover at være CEO for den danske tech virksomhed Lean-On A/S, har han været tilknyttet det danske forsvar igennem 31 år

Søren Ankerstjerne CEO, Lean-On

Det handler ikke om at købe mere sikkerhed, men om kultur og vedligeholde de rette valg alle 365 dage om året. Sikkerhed stopper aldrig.

Lean-On A/S er leverandører af en virtuel Cloud platform, der sikkert kan afvikle ressourcekrævende applikationer og opgaver, såsom CAD, HPC og AI. Det sker med en ekstrem høj performance, som streames ud i realtid til brugere over hele verden, imens data forbliver i platformens Secure by Design miljø. Der er dermed intet der kommer ud på lokale enheder eller tilknyttet infrastruktur.

Lean-On leverer til nogle af landets mest samfundskritiske sektorer – herunder energi og produktion og de oplever, at hele måden, vi forstår digital infrastruktur på, er under forandring. Med hovedkontor og produktion i Danmark, samt produktion og afdeling i USA, betjener Lean-On i dag store kunder over store dele af verden – fra Nordamerika til Sydamerika og Europa.

“Vi står midt i et paradigmeskifte. Det er ikke længere techgiganterne, der sætter retningen – det er geopolitiske trusler, offentlige krav og virksomheders risikoprofil,” siger han og peger på, at den digitale sikkerhed i stigende grad er blevet et spørgsmål om national robusthed.

Secure by Design – sikkerhed som fundament Lean-Ons filosofi tager udgangspunkt i princippet Secure by Design. I stedet for at tilføre flere sikkerhedsprodukter eller nye lag af beskyttelse ovenpå gamle systemer, bygger Lean-On sikkerheden ind fra begyndelsen.

“Sikkerhed skal ikke være en eftertanke“ forklarer Søren Ankerstjerne.

Han ser stadig mange organisationer, som først reagerer, når angrebet allerede er sket – i stedet for at forebygge eller gentænke det fundament som deres virksomhed hviler på.

“Det handler ikke altid om at købe mere eller udvikle på tilvalg, men om at træffe robuste valg og vedligeholde de valg 365 dage om året. Sikkerhed stopper aldrig og er ikke et projekt man starter og afslutter, for hvis man ikke implementerer stærke teknologivalg, opdaterer, tester og træner sin organisation, så forsvinder effekten” siger han.

Netop derfor bygger Lean-On løsninger, hvor sikkerheden er strukturelt forankret – og ikke er afhængig af specifikke personer, ad hoc-tiltag eller en it-afdeling som forlod selskabet, da det blev opkøbt.

Et ‘Netflix’ for komplekse systemer og applikationer

Denne tankegang førte til det, Søren kalder et ‘Netflix for ressourcekrævende applikationer’. Konceptet gør det muligt for kunder at tilgå tunge applikationer og ressourcer til supercomputing, såsom AI og simulering, i lighed med en streamingtjeneste – sikkert, fleksibelt og globalt.

“Vi streamer supercomputere og applikationer i realtid – ligesom Netflix, hvor du kun får et billede ud, mens alt foregår bag murene,” forklarer han.

Hele databehandlingen foregår i sikre danske datacentre, mens brugeren kun modtager et krypteret billede. Det betyder, at selv hvis en lokal computer bliver kompromitteret, kan truslen ikke følge med ind i kernen.

“Det giver en helt anden sikkerhedsprofil, hvor man stærkt har reduceret angrebsoverfladen og mulige indgangspunkter for angreb,” siger Søren Ankerstjerne.

Lean-On har netop bygget denne type services til design- og produktionsvirksomheder, samt andre eftertragtede high-value selskaber for cyberkriminelle.

90 procent af alle succesfulde angreb sker i decentral infrastruktur. Lean-On har valgt den modsatte vej – at bygge centralt og sikkert fra bunden.

Nationale krav og globalt pres De seneste år har NIS2-direktivet, AI-forordningen og stigende geopolitiske spændinger

gjort cybersikkerhed til et strategisk anliggende på tværs af brancher. Hvor det tidligere primært var finanssektoren og kritisk infrastruktur, der arbejdede systematisk med sikkerhed, rammer kravene nu langt bredere.

“Man skal kende sin egen plads i det nationale beredskab. Det er ikke kun et spørgsmål om compliance – det handler om ansvar og den use case man løser. Jeg oplever, at mange virksomheder stadig undervurderer, hvor afgørende det bliver at være på forkant, især i selskaber med nye og gamle systemer, der alle udfører forretningskritiske opgaver.

Vi ser en tendens til, at ledelser først reagerer, når de står midt i et problem. Men cybersikkerhed er en operationel – taktisk og strategisk disciplin. Det skal op på direktionsniveau – lige så naturligt som man taler om virksomhedsstrategi, vækst og bæredygtighed,” forklarer Søren.

Ledelsesansvar og kulturændring

At skabe robusthed kræver både teknologi, mennesker og kultur. “Man kan købe sig til systemer, men ikke til sikker kultur eller villigheden til at træffe de svære valg. Det medfører en gang imellem at forretningen også skal ændre forretningsgange og processer. Hvilket kræver forandringsledelse, kommunikation, bevidsthed og ledelsesmæssig opbakning,” siger han.

“Der skal tages beslutninger om risici, ressourcer og prioriteringer. Det er et spørgsmål om at forstå sin rolle i et større økosystem, hvor både virksomheder og offentlige myndigheder er gensidigt afhængige,” siger han.

Danmark kan spille sig selv gode Trods det stigende trusselsniveau ser Søren Ankerstjerne et stort potentiale for Danmark.

“Vi har noget særligt herhjemme – korte beslutningsgange, høj tillid og evnen til at samarbejde hurtigt på tværs af sektorer. Det giver os en fordel, når verden bevæger sig hurtigt,” siger han.

Han mener, at Danmark med sin størrelse og agilitet kan blive et laboratorium for sikker digital infrastruktur.

“Vi har mulighed for at vise, hvordan man kan kombinere innovation og sikkerhed i praksis. Det kræver mod til at tænke nyt og vilje til at handle,” siger han. Lean-Ons ambition er at bygge videre på netop den styrke.

“Vores vision er at blive de største i verden inden for vores felt. Ikke bare som leverandør, men som en trusted partner i den sikre digitale æra. Danmark kan spille sig selv gode – hvis vi tør tage ansvar og gå forrest.”

Når ét klik kan lukke hele virksomheden

EKSPERT

Efterhånden som EU udsender flere direktiver og forordninger, bliver det afgørende for virksomheder at forstå, at målet med compliance ikke kun er at undgå bøder.

Det er derfor vigtigt, at virksomhederne holder tungen lige i munden, og ikke mister overblikket over, hvad meningen og målet med det hele er. Samtidig må vi heller ikke glemme, at den digitale verden ikke sætter farten ned, men blot skruer tempoet op. Det er derfor nødvendigt at være konstant opdateret.

Cybersecurity er især i de senere år blevet et emne, som ikke blot bliver talt om i krogene af IT-afdelinger, men derimod er rykket helt op på øverste ledelsesniveau, under den brede complianceparaply.

Med indførelsen af NIS2-direktivet, hvis mål er at øge modstandsdygtigheden mod cybertrusler, sammen med andre standarder som ISO27001 og CIS 18, stilles der i dag langt højere krav til, at topledelsen forankrer styringen af dette hos sig selv. Dette åbner samtidig en ny mulighed for at bruge compliance som et aktivt styreredskab, der kan skabe

tillid både internt i organisationen og eksternt over for samarbejdspartnere.

At være compliant med gældende reguleringer, handler ikke længere om at undgå bøder, men derimod om at opbygge en kultur, hvor den enkelte medarbejder bidrager til at opretholde organisationens sikkerhed og robusthed. Social engineering såsom phishing og påvirkning af medarbejder er langt den største årsag til brud på cybersikkerheden. Øget robusthed skabes ved, at ledelsen går forrest og indarbejder cybersikkerhed i virksomhedens overordnede strategi helt på linje med økonomi og enhver anden forretningsstrategi.

Det handler om et fælles mindset, hvor alle forstår, at sikkerhed skal tænkes ind i alle beslutninger på alle niveauer. Compliance bliver herved løftet fra at være en omkostningstung kontrolfunktion til at være en servicefunktion, der skaber værdi for virksomheden.

Opgaven for compliance er at arbejde med kulturen og adfærden i virksomhederne for derigennem at skabe udvikling indenfor

cybersikkerhed. Den enkelte medarbejder skal løbende opkvalificeres så sandsynligheden for et brud, hvor udefrakommende får adgang til data mindskes mest muligt.

En kæde er aldrig stærkere end det svageste led. Et enkelt forkert klik på et link i en phishing mail kan få omfattende konsekvenser for virksomheden.

Cybersecurity handler altså i høj grad om gode vaner hos den enkelte, men samtidig skal virksomhederne sørge for at have tilstrækkelige tekniske beskyttelsesforanstaltninger opsat

og indarbejdet i organisationen, så der er svar på forskellige brudscenarier.

I en stadig mere digital verden, hvor AI i de kommende år, må forventes at udvikle sig yderligere, er der ikke tid til at hvile på laurbærrene. Det er derfor vigtigt, at den enkelte virksomhed selv tager central styring, og gør op med fortidens dogmer om, hvordan data skal behandles og beskyttes. De virksomheder, der tager ejerskab over deres sikkerhedsog complianceindsats, vil være bedst rustet til at håndtere de kommende års digitale udfordringer.

Hvilken investering giver mest cybersikkerhed pr. krone?

8 ud af 10 sikkerhedsbrud starter hos medarbejderen. Træning og løbende simuleringer er den hurtigste og billigste vej til at øge virksomhedens it sikkerhedsniveau.

Danmark er blandt verdens mest digitaliserede samfund, men netop derfor også et af de mest sårbare. For selv de mest avancerede sikkerhedssystemer kan ikke beskytte mod en medarbejder, der handler impulsivt.

Mennesket som første forsvarslinje

“Cyber-awareness skal ikke forstås som et teknisk kursus, men som en kommunikationsopgave i forhold alle ansatte i en organisation” fortæller Michael Lauritzen, medejer af Mindzeed. Budskaberne skal formidles i øjenhøjde, så medarbejderne forstår, hvordan sikkerhed hænger sammen med deres egen hverdag.

Mindzeed udvikler læringsforløb, der kombinerer korte træningsmoduler, interaktive quizzer og realistiske phishing-simulationer, som gør træningen vedkommende og kontinuerlig.

“De fleste brud sker, fordi mennesker bliver manipuleret, ikke nødvendigvis fordi teknologien fejler. Awareness-træning er den billigste og mest effektive indsats, man kan lave, og samtidig den, der gør størst forskel,” siger Kim Dalgaard-Duus, ansvarlig for produktudvikling.Menneskelige fejl var årsagen til 82 % af alle sikkerhedsbrud i 2024.

I en tid, hvor hybride konflikter og digitalt bedrag bliver mere udbredt, ser virksomheden en klar tendens: Det svageste led kan også blive det stærkeste, hvis man investerer i det. Men sikkerhed er samtidig svær at kvantificere, påpeger Kim Dalgaard-Duus.

I stedet bliver det en budgetteringsøvelse ud fra devisen: Hvor får jeg mest sikkerhed for mine penge, og her vinder phishing-simulering og awareness-træning.

Fra compliance til kultur

Mange virksomheder ser stadig awareness som et nødvendigt krav for at leve op til de mange relevante compliance-standarder som NIS2, ISO27001, ISO27002, DORA, D-mærket m.fl. og interne politikker. Mindzeed arbejder derimod for at gøre sikkerhed til en naturlig del af virksomhedens kultur. Det handler om at flytte fokus fra systemer til mennesker og fra regler til intuition.

“Vi prøver at få folk væk fra idéen om, at awareness bare er noget, man skal igennem én gang om året for at kunne sætte et flueben. Det handler ikke om at udskamme folk, det handler om at træne adfærd og bygge en god sikkerhedskultur,” siger Michael Lauritzen.

Læringen tilpasses den enkeltes rolle og ansvar, så alle fra direktør til lagermedarbejder bliver bevidste om deres specifikke risici. Samtidig skal den være enkel, kontinuerlig og relevant, så den bliver en fast del af arbejdsrytmen i stedet for et årligt kursus, fordi viden eroderer.

Den tilgang vinder indpas i takt med, at både kunder, bestyrelser og forsikringsselskaber begynder at kræve dokumenteret træning som en del af forretningsgrundlaget, og i mange brancher er det nu et fast punkt i kontrakterne.

AI og læring med mennesket i centrum Kunstig intelligens gør det muligt at skræddersy læring og måle, hvordan viden udvikler sig over tid.

Mindzeeds egen Mindzeed Score kan analysere, hvor medarbejdere mister opmærksomheden, og tilpasse træningen derefter.

Men teknologien er kun et værktøj, pointerer Kim Dalgaard-Duus.

“Så længe mennesker er involveret, vil de være den største risikofaktor, og det vil hackerne altid udnytte. Derfor vil frontlinjen i cybersikkerhed altid handle om et mix af teknologisk og systemisk udvikling i kombination med menneskelig adfærdsforståelse.”

Strategisk compliance som vækstmotor

I takt med at cybertruslerne vokser, og nye EU-regler som NIS2 stiller skærpede krav, bliver compliance ikke længere kun et spørgsmål om kontrol. Flere virksomheder begynder at bruge det strategisk – som en investering i robusthed, tillid og forretningsmæssig vækst. Hos Leave A Mark hjælper man bestyrelser og ledelser med at gøre compliance til et aktiv, ikke en byrde.

Fra kundekrav til ledelsesansvar

Med over 25 års erfaring inden for IT-sikkerhed og governance ved Claus Thomsen, hvad han taler om.

Som partner i Leave A Mark har han hjulpet virksomheder med at implementere standarder som ISO 27001 og gjort compliance til et strategisk ledelsesværktøj.

Risiko som ledelsesværktøj

Et centralt element i strategisk compliance er risikostyring. For mange virksomheder er det en ny disciplin – men også et af de mest værdifulde redskaber:

“For fem-seks år siden var standarder som ISO 27001 mest et kundekrav. I dag er de både kundedrevne og lovgivningsdrevne – og det betyder, at sikkerhed og governance er rykket op på direktionsgangen,” siger han.

Hos Leave A Mark oplever de, at flere bestyrelser begynder at interessere sig for cybersikkerhed og risikostyring på linje med økonomi og drift. Det, der tidligere lå nede i IT-afdelingen, er nu et strategisk spørgsmål.

“Vi kan mærke, at der er kommet et helt andet fokus. Ledelsen ser ikke længere sikkerhed som en teknisk disciplin, men som en del af virksomhedens fremtidige vækst.”

Vejen fra byrde til konkurrencefordel

Compliance har længe haft ry for at være tungt og ressourcekrævende. Men ifølge Claus Thomsen er det netop her, mange virksomheder tager fejl.

“Man skal se det som en forsikring. Alle har en brandforsikring, som man håber aldrig at bruge – men den giver tryghed. Det er det samme med cybersikkerhed. Implementeret rigtigt giver det god sikkerhed, som en forsikring, men derudover kan det øge kvaliteten og give en bedre forretning.”

Han oplever, at mange ledelser først betragter arbejdet som en byrde, men ændrer holdning, når de ser resultaterne.

“Efter nogle måneder begynder de at se, at investeringerne giver værdi – og at standarderne faktisk understøtter vækst,” fortæller han.

“Risikovurderinger handler om rettidig omhu. Når ledelsen lærer at arbejde systematisk med risici, får de et bedre grundlag for at prioritere og skabe en mere robust forretning.”

Han peger dog på en flaskehals: “Der mangler kvalificerede kræfter i markedet. Det tager tid at opbygge de kompetencer, men dem der lykkes, får et kæmpe forspring.”

Når compliance bliver en vækstdriver Hos Leave A Mark kaldes tilgangen strategisk compliance – en model, der kobler sikkerhed, governance og forretning i ét samlet perspektiv.

“Klassisk compliance handler om at leve op til loven. Strategisk compliance handler om at bruge det aktivt til vækst og fremtidige kundebehov,” siger Claus Thomsen.

Han nævner et konkret eksempel: En mellemstor virksomhed, der efter fire års samarbejde nu har øget omsætningen med 50 procent.

“De gik fra SMV-kunder til store internationale kunder, fordi de kunne dokumentere, at de efterlevede de samme standarder som de store spillere,” fortæller han.

Ledelse, ansvar og nye kompetencer De nye EU-lovkrav som NIS2 og DORA placerer ansvaret for cybersikkerhed hos ledelsen og bestyrelsen. Det kræver nye kompetencer og et andet mindset.

“Lovgivningen siger direkte, at bestyrelsen skal have uddannelse på området. Det tvinger mange til at se compliance som en strategisk opgave – ikke blot en rapporteringspligt.”

Claus Thomsen peger også på brancher som traditionel produktion, hvor sikkerhed traditionelt forstås snævert som fysisk sikkerhed.

Informationssikkerhed handler ikke kun om IT, men lige så meget om de fysiske rammer.

”Vi hjælper også med at sikre, at virksomheder kan blive certificeret på deres fysiske sikkerhed – for adgang til følsomme data kan ske på mange måder, som for eksempel via indsyn til en skærm, der vender mod et vindue”

Hands-on erfaring

– uden PowerPoint-konsulenter

En vigtig del af Leave a marks profil er den praktiske tilgang.

“Vi er ikke et PowerPoint-konsulenthus,” siger Claus Thomsen med et smil.

“Vi har folk, der selv kan sætte servere op, skrive procedurerne – og implementere dem.

Vores team har 15–20 års erfaring fra den virkelige verden. Vi ved, hvad der virker i praksis, og har sikret gennemførelse af mere end 50 certificering og re-certificeringer”

Den tekniske tyngde gør, at Leave A Mark ofte følger kunden fra start til slut – fra strategi til konkret implementering.

“Vi henter ikke nye konsulenter ind for hver opgave. Det er faste folk, der kender kunderne og deres forretning.”

Et blik mod fremtiden

Claus Thomsen tror, at grænserne mellem compliance, ESG og digitalisering gradvist vil forsvinde.

“I dag arbejder mange i siloer – men vi vil se en fremtid, hvor governance og compliance bliver ét samlet styringsfelt. Code of conduct

dækker allerede langt mere end for få år siden.”

Han ser også et stort potentiale i AI og automatisering, som kan effektivisere processer og fjerne dobbeltarbejde.

“AI kan samle data og sikre bedre overblik. Men tilliden skal følge med – så certificering og ekstern validering vil stadig være nødvendige.”

Leave a marks vision På længere sigt håber han, at Leave

A Mark kan bidrage til at skabe fælles standarder og retningslinjer på tværs af landegrænser.

“Ligesom GDPR blev indført for at beskytte persondata og skabe fælles rammer for sikker udveksling på tværs af EU, bør nye standarder sikre, at vi alle spiller efter de samme regler,” siger Claus Thomsen.

Særligt vil han gerne styrke de små og mellemstore virksomheder, som ofte mangler ressourcerne til at komme i mål.

“De store har afdelinger og kapital – men de mindre kæmper med kravene. Vi vil gerne gøre det muligt for dem at konkurrere på lige vilkår. Det er dér, vi virkelig kan gøre en forskel,” siger han.

LEAVE A MARK CONSULTING GROUP Dansk konsulenthus med speciale i strategisk compliance, cybersikkerhed og governance.

Hjælper bestyrelser og ledelser med at omsætte lovkrav til forretningsstrategier, der styrker robusthed, tillid og vækst, samt implementere sikkerhedsstandarder.

Manglende digitalt beredskab er en invitation ind i dine systemer

I en tid med øget oprustning og intensiveret fokus på beredskab, er det digitale beredskab lige så afgørende. Et enkelt nedbrud på kritisk infrastruktur kan lamme og koste dyrt. IT-virksomheden Aeven anbefaler at kritiske data sikres i danske datacentre, mens fleksibiliteten bevares i cloud.

Staten, organisationer og virksomheder har aldrig været mere digitale i Danmark – og dermed aldrig mere sårbare over for cybertrusler. Hver ny integration, cloud-løsning og applikation øger både effektiviteten, men også risikoen. For der findes altid aktører, der leder efter huller i vores sikkerhed.

Det kan være kriminelle organisationer, der forsøger at presse penge ud af virksomheder gennem ransomware. Det kan også være stater, der i usikre tider bruger cyberangreb til at skabe forstyrrelser og usikkerhed i vores samfund gennem hybrid krigsførelse. Men at reagere når skaden er sket, svarer til at installere brandalarmen efter branden.

“Som samfund er vi inderligt afhængige af, at de digitale processer fungerer. Men når nogen kaster grus i det digitale maskineri, kan det få store konsekvenser,” siger Bjarke Alling, der er Chief Information Security Officer (CISO) i den danske IT- og cloudvirksomhed Aeven.

Nedbrud, hackerangreb eller konsekvenser af geopolitiske konflikter kan i løbet af få timer sætte en virksomhed ud af spillet – med milliontab til følge. Data er en strategisk og forretningskritisk brik, som ingen har råd til at gamble med.

“I dag kan et enkelt nedbrud koste virksomheder millioner i tabt omsætning og tillid. Derfor handler det ikke om at reagere, når skaden er sket – men om at være på forkant,” forklarer han.

Digital suverænitet er ikke længere et valg Når virksomheder i dag er dybt afhængige af digitale systemer, bliver spørgsmålet om digital suverænitet centralt. Det handler om fuld kontrol over sine mest kritiske data: Hvor ligger de? Hvem har adgang? Og kan virksomheden selv tilgå dem, hvis krisen rammer?

“Hvis du ikke har styr på, hvor dine data befinder sig, og hvordan du kan få adgang til dem i en krisesituation, så er du reelt sat ud af spillet. Digitale systemer og data er fundamentet for enhver moderne virksomhed,” siger Bjarke Alling.

Hos Aeven opfordrer man derfor stadigt flere virksomheder – fra de store koncerner til de mindre organisationer – til at vælge hybride løsninger. Her placeres de mest forretningskritiske data i sikre, danske datacentre, mens mindre kritiske applikationer kan ligge i skyen. På den måde får virksomheden både robusthed og agilitet.

Sikkerhed starter med indsigt Når snakken falder på cybersikkerhed, er det vigtigt at finde en balance mellem sikkerhed og åbenhed. Det kunne være fristende at tænke i mure og isolation – jo højere og tykke vægge, jo tryggere. Men sådan fungerer den digitale verden ikke og det er heller ikke en holdbar strategi for virksomheder, hvis forretning afhænger af at de er agile og konkurrencedygtige.

“Virksomheder kan ikke bare lukke sig om sig selv, fordi truslerne vokser. Det bliver man ikke mindre sårbar af,” siger Sara Stendevad, der er kommunikationsdirektør i Aeven.

Hun peger på, at sikkerhed kræver overblik og prioritering. “Det afgørende er at opbygge tillid til de systemer og samarbejder, man indgår i og at have gennemsigtighed i, hvordan data flyder. Hvis man tror, at sikkerhed kun handler om at holde alt ude, spænder man ben for sin egen udvikling,” understreger hun.

Du kan ikke beskytte det, du ikke forstår

For mange virksomheder er udfordringen ikke kun truslerne udefra, men også kompleksiteten indefra. IT-landskaber er ofte vokset lag på lag gennem årene og mange IT-chefer har arvet systemer, der knirker i krogene. Resultatet er, at det kan være svært at se, hvor de største risici ligger.

“Vi møder ofte virksomheder, der ikke har et fuldstændigt overblik over deres digitale landskab. Det er ikke fordi, de ikke vil, men fordi udviklingen er gået så stærkt. Uden overblik bliver det dog svært at prioritere og sikre de mest kritiske områder,” siger Sara Stendevad.

Hun fremhæver risikoanalysen som et fornuftigt første skridt: Hvilke data kan virksomheden ikke undvære? Hvad sker der, hvis en bestemt applikation går ned eller data bliver utilgængelig? Og hvor hurtigt skal man kunne komme op at køre igen?

“Når man får kortlagt, hvad der er helt essentielt for forretningens drift, bliver det også nemmere at tage de rigtige beslutninger,” siger hun.

Et hybridt sikkerhedsnet

Hos Aeven arbejder man netop med denne tilgang. Virksomheden rådgiver kunderne om hybride setups og hjælper dem med at kortlægge deres digitale landskab, gennemføre

risikoanalyser og identificere de områder, hvor sikkerhed er mest afgørende. På den baggrund kan der etableres et hybridt sikkerhedsnet, hvor de mest kritiske data placeres i danske datacentre tæt på virksomheden, mens mindre kritiske applikationer kan køre i public cloud.

“Det handler ikke om frygt, men om forberedelse. Uden det risikerer virksomheder at blive de svageste led i en kæde, som andre er afhængige af,” siger Sara Stendevad.

På den måde får virksomhederne ikke blot en stærkere beskyttelse mod nutidens og fremtidens trusler – de får også et digitalt afsæt til at udvikle sig på en sikker og bæredygtig måde.

FRA ILLUSION TIL INDSIGT Sådan sikrer danske virksomheder kontrol over

deres

IT-infrastruktur under NIS2

Danske virksomheder risikerer bøder og tab af troværdighed, hvis de ikke kan dokumentere deres IT-sikkerhed. Hos danske

BiitOps ser man et skifte fra papirpolitikker til operationel virkelighed – og løsningen er automatiseret, verificeret data.

Forestil dig, at du skal træffe en beslutning til flere millioner kroner om din IT-infrastruktur. Problemet er bare, at du ikke med sikkerhed ved, hvad der egentlig gemmer sig under overfladen. Desværre er det virkeligheden hos mange danske virksomheder.

"Alt for ofte er data fyldt med huller, fejl og gamle oplysninger. Virksomheder tror, de har styr på det, men i praksis er der en farlig illusion af kontrol," siger Michael Busack Bertelsen, der er CEO og partner i den danske softwarevirksomhed BiitOps.

Han peger på det såkaldte compliance-gab: På papiret er der tydelige policies om månedlige patches og kontrolleret adgang. Men i den operationelle virkelighed er servere ofte måneder bagud på opdateringer, brugere har stadig lokale administratorrettigheder og kritiske certificates er udløbet, uden at nogen vidste det.

"Gabet skyldes ikke dårlige intentioner. Problemet er, at IT-teams typisk ikke har værktøjer der løbende dokumenterer den faktiske tilstand – de skal manuelt indsamle data når det pludseligt bliver brug for det," forklarer Michael Busack Bertelsen.

Nyt EU-direktiv skærper kravene Med EU's NIS2-direktiv, der trådte i kraft i Danmark i oktober 2024, er status quo ikke længere en mulighed. Direktivet udvider antallet af omfattede virksomheder og ændrer også fundamentalt, hvad der forventes af virksomhedernes indsigt i deres IT-infrastruktur.

Tidligere var det nok at have en beskrevet sikkerhedspolitik, men nu skal man kunne dokumentere, at politikkerne kontinuerligt efterleves. Og konsekvenserne er ganske alvorlige: Bøder på op til 2 procent af den globale omsætning eller 10 millioner euro.

Samtidig indføres der personligt ansvar for ledelsen, hvilket betyder at compliance ikke længere kun er en IT-disciplin – det er et strategisk ledelsesansvar.

"Nu skal virksomhederne kunne bevise, præcis hvilke systemer der mangler opdateringer og hvornår hullerne opstod. Det kan faktisk være et problem hos mange virksomheder," forklarer Jonas Errebo, der er CTO hos BiitOps.

Komplet overblik – fra historik til handling Hos BiitOps har de udviklet software, der omsætter de teoretiske policies til dokumenteret virkelighed. Dermed får virksomhederne et stærkt fundament for operationel compliance og understøtter væsentlige dele af NIS2-direktivet.

BiitOps' DataEngine indsamler tusindvis af datapunkter fra servere, klienter og services. Data gemmes i en datalake med fuld historik, hvor hver oplysning får et dobbelttidsstempel: Både hvornår den blev indsamlet og hvornår det senest er verificeret, at værdien ikke er ændret.

Med BiitOps kan man øjeblikkeligt se, hvilke servere der mangler sikkerhedsopdateringer –sorteret efter kritikalitet. Samtidig gør BiitOps det muligt at se præcist, hvordan en server var konfigureret for måneder siden – og dokumentere alle ændringer i mellemtiden.

Derudover gør BiitOps det muligt at definere et Desired State – en ønsket konfigurationstilstand for hvordan systemer skal være sat op ifølge virksomhedens egne standarder. Systemet sammenligner automatisk virkeligheden med disse standarder og fremhæver afvigelser, så man kan handle proaktivt, før små fejl udvikler sig til store problemer.

Fra bøder til besparelser Dermed får virksomheder hurtigt et overblik over deres IT-infrastruktur – og samtidig kan de frigive vigtige timer til andre, forretningskritiske formål. Det er netop den transformation, BiitOps fremhæver:

Fra en hverdag, hvor 70 procent af tiden hos en IT-afdeling kan gå med brandslukning, til en situation, hvor de i stedet arbejder proaktivt, strategisk og værdiskabende.

"Vi er ikke en erstatning for kundens eksisterende management-værktøjer. Værktøjer som SCCM eller Intune er bygget til at ændre konfigurationer, mens BiitOps er bygget til at verificere, hvad der faktisk er implementeret. Så når man tror, man har styr på det – så kan vi bekræfte, om det virkelig passer," siger Jonas Errebo.

Implementeringen går hurtigt. De fleste kunder er operationelle inden for få timer efter installation af BiitOps' software.

"Vores kunder oplever, at noget der før tog dage, nu tager minutter. Det handler om frigjorte timer, ro i hverdagen og en helt ny form for kontrol," fortæller Michael Busack Bertelsen.

Datasuverænitet og multi-framework support Et andet centralt element i BiitOps' filosofi er datakontrol. Hvor mange løsninger leveres som en cloudtjeneste, installeres BiitOps i kundens eget miljø, så de altid bevarer datasuveræniteten.

Alle data forbliver i kundens eget miljø, hvor kunden selv kontrollerer hvem der har adgang.

Samtidig opererer BiitOps' data collector i en ren read-only tilstand. Systemet indsamler kun data og kan aldrig ændre konfigurationer på kundens servere eller klienter, hvilket betyder nul risiko for driftsforstyrrelser.

"For mange virksomheder er datasuverænitet blevet et afgørende parameter," siger BiitOpsCEO Michael Busack Bertelsen.

Derudover kan de samme data genbruges til flere compliance-rammer som NIS2, DORA og ISO 27001, så virksomheden undgår dobbeltarbejde og får én samlet sandhedskilde.

Fra gætværk til viden

Med stigende cybertrusler og hurtigere angrebsvektorer bliver det kun vigtigere, at man har helt styr på sine data og historik.

Da en dansk organisation blev ramt af et zero-day angreb, blev BiitOps' data afgørende efter hændelsen var afdækket. Med både historiske ændringer og aktuel tilstand kunne sikkerhedseksperterne hurtigt se det fulde omfang og sikre grundig oprydning – en proces, der normalt ville tage dage, blev reduceret til timer.

I sidste ende handler det hele om at gå fra gætværk til sikker viden.

"Det afgørende for enhver virksomhed er at kunne besvare dette spørgsmål: Kan I dokumentere jeres IT-sikkerhed i dag – eller gætter I stadig?" siger Michael Busack Bertelsen.

IDA er fagforeningen for 175.000 professionelle inden for ingeniørskab, naturvidenskab og it.

ida.dk/hvem

HVEM SKAL BESKYTTE OS MOD HACKERNE

?Cyberangreb er et nyt vilkår i vores samfund. Vi er i konstant kamp mod verdens hackere, der svindler borgere, afpresser virksomheder, angriber infrastruktur og spreder organiseret misinformation.

Det er et kapløb på teknologi og viden, som vi ikke må tabe. I en ny geopolitisk virkelighed er cybersikkerhed vigtigere end nogensinde. Danmark og Europa skal kunne beskytte sig selv digitalt.

Derfor skal vi uddanne flere og forske mere inden for naturvidenskab og teknologi. Vi får brug for mange kloge hoveder, så vi kan komme trygt ind i fremtiden.

Træk stikket

It-sikkerhed er i dag et kritisk konkurrenceparameter. En differentiator, som afgør, hvem der overlever. Mange virksomheder har dog ikke ressourcerne til at opretholde det nødvendige beredskab – og tiden til at handle på sårbarheder. Derfor er sikkerhed som service i høj kurs, og flere vælger at abonnere på et security-team. Og udgiften? Den er til enhver tid mindre end omkostningerne ved et angreb.

At sikkerhed i dag er et konkurrenceparameter, bør ifølge Niels Vejrup Pedersen, Technology Lead i Danoffice IT, få flere til at tage et reality-tjek.

”I dag bliver man som virksomhed benchmarket på, om man har styr på sit skidt, for at sige det lige ud. Særligt, hvis du er leverandør af eller til kritisk infrastruktur eller følsom produktion, så er det helt givet, at dit security-level forudsætter din konkurrenceevne. Du vil ganske enkelt blive målt på det”, fortæller han og fortsætter:

”For at lykkes kræver det dyb indsigt, stort overblik og de rette værktøjer. Selv i store, stærke koncerner er det et kæmpe arbejde, og derfor skal man se sig selv og sine kunder i øjnene og se realistisk på, hvad man evner selv”.

Folk med onde hensigter arbejder ikke 8 til 16

Den globale, danske it-leverandør, Danoffice IT, har i tre årtier fulgt sikkerhedsudviklingen fra tætteste hold, og her er holdningen entydigt, at man som virksomhed skal kende sin begrænsning.

”Som konsulenthus arbejder vi altid for, at vores kunder står stærkest muligt, for truslen er reel og konstant”, fortæller Anders Wittendorff, Lead Architect i Danoffice IT.

”Virkeligheden skal indfinde sig, og man skal – for forretningens skyld – erkende, hvor langt ens kapacitet rækker”.

Anders understreger også, at man skal være vågen for at kunne matche truslerne i dag:

”Folk med onde hensigter arbejder ikke 8 til 16. Det betyder, at man er nødt til at være på 24/7. Her må vi bare erkende, at det er meget få virksomheder, som faktisk kan efterleve dette. Derfor handler det om at stille det rette hold og lægge den rette strategi frem for at handle over evne og risikere drift og forretning”, lyder det.

Sikkerhedsafdeling på abonnement

Hvor de største og økonomisk tungeste selskaber har overskud til egne security-afdelinger, kniber det mere, når vi ser på det enorme hav af små, mellemstore og store virksomheder.

”I Danoffice IT har vi skabt en alliance med Arctic Wolf, som er globalt førende udbyder af Security Operations løsninger. Lidt forenklet kan man kalde det en sikkerhedsafdeling på et abonnement”, fortæller Anders og uddyber, at der for nogle kan være en barriere i forhold til at lægge sikkerheden i hænderne på eksterne. Men ifølge ham, er der ofte ikke andre muligheder.

”Mange ved ikke, at der helt bogstaveligt følger en sikkerhedsafdeling med. Pludselig har virksomheden et eksternt security-team, som konstant vurderer, hvordan man skal prioritere, og hvilke kritiske sårbarheder, som skal lukkes. De ser truslerne og tendenserne på tværs, hvilket giver et overblik, man ikke selv vil kunne skabe”.

Luk og sluk

Overblikket over en virksomheds it-infrastruktur er i sig selv en opgave, som mange må give op på, fortæller Niels Vejrup Pedersen.

”Vi ser alt for ofte, at virksomheder simpelthen ikke ved, hvad de har, og dermed ved de ikke, om der er sårbarheder”.

Anders Wittendorff er enig og supplerer: ”Har du ikke tiden til at holde dit udstyr sikkert, så træk stikket og sluk for det”, fortæller han.

”Vi lever i en tid, hvor vi skal se på tid på en ny måde. Tid holdt op imod sårbarheder. Alle it-systemer, store som små, skal opdateres –eller patches som det hedder i vores verden. Men vi må bare konstatere, at selv efter mange år med digitale trusler, så er vi stadig for dårlige til at lukke hullerne i vores sikkerhed. Ethvert lille hul er en sårbarhed, og hvis man ikke har tid til at gøre noget ved det, så skal man slukke for udstyret – og indhente hjælp. Konsekvenserne er ganske enkelt for store”.

1,2 billioner trusler dagligt

Hos den globalt førende udbyder af Security Operations Center-løsninger, Arctic Wolf, genkender man efterspørgslen på eksterne sikkerheds-services, fortæller Field CTO, Christopher Fielder. Ifølge ham skal deres succes findes i krydsfeltet mellem teknologi og mennesker.

”Vi skiller os ud inden for cybersikkerhed ved at tilbyde en blanding af teknologi, menneskelig ekspertise og strategisk vejledning, som går skridtet videre end traditionelle sikkerhedsløsninger. Vi tildeler dedikerede sikkerhedseksperter til hver kunde, som fungerer som en forlængelse af kundens eget sikkerhedsteam”, siger han og understreger, at der er nok at se til:

”Vores Aurora-platform behandler over 1,2 billioner trusselssignaler dagligt”.

Sikkerhed må ikke bo i en silo Hos Danoffice IT har man – måske mod forventning – ikke en dedikeret sikkerhedsafdeling. Her er sikkerhed i stedet et tværgående element i hele forretningen.

”Vi tager vores egen medicin og arbejder med stærke alliancer. Det gør vi for at være et godt eksempel for vores kunder i hele verden”, fortæller Jeanette Nielsen, som er Vice President for Solutions & Services i Danoffice IT.

”En virksomheds modstandsdygtighed er defineret af, hvor stærkt forankret bevidstheden om den gode sikkerhed er. Alle er ansvarlige for sikkerheden, og derfor må den aldrig kun bo i en silo. Hverken internt eller eksternt. Bevidstheden skal bæres ind i hele organisationen af det rette team, og her vil en alliance med specialiserede eksterne kræfter kunne gøre en vigtig forskel for mange”, afslutter hun.

ANDREAS ESPERSEN, DI DIGITAL

NIS2: Ikke en compliance-øvelse – men en kulturændring

NIS2-loven slår én ting fast med krystalklar tydelighed: Det er ledelsen, der har ansvaret for cybersikkerheden – ikke it-afdelingen. Ikke jura. Ikke compliance. Opgaver kan uddelegeres, men ansvaret kan ikke. Punktum.

Alligevel bliver NIS2 nogle steder set på og behandlet som endnu en tjekliste, der skal udfyldes for at komme videre. Det er en fundamental misforståelse. Selvom det måske kan føles sådan, så er NIS2 ikke skabt for at tilfredsstille tilsynsmyndigheder.

NIS2-lovens § 6, § 7 og § 9 handler ikke bare om regler – de handler om ansvar, modenhed og integreret risikostyring.

Ifølge de tekniske implementeringsanbefalinger fra både Styrelsen for Samfundssikkerhed og EU’s agentur for cybersikkerhed, ENISA, skal cybersikkerhed ind i rygraden af ledelse, forretningsmodeller og driftskultur.

Tager man fejl og tror, det handler om papir og processer, overser man det egentlige sigte, og – måske endnu mere ærgerligt – man går glip af den helt nødvendige forandring, som alle organisationer desværre er tvunget til at foretage som følge af den stadigt stigende cybertrussel: Et strukturelt løft af hele organisationens evne til at stå imod truslerne – og til at reagere professionelt, når (ikke hvis) en hændelse indtræffer.

Alle organisationer bør derfor være opmærksomme på ikke at ”falde i” og ty til compliance-tænkning – uanset hvor naturligt det kan være, når der kommer noget nyt og ubelejligt, man som organisation er tvunget af lovgivning til at forholde sig til.

Tre symptomer på "compliance-tænkning"

1. Cybersikkerhed gøres til et it-anliggende – ikke et forretningsanliggende.

2. Fokus er på dokumentation – ikke på effekt.

3. Ledelsen involveres kun ved rapportering – ikke ved beslutning om risici og foranstaltninger.

Tre pejlemærker for "kulturforankring"

1. Bestyrelsen ejer cybersikkerhedspolitikken – de skriver ikke bare under.

2. Risikostyring integreres med strategiske mål – den gemmes ikke bare i et Excel-ark.

3. Foranstaltninger evalueres ud fra faktisk modstandskraft – ikke formel overensstemmelse.

NIS2-implementering er en omfattende øvelse, der kræver en risikobaseret tilgang, med tydelig rollefordeling, ansvarlig ledelsesinvolvering og løbende opfølgning på modenhedsniveau.

Det kalder på et nyt mindset, hvor cybersikkerhed behandles som et konkurrenceparameter, ikke en byrde.

Et mindset hvor man spørger: Hvordan måler vi faktisk effekt – ikke bare indsats? Hvilken adfærd vil vi ændre i vores kultur? Og hvem i ledelsen har faktisk ejerskab over vores cybersikkerhed?

NIS2 må ikke blive endnu en complianceøvelse og endnu et audit. Det er på en trist baggrund, men NIS2 skal blive katalysatoren for den kulturændring der desværre er helt nødvendig. Det kræver trusselsbilledet af os.

Compliance uden frygt: Når regler bliver en del af kulturen

I mange danske virksomheder bliver compliance stadig drevet af frygt – for bøder, hackerangreb og fejl, der kan koste dyrt. Men hos Lex Futura mener direktør Charlotte Bagger Tranberg, at compliance i virkeligheden handler om det modsatte: tryghed og tillid. For når regler bliver forståelige, visuelle og forankret i kulturen, bliver de ikke en byrde – men en naturlig del af driften.

Hos en startupvirksomhed i Aarhus bliver jura omsat til tegninger, modeller og korte fortællinger, der gør komplekse regler forståelige. Her handler compliance ikke om paragraffer og dokumenter, men om mennesker, kultur og kommunikation.

Jurister og teknologer sidder side om side –og netop i spændingsfeltet mellem jura og IT forsøger Lex Futura at bygge bro mellem lovgivningens kompleksitet og organisationers virkelighed.

“Vi har dyb viden om juraen – det ligger i vores DNA – men vi har også folk, der forstår teknologi helt ned i detaljen. Det betyder, at vi kan rådgive både ledelser, IT-folk, jurister og kommunikationsafdelinger på én gang,” siger Charlotte Bagger Tranberg.

Navnet Lex Futura betyder “fremtidens regler”. Og det er præcis det, virksomheden arbejder med: at hjælpe organisationer med at navigere i et digitalt landskab, hvor jura, teknologi og adfærd i højere og højere grad bliver uløseligt forbundet.

Compliance er en license to operate Når Charlotte Bagger Tranberg taler om compliance, gør hun det som et spørgsmål om ansvar – ikke administration.

Hos Lex Futura ser man det som et grundvilkår for moderne virksomheder: en “license to operate”.

“Da GDPR skulle implementeres var der mange, der tænkte: Vi har en DPO (Data Protection Officer), så er den hjemme. Men compliance kan ikke outsources – det skal forankres i ledelsen,” siger hun.

Hun oplever ofte, at ledelser bliver motiveret af frygt for bøder eller cyberangreb, men det er en kortsigtet strategi:

“Frygt skaber ikke god compliance – forståelse gør. Hvis medarbejdere og kunder ikke har tillid til, at vi passer på deres data, mister vi noget fundamentalt. Tillid er selve brændstoffet i det digitale samfund.”

Dokumentpakker skaber ikke compliance Mange organisationer tror stadig, at compliance kan købes i færdigpakker – et katalog af politikker og dokumenter.

Men ifølge Lex Futuras seneste tilføjelse til rådgiverteamet, Asger Borg Lund, er det en illusion:

“En mappe med procedurer skaber ikke compliance af sig selv. Den skal oversættes til handling – til noget, medarbejderne faktisk forstår og kan bruge,” siger han.

Lex Futura går derfor tættere på sine kunder end de fleste rådgivere. De hjælper med at tilpasse løsninger, få tekniske og juridiske kompetencer til at mødes – og skabe reelle, operationelle forbedringer.

Fra tekst til handling – og til video Hos Lex Futura er regler ikke bare noget, man læser – men noget, man kan se, høre og forstå. Derfor har virksomheden udviklet en videoplatform med næsten 100 korte klip, der oversætter jura til praksis og guider brugerne gennem EU-domme og tilsynssager.

“Vi ved, at mennesker ikke lærer af 20 sider tekst. De lærer af noget, de kan se, høre og relatere til,” siger Charlotte.

Samtidig producerer virksomheden explainer-videoer for kunder – små film, hvor komplekse krav bliver forklaret med grafik og eksempler fra virkeligheden. Flere virksomheder bruger allerede videoerne som en fast del af intern træning, og Charlotte oplever, at formatet skaber både forståelse og engagement.

“Vi er nærmest blevet vores egen lille filmproduktion. Når fagligheder mødes, bliver reglerne til noget, folk faktisk husker.”

Teknologi som medspiller

Lex Futura bruger også teknologi aktivt i sit eget arbejde. Deres nye værktøj TAACS –Tracking and Auditing AI and Cloud Solutions hjælper virksomheder med at holde styr på compliance i realtid. Hvis en leverandør ændrer sin AI- eller cloudløsning, opdager systemet det og giver besked.

Når de for eksempel arbejder med AI, samler de jurister og teknikere i samme rum for at bygge bro mellem regler og virkelighed.

“Vi lægger hånden mere på kogepladen. Vores arbejde slutter ikke, når dokumenterne er udfyldt – det begynder dér.”

Når regler bliver kultur

Den største forandring sker først, når compliance bliver en del af organisationens kultur. Lex Futura arbejder bevidst med begrebet psykologisk tryghed – en forudsætning for, at medarbejdere tør tale åbent om fejl og udfordringer.

“Den bedste organisation er ikke den, hvor der sker færrest fejl – men den, hvor man tør tale om dem,” siger hun.

Når medarbejdere tør melde hændelser og stille spørgsmål, får ledelsen et ærligt billede af, hvor systemet faktisk halter – og kan handle derefter. Det kræver ledelser, der ser fejl som data, ikke som nederlag.

“Når folk tør sige ‘det her virker ikke’, har vi nået det vigtigste mål: at skabe en organisation, der kan lære og tilpasse sig.”

“Når leverandører ændrer deres systemer, ændrer risikobilledet sig også. TAACS gør det muligt at reagere, før noget går galt,” forklarer Charlotte. Hun ser et stort potentiale i AI –men kun hvis man bruger det med omtanke.

“AI kan understøtte compliance enormt effektivt, men man skal vide, hvad man laver. Det er lidt som at give nøglerne til en Ferrari til en tolvårig – der er store kræfter på spil.”

Ledelser må ikke tage skyklapper på Når Charlotte Bagger Tranberg ser fremad, er hendes budskab klart: Compliance og AI er ikke et område, man kan overlade til eksperterne – det er et ledelsesansvar på linje med økonomi og strategi.

“De må ikke tage skyklapper på. Ledelser skal forstå, hvad AI og digital compliance betyder for deres forretning – ellers mister de overblikket. Det handler ikke om at kunne kode, men om at forstå konsekvenserne.”

Hos Lex Futura handler det ikke om at sælge frygt – men om at skabe ro i maven. For når regler bliver forståelige, løsninger bæredygtige og mennesker inddraget, bliver compliance ikke en hindring. Det bliver et konkurrenceparameter – og et løfte om tillid i en digital fremtid.

Når forsikringen ikke dækker – og backup bliver sidste redning

Cybersikkerhed er blevet en forudsætning for at drive virksomhed, men for mange SMV’er er virkeligheden en balance mellem drift, budgetter og krav, der hele tiden ændrer sig. En cyberforsikring kan skabe tryghed, men den beskytter kun, hvis virksomheden løbende kan dokumentere sin sikkerhed og gendanne driften, når angrebet rammer.

Hos det danske konsulenthus Itplan, som har specialiseret sig i cybersikkerhed og rådgivning til SMV’er, ser man, hvordan udfordringen rammer netop de virksomheder, der sjældent har deres egen it-afdeling.

Derfor fungerer Itplan som ekstern it-chef for en lang række virksomheder – med et team af specialister, der spænder fra sikkerhedseksperter til netværks- og cloudkonsulenter.

”Mange mindre virksomheder har ikke en egentlig it-ansvarlig. De har travlt med drift og produktion, men i dag er det altafgørende for overlevelsen, at man både forstår risikoen og kan genoprette sin drift, hvis uheldet rammer,” siger Holger Axelgaard, forretningsudviklings- og projektchef i Itplan.

Sammen med direktør Kim Jensen og virksomhedens erfarne konsulenter arbejder han tæt med kunder over hele landet for at skabe sammenhæng mellem teknologi, forsikring og forretning.

Rådgivningen spænder fra backup og beredskabsplaner til awareness-træning og gennemgang af forsikringskrav – så cybersikkerhed bliver en kontinuerlig del af driften, ikke et enkeltstående projekt.

”Vi hjælper kunderne med at forstå, hvad de egentlig køber, når de tegner en cyberforsikring – og med at leve op til kravene, så dækningen faktisk gælder,” forklarer Kim Jensen.

Når forsikringen ikke er nok En cyberforsikring dækker kun, hvis virksomheden kan dokumentere, at basale sikkerhedsforanstaltninger er på plads.

Ifølge Itplan sker det ofte, at kravene i policen ændres, uden at virksomhederne følger med.

Mange virksomheder køber dækning gennem deres almindelige forsikringsselskab – uden at vide præcis, hvilke krav den stiller.

Holger Axelgaard fortæller om en kunde, der havde haft den samme forsikring siden 2017. Policen var blevet opdateret med nye krav, men virksomheden havde ikke fulgt med udviklingen – og det betød, at den i praksis stod uden reel dækning, hvis et cyberangreb ramte.

”Cybersikkerhed skal leve som en del af virksomheden – ellers virker den ikke,” siger han.

Kim Jensen peger på, at mange SMV’er ganske enkelt ikke har tid eller tekniske ressourcer til at holde sig ajour.

”Markedet udvikler sig, og kravene i policerne ændrer sig løbende. Derfor er det vigtigt, at virksomhederne følger med – ellers opstår der hurtigt huller i dækningen,” siger han.

Derfor bliver rådgivningen i stigende grad et samarbejde mellem teknik, organisation og forretningsforståelse: at oversætte krav, forklare risici og få virksomhederne til at se cybersikkerhed som en investering – ikke en ekstra udgift.

Når SMV’en mangler en it-chef De fleste mindre virksomheder har ikke budget til en fuldtids it-chef. I praksis ender ansvaret ofte hos økonomiafdelingen eller en driftsleder – mens hverdagen handler om kunder, produktion og leverancer.

”Vi agerer kundens eksterne it-chef og arbejder efter et årshjul, så cybersikkerhed og compliance bliver fulgt systematisk op,” siger Holger Axelgaard.

”Backup er det, der redder dig, når alt andet går galt. Men hvis backuppen også bliver kompromitteret, er der kun én vej tilbage – og det er at betale for sine egne data,” siger Kim Jensen.

Hos Itplan arbejder man ud fra princippet om hardening og air-gap – at adskille backup fra virksomhedens øvrige miljø og beskytte den mod manipulation.

Som certificeret Dell-partner rådgiver Itplan blandt andet om Dell PowerProtect Cyber Recovery, hvor data opbevares i et isoleret miljø og analyseres for angrebstegn, før de gendannes.

Her indgår Dell CyberSense, en AI-drevet analyseplatform, som automatisk scanner backupdata for tegn på ransomware og datakorruption med op til 99,99 procent nøjagtighed. Løsningen integreres direkte med PowerProtect-miljøet og giver både dybdegående forensics og anbefalinger til hurtig og sikker gendannelse af data.

For kunderne handler det ikke om software, men om at kunne holde hjulene i gang – at produktionen kan fortsætte, selv når angrebet rammer.

”Pointen er ikke teknologien, men princippet: Backup skal være isoleret, testet og gennemgået regelmæssigt. Ellers har man ikke et reelt beredskab,” understreger Holger Axelgaard.

Vi hjælper kunderne med at forstå, hvad de egentlig køber, når de tegner en cyberforsikring – og med at leve op til kravene, så dækningen faktisk gælder.

Modellen giver kontinuitet. I stedet for enkeltstående tiltag følger Itplan op på politikker, backupløsninger og awareness hvert kvartal. Det betyder, at kunderne hele tiden står opdateret i forhold til krav, teknologier og trusselsbillede.

”Vi taler kundernes sprog.Vores opgave er at gøre det håndgribeligt og tilpasse indsatsen til virkeligheden,” siger Kim Jensen.

Holger Axelgaard trækker på 12 års erfaring som CIO i en international virksomhed med over 2.000 ansatte. Den erfaring – og Itplans stærke tekniske stab – betyder, at rådgivningen altid tager højde for, hvordan hele forretningen fungerer i praksis.

”Der er forskel på at rådgive et reklamebureau og en produktionsvirksomhed. Vi skal forstå hverdagen – også hos truckføreren på gulvet. Cybersikkerhed handler ikke kun om systemer, men om mennesker,” siger han og tilføjer:

”Alle burde have en it-chef, men det er der ikke mange SMV’er, der har råd til. Det næstbedste er at have nogen, der kender din forretning og passer på den – og det er det, vi gør.”

Backup – den sidste livline Når alt andet fejler, er backup virksomhedens sidste forsikring. Men en backup er kun noget værd, hvis den er sikker, testet og adskilt fra resten af systemet.

Han oplever, at mange først forstår værdien, når uheldet har været ude.

”De fleste overlever et hackerangreb, men ikke tabet af data. Det er forskellen på at kunne genoptage driften – eller starte forfra.”

Et marked i bevægelse Cyberforsikringer er i hastig vækst, men dækninger og krav varierer betydeligt. For mange SMV’er er policen et bilag – ikke et aktivt redskab.

”Jeg har set policer, der virker, og nogle, der ikke gør. Det handler om at vælge rigtigt og kende sine forpligtelser,” siger Kim Jensen.

Når rådgiver, forsikringsselskab og kunde samarbejder, bliver policen mere end papir. Samspillet gør det muligt at forebygge – ikke kun reparere – når skaden sker.

Nye krav presser SMV’erne

Med direktiver som NIS2 bliver flere virksomheder indirekte omfattet af skærpede krav –især som underleverandører til større aktører.

”Mange opdager det først, når en kunde sender et spørgeskema og kræver dokumentation for cybersikkerheden. For nogle bliver det et chok,” siger Holger Axelgaard.

Han ser dog også en positiv udvikling: ”Cybersikkerhed bliver et konkurrenceparameter. Virksomheder, der tager det seriøst, står stærkere over for kunder og investorer.”

Kim Jensen tilføjer: ”Vi hjælper kunderne med at bevise, at de har styr på tingene –over for både forsikring, kunder og revision. Det handler ikke kun om teknologi, men om tillid.”

Cybertruslen ændrer sig konstant

og det gør forsikringen også

Når virksomheder digitaliserer deres produktion, kundedata og samarbejde, åbner det også nye døre for hackerne. Det handler ikke længere om hvis man bliver angrebet – men hvornår. Konsekvenserne rækker langt ud over IT-afdelingen. Et enkelt angreb kan lamme produktionen, medføre finansiel tilbagegang og underminere kundernes tillid – ofte på få timer. Samtidig udvikler truslerne sig hastigt, og nye metoder dukker op, før virksomhederne når at reagere.

Hos AIG, en af verdens største udbydere af cyberforsikring, følger man udviklingen tæt. Her handler arbejdet ikke kun om at hjælpe virksomheder efter et angreb, men om at ruste dem, før risikoen bliver til skade. Chris la Cour Valentin, Head of Financial Lines for Norden, beskriver det kort:

“Det er ikke som at installere en brandalarm og være færdig. Cybersikkerhed er en evig kamp, hvor man år efter år skal følge med udviklingen og hæve sit sikkerhedsniveau.”

Han peger på, at truslen i dag har et helt andet tempo og kompleksitet end tidligere. Angreb kan opstå globalt og brede sig på få timer – og derfor skal både virksomheder og forsikringsselskaber løbende tilpasse sig.

Det er netop den virkelighed, AIG forsøger at imødekomme gennem dataindsigt, partnerskaber og et beredskab, der dækker hele spektret fra forebyggelse til genopretning.

En trussel, der rammer bredere end nogensinde Stort set alle virksomheder er i dag et potentielt mål. Ifølge Elisabeth Hellemose, Direktør AIG Danmark, er ransomware fortsat blandt de væsenligste trusler for virksomheden, samtidig ser AIG også flere sofistikerede socialengineering-angreb og sårbarheder, der udnyttes gennem leverandørkæder.

I praksis betyder det, at en enkelt svaghed kan brede sig på tværs af en hel branche.

“Vi ser, at hackerne finder en sårbarhed i én branche og derefter udnytter den på tværs af hele industrien. Når de har fået lukket ét hul, går de videre til det næste.”

I medierne hører man kun om toppen af isbjerget, da de fleste virksomheder går stille med at blive ramt af cyberangreb. I dag rammer cyberangreb ikke kun store koncerner, men også mellemstore virksomheder og offentlige institutioner.

Et produkt i konstant udvikling Cyberforsikring er et relativt nyt felt på det danske marked sammenlignet med mere etablerede forsikringsområder som ejendomsog ansvarsforsikring. Hvor de første produkter indenfor Cyberforsikring især dækkede økonomiske tab, er dækningen i dag langt bredere.

Men forsikringen skal også ses som et strategisk redskab, der både skal beskytte driften og professionalisere krisehåndteringen.

“En cyberforsikring dækker typisk driftstab, juridiske krav, afpresning og ikke mindst konsulentbistand Ud over den økonomiske dækning får vores kunder adgang til et globalt team af eksterne specialister inden for IT og juridiske hjælp, med særlig kompetence i cyberangreb. Når disse specialister bliver aktiveret, handler de direkte på vegne af kunden, og omkostninger dækkes af AIG i overensstemmelse med forsikringsaftalen," siger Chris la Cour Valentin.

AIG har desuden udvidet samarbejdet med specialiserede partnere, der overvåger trusselsbilledet.

Opdages en sårbarhed hos en kunde, kontaktes virksomheden med det samme, så risikoen kan fjernes, før den udvikler sig. Det er endnu et skridt mod forebyggelse snarere end erstatning.

For mange virksomheder er dialogen med forsikringsselskabet derfor blevet en naturlig del af deres samlede sikkerhedsstrategi – et forum, hvor juridiske, tekniske og forretningsmæssige hensyn mødes.

AI ændrer spillereglerne

Hastigheden er blevet en risikofaktor i sig selv. Kunstig intelligens gør de kriminelles værktøjer stærkere – eksempelvis i social engineering, automatiseret scanning og hurtigere udnyttelse af sårbarheder.

Samtidig giver AI nye defensive muligheder, blandt andet i trusselsanalyse og respons.

“AI gør hackerne stærkere – men det betyder også, at vi som branche skal reagere hurtigere. Hvor man før havde flere dage til at lukke et sikkerhedshul, handler det nu om timer.”

Chris la Cour Valentin vurderer, at fremtidens cyberforsikring i endnu højere grad bliver datadrevet, hurtigere og mere tilpasningsdygtig –med løbende læring på tværs af brancher og regioner. Det kræver, at både forsikringsselskaber og kunder løbende udveksler erfaringer og viden om nye angrebsmønstre.

Fra forsikring til samarbejdspartner

Flere bestyrelser betragter i dag cyberberedskab som et ledelsesansvar på linje med finansiel risikostyring. I praksis betyder det, at forsikringen indgår i virksomhedens øvelser, beredskabsplaner og kommunikationslinjer, så roller og respons er klare, hvis uheldet er ude.

“En cyberforsikring fungerer bedst, når den er en del af virksomhedens beredskabsplan. Vi gennemgår løbende cases med kunderne, så de ved præcis, hvem de skal kontakte, og hvad de kan forvente. Jo bedre det er indarbejdet, jo større tryghed giver det,” siger Elisabeth Hellemose.

AIGs kunder får adgang til rådgivning og eksperthjælp, der gør det lettere at navigere i komplekse risici. Det gælder både i forbindelse med beredskabstræning, trusselsvurderinger og genopbygning efter hændelser.

”Det handler om at opbygge robusthed –ikke bare reaktionsevne,” siger Chris la Cour Valentin.

For mange er dækningen også blevet et konkurrenceparameter. Krav om cyberforsikring optræder oftere i kontrakter, når der gives adgang til data eller kritiske processer – en tydelig markør over for samarbejdspartnere og investorer om, at virksomheden har styr på sine risici.

At vælge den rigtige dækning Cyberforsikring er ikke et standardprodukt. Ikke alle Cyberforsikringer på markedet dækker lige bredt, og det er derfor afgørende at vælge en løsning, der reelt matcher virksomhedens behov og eksponering. Som Chris la Cour Valentin siger, skal forsikringen være

”fit for purpose” i forhold til virksomhedsmodel, branche, geografi og risikoprofil.

Derfor gennemfører AIG individuelle risikoanalyser med fokus på både tekniske kontroller, processer og compliance. Det sikrer, at vi kan tilbyde den mest passende dækning til hver enkelt virksomhed, baseret på deres aktuelle sikkerhedsniveau og behov.

Det afsluttende råd fra AIG er enkelt: Planer skal ikke kun eksistere – de skal øves. Ligesom ved brandøvelser skal alle kende roller og handlinger, når alarmen går.

“De fleste virksomheder har planer og procedurer, men de skal testes løbende. Det nytter ikke noget at have en brandalarm, hvis ingen ved, hvordan man kommer ud af bygningen. Det samme gælder i cybersikkerhed.”

AIG OG CYBERTRUSLEN 2024

• AIG er en global aktør inden for erhvervs- og cyberforsikring med kontorer i mere end 200 lande og jurisdiktioner.

• Deres løsning CyberEdge kombinerer dækning, rådgivning og 24/7-beredskab med fokus på forebyggelse og genopretning.

• I analysen AIG Cyber Ransomware Threat Insights 2024 stod ransomware for mere end halvdelen af alle cyberrelaterede skader globalt.

• Angreb gennem leverandørkæder og social engineering er blandt de hurtigst stigende trusler.

AI åbner for enorme muligheder – og uforudsigelige risici

Kunstig intelligens kan løfte virksomheder til helt nye højder. Men med den hastige udvikling følger også udfordringer som cyberangreb, deepfakes – og autonome agenter lurer i skyggerne. Derfor er det afgørende, at tage en essentiel samtale om lovgivning, ansvar, etik og governance, så vi sætter fremtidens spilleregler, i stedet for at teknologien selv gør det.

Vi lever i en tid, hvor teknologien rykker grænser hurtigere, end vi kan følge med. Kunstig intelligens er ikke længere kun et praktisk værktøj, der hjælper os med at skrive en tekst eller finde et møde i kalenderen. Den er på vej til at blive en selvstændig aktør – en slags digital kollega, der kan tage beslutninger, udføre komplekse opgaver og udvikle sig i takt med nye data.

”AI er i dag så avanceret, at vi ikke længere bare kan se den som et redskab. Den bliver en aktør, der kan påvirke hele vores forretning,” siger Michael Nørklit, der er General Manager i SoftwareOne Danmark; en global teknologivirksomhed, som hjælper sine kunder med udnytte software, cloud og AI i deres forretning.

Vejen til innovation, men også til nye sårbarheder De teknologiske kvantespring har åbnet for enorme muligheder for virksomheder: Automatisering af rutiner, smartere produktion, mere præcise analyser og nye forretningsmodeller.

Men samtidig følger en ny sårbarhed. For hvad sker der, hvis AI handler uden for de rammer, vi troede, vi havde sat? Hvis en algoritme utilsigtet åbner døren til følsomme systemer –eller når hackere bruger teknologien til at skabe overbevisende deepfakes og automatiserede angreb, der kan ramme hele sektorer?

Vi står midt i et paradigmeskifte. AI kan blive en uvurderlig partner i fremtidens virksomheder, hvis vi tager styringen nu – og definerer grænserne, før teknologien selv gør det.

”Det handler ikke kun om at pege på risiciene, men også om at udforske de enorme potentialer, teknologien rummer. For imens AI kan udfordre vores kontrol, rummer den samtidig evnen til at løfte virksomheder til et niveau, vi før kun kunne forestille os,” siger Michael Nørklit.

AI er virksomhedernes perfekte medarbejder

Vi står i en virkelig interessant brydningstid, for hvad betyder det i praksis for virksomhederne, når AI træder ind som en aktiv del af hverdagen?

Forestil dig en medarbejder, der aldrig bliver træt, aldrig holder ferie og på få sekunder kan lære nye færdigheder, som andre skulle bruge uger og måneder på at mestre. Sådan kan kunstig intelligens fungere i dag, når teknologien får lov til at udfolde sig i virksomhederne.

”Vi ser allerede i dag, hvordan AI kan løfte en organisation. I Asien har vi i flere år arbejdet tæt sammen med kunder om at bruge AI til at skabe indsigter og effektivisere deres forretning,” fortæller Michael Nørklit.

Med opkøbet af virksomheden Metalsoft har SoftwareOne taget næste skridt: At gøre ”AI for alle” til virkelighed gennem en platform, hvor virksomheder kan bygge deres egne digitale agenter.

Potentialet er enormt. En AI-agent kan ikke blot håndtere rutineopgaver, men også bidrage til innovation – finde mønstre, mennesker overser, samt optimere hele værdikæder og reagere hurtigere end nogen medarbejder kan. I en tid, hvor konkurrencen er global og markedet bevæger sig i et eksponentielt tempo, kan AI være den forskel, der afgør, om en virksomhed følger med – eller bliver efterladt på perronen, mens vækstlokomotivet buldrer afsted.

Skal AI have sin egen brugerprofil?

Men netop fordi AI nærmest får status som en fysisk medarbejder, rejser det nye spørgsmål.

“Skal en AI have sin egen brugerprofil i virksomhedens systemer? Skal den kun have adgang til udvalgte områder? Og hvem tager ansvaret, hvis den gør noget, vi ikke havde forudset?” spørger Michael Nørklit.

”Det er vigtigt, at vi ikke kun fokuserer på teknologien i sig selv, men også på de dilemmaer, den stiller os over for. Herunder at man som virksomhed lever op til EUs AI-act, som gælder for alle der enten bruger, udvikler eller distribuerer kunstig intelligens. I praksis betyder det, at virksomheder skal tage stilling til, hvordan deres AI-løsninger klassificeres, og sikre, at de lever op til de relevante krav –både teknisk, juridisk og organisatorisk”.

Hvad sker der, hvis AI går uden for manuskriptet?

Glidende – og næsten ubemærket – har kunstig intelligens bevæget sig fra at være en assistent til at optræde som autonom aktør.

”Problemet er, at vi ikke kan nå at opdage fejlene i tide. Algoritmerne justerer sig selv så hurtigt, at vi ofte først ser konsekvensen, når skaden allerede er sket,” siger Michael Nørklit.

Forestil dig en digital kollega, der har samme adgang som en menneskelig medarbejder, men som aldrig holder pause, aldrig logger ud – og som ikke altid følger manuskriptet.

Hvad sker der, når den utilsigtet åbner en dør til følsomme systemer?

Når den giver adgang, hvor den ikke burde? Eller når hackere bruger den samme teknologi til at udvikle og udrulle angreb i en hastighed, mennesker slet ikke kan matche?

For virksomheder betyder det et kvantespring i risikobilledet. Hvor man tidligere kunne beskytte sig med flere lag af sikkerhed,

EU'S AI ACT – LOVGIVNING OM KUNSTIG INTELLIGENS

EUs AI Act skal sikre, at AI anvendes sikkert og i overensstemmelse med grundlæggende rettigheder. Loven opdeler AI i fire risikoniveauer fra forbudte systemer til minimal risiko og stiller krav om sikkerhed, dokumentation, menneskelig overvågning og transparens, især for højrisiko-løsninger. Formålet er at skabe tillid til AI, beskytte borgere og samtidig fremme innovation i EU.

www.digital-strategy.ec.europa.eu/en/ policies/regulatory-framework-ai

opdateringer og overvågning, kan AI-angreb udføre hele kæder af handlinger på sekunder. Det stiller helt nye krav til governance og risikostyring.

I henhold til EUs AI Act er der krav om at virksomheden skal indbygge mekanismer til risikostyring, bl.a. klare advarsler, mulighed for at stoppe systemet, robusthedstests og dokumentation, så AI anvendes sikkert og i overensstemmelse med lovgivningen.

Vi må undgå, at den mørke side overhaler os Hver ny teknologi rummer sine egne udfordringer: Den kan skabe værdi – men også misbruges. Kunstig intelligens er ingen undtagelse.

Paradokset i generativ AI ligger i at teknologien, rummer et enormt potentiale for fremskridt, men samtidig øger risikoen for ødelæggelse, fordi udviklingen af cyberforsvar ofte halter efter udviklingen af angreb. Vi må sikre, at dem, der vil skade, aldrig får større magt end dem, der vil bruge teknologien til det gode.

Center for Cybersikkerhed har for nylig fremhævet, hvordan AI allerede misbruges til automatiserede angreb, phishing og avancerede deepfakes.

Samtidig vurderer CERT, at autonome AI-agenter er ved at ændre spillets regler i cybersikkerhed: Angrebene bliver hurtigere, mere præcise og sværere at opdage.

”Vi ser allerede nu deepfakes, der er så overbevisende, at selv erfarne medarbejdere kan narres. Forestil dig så en situation, hvor en direktør deltager i et møde på video – men det viser sig at være en AI-genereret kopi. Det kan få katastrofale konsekvenser,” siger Michael Nørklit.

De cybersecurity-leverandør som SoftwareOne samarbejder med peger på, at AI ikke blot kan omgå eksisterende sikkerhedsbarrierer, men aktivt udvikle nye metoder til at bryde igennem.

”Vi står med en Pandoras æske,” forklarer Michael Nørklit. ”Vi kan ikke bare slippe teknologien løs og håbe på det bedste. Uden klare rammer risikerer vi, at den mørke side af AI overhaler os.”

For virksomheder handler det ikke længere kun om at beskytte data – men om at beskytte hele deres forretningsgrundlag mod manipulation, forfalskning og angreb, der kan komme fra enhver kant.

Det handler om ansvar, etik og governance

Hvis AI skal være en reel medarbejder i virksomhederne, kræver det også, at vi tænker på den som sådan. Det handler ikke kun om teknologi – men om ansvar, etik og governance.

”Når vi giver en AI adgang til en virksomheds systemer, er vi nødt til at betragte den som en kollega med rettigheder og begrænsninger,” fortæller Michael Nørklit.

For mange virksomheder er det stadig nyt territorium. AI indføres ofte i små pilotprojekter, hvor man tester funktionalitet og effektivitet. Men i takt med, at teknologien bliver en integreret del af forretningskritiske processer, vokser behovet for kontrol og styring.

”Vi skal ikke bare stole på, at nogle patches eller scripts kan klare det,” fortsætter Michael Nørklit.

”Det handler i højere grad om moral, etik og governance – og om at indføre en form for identitets- og adgangsstyring, der er skræddersyet til AI. Det er en helt ny opgave for virksomheder.”

Begyndelsen er, at vi tager samtalen. Og det haster. Fremtidens AI kan blive den mest værdifulde medarbejder, en virksomhed nogensinde har haft.

Den kan hjælpe os med at frigøre ressourcer, skabe innovation og hjælpe os til at løse opgaver, vi aldrig før har kunnet overskue.

Men den kan også blive en uforudsigelig aktør, der udfordrer vores kontrol, vores sikkerhed og vores etiske kompas.

”Det er ikke et spørgsmål om, hvorvidt vi skal bruge AI,” siger Michael Nørklit. ”Spørgsmålet er, hvordan vi vælger at gøre det – og hvilke rammer vi sætter, så vi kan udnytte potentialet uden at miste kontrollen.”

MULIGHEDER OG RISICI I TAL

• 86 % af organisationer er i gang med at teste eller udrulle GenAI i større skala, viser en stor 2025-rapport fra Gartner.

• 62 % har allerede oplevet mindst ét deepfake-angreb, ofte som led i social engineering.

• 32 % har været ramt af prompt injection-angreb, hvor hackere manipulerer AI-systemer via input.

• 29 % har haft angreb mod selve AIinfrastrukturen – fx stjålne loginoplysninger eller kompromitterede model-repositorier.

• 80 % af virksomheder mangler stadig en plan for at håndtere deepfake-angreb.

Michael Nørklit understreger pointen: ”Det vigtigste er, at vi starter dialogen. At vi stiller de svære spørgsmål, deler erfaringer og lærer af hinanden, inden udfordringerne bliver uoverskuelige.”

For AI handler ikke kun om at være på forkant teknologisk – men også om at være på forkant menneskeligt, lovgivningsmæssig og organisatorisk.

Hvis vi ikke tør tale om dilemmaerne nu, risikerer vi, at teknologien selv sætter spillereglerne.

Derfor er den vigtigste konklusion måske, at dette ikke er en afslutning, men en begyndelse. Vi kan ikke forudsige alle konsekvenserne af AI’s udvikling, men vi kan vælge at tage ansvar for samtalen. Og det valg haster.

AI UDFORDRER CYBERSIKKERHEDEN

• Phishing og business email compromise (BEC) er blevet markant mere sofistikerede:

• 84 % af sikkerhedschefer (CISOs) vurderer, at phishing-angreb er blevet mere avancerede det seneste år.

• 80 % oplever det samme med BECangreb.

• Volumen vokser også: 78 % melder om flere phishing-angreb, mens 74 % melder om flere BEC-angreb.

• En majoritet af topledere (62 %) forventer, at deepfakes vil medføre ekstra omkostninger og komplikationer for deres virksomheder de kommende tre år.

De er blandt Europas førende på ISO 27001

og beviser det i praksis

I takt med at EU strammer kravene til cybersikkerhed, står mange virksomheder stadig på perronen. Hos danske Nesp.ONE er man allerede kørt af sted – med fuld fart. Som et af Danmarks mest erfarne eksperthuse i ISO 27001 hjælper de både SMV’er og store koncerner med at omsætte regler til praksis – uden papirhelvede.

Cybersikkerhed er for længst rykket fra serverrummet til topledelsen. Mens mange virksomheder kæmper med at overskue de nye regler, har Nesp.ONE gjort det til sin mission at gøre informationssikkerhed håndgribeligt.

“Cybersikkerhed handler ikke om kontrol og papir, men om tillid og forretning,” siger Karsten Dahl Vandrup.

Han er lektor, forfatter og en af landets mest erfarne rådgivere inden for informationssikkerhed og it-ledelse. Hans bøger bruges i undervisningen af blandt andre politi og offentlige myndigheder, og gennem to årtier har han rådgivet organisationer i hele Europa.

Sammen med Martin Schulze driver han Nesp.ONE – et eksperthus, der forener governance, teknologi og forretning. Martin har en fortid i revionsverdenen og har opbygget og solgt flere virksomheder. De seneste år har han lavet baggrundstjek og opereret inden for cybersikkerhed.

Her handler det ikke om ringbind og procesdiagrammer, men om at skabe kultur, adfærd og forretningsforståelse. Med opgaver i hele Europa og aktiv deltagelse i både ENISA og it-branchen har Nesp.ONE placeret sig i krydsfeltet mellem regulering og virkelighed.

“Hvis du vil levere til kritisk infrastruktur i dag, skal du være ISO-certificeret. Det er blevet en license to operate,” siger Karsten Dahl Vandrup, medejer af Nesp.ONE.

Fra papir til handling

Nesp.ONE møder dagligt organisationer, hvor sikkerhedsarbejdet er gået i stå mellem revisorer, it-folk og ledelse.

Ifølge Karsten Dahl Vandrup skyldes det, at mange stadig ser ISO 27001 som en administrativ byrde.

“Det er det stik modsatte. ISO handler om at tage styring – ikke om at producere dokumenter. Når virksomheder først ser det, bliver det et strategisk værktøj i stedet for et krav.”

Martin Schulze tilføjer, at ISO-arbejdet netop kan skabe tillid i forsyningskæderne og åbne døre internationalt.

“Vi har hjulpet alt fra kommuner og forsyningsvirksomheder til C25-koncerner. Det interessante er, at de udfordringer, man står med i Danmark, er præcis de samme i Polen, Spanien og Holland.”

Sikker software – hele vejen ud i koden Et stigende antal kunder efterspørger sikkerhed i selve udviklingsprocessen. Derfor arbejder Nesp.ONE med Secure Software Development Life Cycle (SSDLC) og har etableret partnere i Paris, Malaga, Krakow og Bukarest, hvor udvikling og security code-review er adskilt – et krav, der både sikrer dokumentation og kvalitet.

“Vi stiller de samme krav til sikker softwareudvikling (SSDLC) i udlandet, som vi gør herhjemme. Der er ingen smutveje – men der er smartere måder at gøre det på,” siger Arne D. Hansen, som er ekspert i outsourcing og var i mange år nordisk direktør for outsourcing virksomheden Ciklum.

Den funktionsadskillelse betyder, at virksomheder med outsourcing-aktiviteter kan bevise deres sikkerhed over for kunder, myndigheder og partnere – en vigtig faktor i både ISO 27001 og NIS2-regi.

De nye EU-forordninger NIS2 og Cyber Resilience Act (CRA) kommer til at ændre alt fra governance til produktudvikling Cyber Resilience Act betyder, at produkter uden dokumenteret cybersikkerhed i fremtiden kan blive ulovlige at sælge i EU. Det er derfor, vigtigt at gå i gang nu.

folkene og jura med juristerne,” siger Karsten Dahl Vandrup.

Mange organisationer henvender sig først, når de opdager, at de sidder på en stor it-gæld –systemer, processer og data, som ingen helt har styr på. Ifølge Martin Schulze er det netop dér, de starter arbejdet:

“Vi møder virksomheder, der tror, at it-sikkerhed er at købe en ny firewall. Men de finder ud af, at de har en stor it-gæld som følge af mange års manglende fokus på it-sikkerhed, og at de fundamentalt skal ændre kultur på området.”

Nesp.ONE gennemfører GAP-analyser, hjælper med implementering og uddanner bestyrelser og direktioner som en del af NIS2-kravene. Målet er at skabe en realistisk vej til compliance, hvor sikkerhed ikke lammer driften, men understøtter den.

For Nesp.ONE handler det om at finde balancen mellem lovkrav og forretning: sikkerhed skal kunne implementeres i praksis, ikke bare beskrives på papir.

Ledelsen skal ville det

“Det vigtigste er, at ledelsen beslutter sig for, at de vil styrke organisationens it-sikkerhed – og ikke kun it-afdelingen, som står med alt ansvaret. Det er en fælles kultur, som starter hos ledelsen,” siger Martin Schulze.

Og selvom mængden af regulering vokser, ser de det som et sundhedstegn.

“Cybersikkerhed bliver ikke lettere. Men for de virksomheder, der griber det rigtigt an, bliver det en reel konkurrencefordel,” siger Karsten Dahl Vandrup.

Vi stiller de samme krav til sikker softwareudvikling (SSDLC) i udlandet, som vi gør herhjemme. Der er ingen smutveje – men der er smartere måder at gøre det på.

Den pragmatiske vej til compliance

De to ejere kalder sig “to voksne mænd, der har prøvet at drive virksomhed selv”.

Derfor tager de udgangspunkt i drift og økonomi frem for teori.

“Vi taler forretning med ledelsen, it med it-

Cyber Resiliance Act – den nye virkelighed

”De nye EU-forordninger NIS2 og Cyber Resilience Act (CRA) kommer til at ændre alt fra governance til produktudvikling. Cyber Resilience Act betyder, at produkter uden dokumenteret cybersikkerhed i fremtiden kan blive ulovlige at sælge i EU. Det er derfor vigtigt at gå i gang nu,” siger Martin Schulze. Alligevel er det ifølge Karsten Dahl Vandrup forbløffende få, der er begyndt at forberede sig.

“Mange har sovet i timen. Der er blevet råbt ”ulven kommer” mange gange, men nu kommer den altså!” siger han med et skævt smil.

Nesp.ONE ApS

Dansk cybersikkerhedshus med speciale i ISO 27001, NIS2, Cyber Resilience Act, AI Act og sikker softwareudvikling. Rådgiver alt fra C25-selskaber og kommuner til SMV’er i Danmark og resten af Europa.

Udvikler løsninger som D-mærket in a box og uddanner bestyrelser og ledelser i cybersikkerhed.

Har partnere i Paris, Malaga, Krakow og Bukarest.

Når hackerne rammer hjertet: SAP-sikkerhed er blevet afgørende for virksomheder

Cybertrusler rammer i dag alle typer virksomheder. Med SAP som centralt knudepunkt i forretningen kan et angreb lamme alt fra produktion til forsyningskæder.

Derfor arbejder virksomheder i stigende grad med løbende sikkerhedsservices, der holder truslerne på afstand.

Trusselsbilledet for virksomheder har ændret sig markant i de seneste år.

Tidligere var cyberangreb ofte målrettet de allerstørste spillere eller særligt attraktive brancher, men i dag bør ingen virksomheder føle sig sikre.

Ransomware er desværre blevet en lukrativ forretningsmodel for kriminelle aktører – og angrebene rammer bredt. Både SMV’er og globale koncerner kan blive ofre for afpresning, hvor kritiske systemer lukkes ned og følsomme data gøres utilgængelige, indtil en løsesum betales.

”Det er ikke længere et spørgsmål om, hvorvidt man bliver ramt – men hvornår. Vi ser i stigende grad, at selv virksomheder, der tidligere følte sig uden for søgelyset, nu udsættes for angreb,” siger Kenneth Lylloff, der er CTO og partner i SAPBASIS – en dansk virksomhed, der er specialiseret i SAP-teknologien og dens infrastruktur.

Kenneth Lylloff CTO og partner i SAPBASIS

Tidligere var cyberangreb oftest rettet mod de klassiske IT-systemer, men sådan er det ikke længere. SAP-systemet er i dag tæt integreret med en lang række andre systemer og cloud-services, hvilket gør det endnu sværere at beskytte. Derfor er det afgørende, at sikkerheden omkring SAP nu betragtes som en central del af virksomhedens samlede forsvar, så hackere ikke lykkes med at kompromittere virksomhedernes IT-systemer.

”SAP er hjertet i mange organisationer. Her ligger økonomien, forsyningskæden og de mest kritiske data. Hvis systemet kompromitteres, kan det i værste fald lamme hele virksomheden,” forklarer Kenneth Lylloff.

Når netop SAP-søjlen angribes, truer det ikke blot driften, men det kan i værste fald true virksomhedens eksistensgrundlag. Et systemnedbrud kan betyde, at produktion går i stå, leverancer udebliver og at kunder mister tilliden.

Sikkerhed bliver rutine De tyske udviklere af SAP-systemet er selvfølgelig opmærksomme på dette og derfor forsøger de løbende at identificere og lukke potentielle sikkerhedshuller, der kan opstå i SAP-systemet.

Men for mange virksomheder kan det være en nærmest uoverskuelig opgave at holde styr på de mange sikkerhedsnoter, som SAP udsender. Ofte ender de travle IT-chefer ude i virksomhederne med at bruge tid på at gætte, hvilke patches der reelt er vigtige for virksomheden og hvilke der faktisk kan vente.

Det er her, SAPBASIS’ løsning ’SAP Security note as a Service’ kommer ind i billedet. Løsningen sorterer i mængden af opdateringer og giver en konkret vurdering af relevans, risiko og hvor nødvendige tests skal udføres, for de enkelte virksomheder.

CEO og partner i SAPBASIS

”Vi hjælper vores kunder med at forstå, hvilke SAP-sikkerhedsnoter de faktisk skal implementere – og hvad det kræver. På den måde bliver sikkerhed en fast rutine i stedet for et stort og uoverskueligt projekt,” forklarer Jesper Riiber Høj, der er CEO og partner i SAPBASIS.

SAPBASIS hjælper med helhedsorienteret gennemgang

Men sikkerhedsnoter er kun én del af ligningen. Mange virksomheder har komplekse SAP-landskaber, hvor integrationer, roller og arkitektur kan skabe skjulte svagheder. Her tilbyder SAPBASIS deres Security Assessment, en helhedsorienteret gennemgang af systemet, der identificerer sårbarheder og giver konkrete anbefalinger til at lukke hullerne.

”Når vi kigger på en virksomheds SAP-setup, kan vi se, hvor de reelle risici ligger – og det er sjældent det samme fra kunde til kunde. Derfor er det vigtigt, at indsatsen tilpasses, så vi hjælper kunden derhen, hvor de får mest effekt,” forklarer Jesper Riiber Høj, der ligesom sine kollegaer i SAPBASIS har mange års specialisterfaring i SAP teknologier.

Tilsammen giver de to services virksomhederne mulighed for både at reagere hurtigt på aktuelle trusler og samtidig få det strategiske overblik. Det gør sikkerhedshåndteringen mere præcis – og langt mere overskuelig – i et kapløb, hvor hackerne hele tiden finder nye veje ind.

Hvordan sikrer vi det her?

Men selv med de rette værktøjer er sikkerhed ikke noget, man løser én gang for alle. Trusselsbilledet ændrer sig konstant og virksomhedernes egne behov udvikler sig i takt med nye integrationer og forretningsprocesser. Derfor handler det ikke om enkelte tiltag, men om at indarbejde sikkerhed som en vedvarende proces.

”Sikkerhed skal ind i virksomhedens DNA. Hver gang man indfører ny funktionalitet eller opretter en integration, bør man stille

spørgsmålet: Hvordan sikrer vi det her?” siger SAPBASIS’ CTO, Kenneth Lylloff.

Samtidig er der stor forskel på, hvor den største risiko ligger. For nogle virksomheder er oppetid altafgørende – hvis SAP ligger nede i bare få timer, går produktionen i stå. For andre virksomheder er deres data det mest kritiske, fordi læk eller udefrakommende kryptering kan true hele forretningen.

”Der findes ikke én løsning, der passer til alle. Vores erfaring er, at vi må tage udgangspunkt i kundens situation og bygge sikkerheden derfra. Det er den eneste måde at skabe reelt værdi – og varige resultater,” siger Jesper Riiber Høj.

SAP-sikkerhed handler i sidste ende om virksomhedens evne til at overleve og udvikle sig i et digitalt landskab, hvor truslerne aldrig står stille. Ved at kombinere løbende overvågning med dybdegående vurderinger kan virksomheder skabe et forsvar, der både er robust og fleksibelt. Det er ikke et projekt med en slutdato, men en proces, der sikrer, at SAP forbliver en stabil søjle i forretningen.