Jeg møder mange små og mellemstore virksomheder i Sydjylland, som hver dag håndterer kunder, medarbejdere og drift med stor omhu. De har styr på ordrer, leverancer og den daglige drift, men når vi begynder at tale om, hvad der sker, hvis et centralt it-system pludselig ikke er tilgængeligt, bliver der tit stille. Ikke fordi virksomhederne er ligeglade, men fordi de sjældent har haft anledning til at tænke situationen helt igennem.
Mange danske virksomheder vil kun i begrænset grad kunne udføre deres kerneopgaver, hvis centrale it-systemer ikke virker. Det betyder blandt andet, at produktionen går i stå, ordrer ikke kan behandles, og kunder må vente. Jeg har for nyligt arbejdet med en lokal virksomhed, hvor et mindre it-nedbrud lukkede lagerstyringen i fire timer. Selv kort tid med utilgængelige systemer skabte kaos, forsinkelser og ekstra arbejde. Og det kunne nemt have været endnu værre, hvis nedbruddet havde varet længere.
To tal fra den seneste rapport om digital sikkerhed i danske SMV’er fra Styrelsen for Samfundssikkerhed rammer meget præcist det, jeg oplever i mit arbejde:
Det handler næppe om manglende vilje til at gøre noget. Udfordringen er for det meste, at virksomheder mangler et klart billede af, hvad der er vigtigst at beskytte. De ved godt, at it er vigtigt, men ikke hvilke systemer der er forretningskritiske, hvilke konsekvenser et nedbrud vil få, eller hvem der træffer beslutninger, hvis noget går galt.
Cybersikkerhed bliver ofte gjort teknisk, men i de virksomheder, jeg arbejder med, starter det et helt andet sted. Det handler om at forstå, hvad der holder jeres forretning i gang, hvilke konsekvenser et nedbrud har, og hvor I bør sætte ind først. Når overblikket er på plads, giver tekniske løsninger langt bedre mening. Ellers risikerer I at investere uden at vide, om det rammer de rigtige steder.
Jeg plejer at starte med at stille et helt enkelt spørgsmål til lederne: Hvis jeres vigtigste system var nede i 24 timer, hvilke arbejdsopgaver stopper først, hvem træffer beslutningerne, og hvornår informeres kunder og samarbejdspartnere? For en del af virksomhederne er svarene ikke helt klare. Det er ikke nogen kritik, men et tydeligt tegn på, hvor arbejdet med digital sikkerhed bør starte.
Digital sikkerhed behøver ikke være kompliceret. Der er fire skridt, jeg altid tager fat i sammen med virksomhederne:
Disse skridt giver jer et solidt grundlag for at prioritere indsatsen og investere dér, hvor det skaber mest værdi.