Uret tikker: Der er ny besked fra hackerne – hvad gør vi?

Presset tager til. Nu er der igen besked fra hackerne. Og de beslutninger, som skal træffes i forsøget på at redde virksomhedens data – og måske hele virksomheden – bliver særdeles afgørende. Om der ligefrem er tale om en »nærdødsoplevelse«, vil måske nok være at stramme den, men der bliver svedt lidt ekstra, og der skal tænkes hurtigt, mens stopuret tæller ned på den store skærm, som gruppen af bestyrelsesmedlemmer i det hackerramte firma sidder foran. Heldigvis er det ikke virkelighed, men det kan det sagtens blive. Og som bestyrelsesmedlem vil man dermed kunne holdes personligt ansvarlig for følgerne af hackernes hærgen. Sommerhuset kan således være på spil, hvis det går galt. Netop derfor er omkring 25 ægte bestyrelsesmedlemmer fra helt forskellige virksomheder denne dag samlet på Howitzvej på Frederiksberg. De er de seneste blandt nu et sted mellem 300 og 400 bestyrelsesmedlemmer, som er kommet i svedemaskinen hos Bestyrelsesforeningens Center for Cyberkompetencer, etableret i samarbejde med Copenhagen Business School (CBS), der også ejer kursusbygningen. Med et klækkeligt tilskud på fem millioner fra Industriens Fond får de hver et kursus på en hel dag, så de forstår alvoren af den usynlige trussel og er klædt på til at tage snakken i deres egen bestyrelse, når de kommer tilbage. »Man kan roligt kalde det en øjenåbner« »Dette giver folk oplevelsen af, hvordan det er ikke at være forberedt på et cybersikkerhedsangreb. Mange analyser peger nemlig på, at virksomheder først begynder at styrke cybersikkerheden, hvis de selv rammes af et angreb, eller der kommer lovgivning. Det er lidt trist, at man først gør noget efter at være blevet ramt. Derfor skubber vi til, at de bliver mere ambitiøse, når de finder ud af, hvor ubehageligt det er at stå uforberedt,« fortæller Malene Stidsen, programchef i Industriens Fond. Til og med 2026 skal 3.000 bestyrelsesmedlemmer have svedt foran stopuret i tidskampen mod hackerne. Og virker det så? »Man bliver ikke ekspert, men man kan roligt kalde det en øjenåbner. Vi ved jo for lidt. Vi ved godt, at ‘det’ er der, men vi ved ikke, hvor stort det er, og vi kan se, at virksomheder bliver lagt ned og kommer til at betale milliardbeløb. For bare fem dollar kan man bestille et angreb og lægge en hjemmeside ned en dag, hvis man ikke kan lide konkurrenten. Hackerne kører det rigtigt professionelt, og der er onlinechat, hvor man kan diskutere om løsesummens størrelse og få at vide, hvor langt man er kommet med angrebet. Vi er virkeligt oppe mod nogen,« konstaterer Steen Reeslev i en pause i angrebet, hvor deltagerne også skal forholde sig til, om de vil tone rent flag offentligt og meddele, at virksomheden er blevet ramt af hackere. Steen Reeslev er tidligere kommunikationsdirektør hos A.P. Møller og hos Danske Bank og driver i dag et konsulentfirma. »Og jeg har prøvet at sidde i en virksomhed og tænkt: Kommer vi nogensinde op igen? Man tænker, om der mon er nogen virksomhed, der er så blottet, som vi oplever det her. Konsensus er, at, ja, det er nok mere normalt end unormalt,« konstaterer han. Print, print, print Jens Stener er direktør for Center for Cyberkompetencer, har tidligere været hos ISS Group og Tryg og har i mange år arbejdet under Forsvarskommandoen. »Vi gør ikke dette for, at man skal komme ind og svede – men når man først har oplevet at stå i situationen, så husker man. Man kommer ikke ud af dette rum som cyberspecialist, men man har lært – på godt og ondt – hvad ens bestyrelsesansvar er, for man har faktisk et ansvar for risikovurderingen, og man er blevet opmærksom på, at man faktisk hæfter personligt,« siger han. Deltagerne skal ikke skræmmes. »De skal reagere i en relativt realistisk situation, hvor der ikke er noget, der er rigtigt eller forkert. Man kan godt vælge at betale løsesummen – eller lade være. Men at agere og styre gennem krisen og have en beredskabsplan og processerne på plads er supersupervigtigt, så man ikke skal finde vigtige telefonnumre i et system, som ikke virker under et cyberangreb, hvor alt foregår analogt,« siger Jens Stener. Og det mener han helt bogstaveligt: »Har man styr på cybersikkerheden, har man et plastiklamineret kreditkort med de vigtige telefonnumre på sig – altid! Og man har en printet kopi af beredskabsplanen.« Ikke om men hvornår det sker … Hans mål er, at deltagerne hjemme i virksomheden tør tage cyberspørgsmålet op og »har fået et ordforråd« til det, så der kan laves en beredskabsplan. »For det er ikke, om det sker, men hvornår det sker, og i hvilket omfang man er forberedt. Vi gør meget ud af, at dette ikke er raketvidenskab,« understreger Jens Stener. Han er ligesom de øvrige involverede ansat på halv tid for at gennemføre kurserne, hvor også it-sikkerhedsfirmaet Dubex deltager med praktiske råd og vejledning. Center for Cybersikkerhed under Forsvarets Efterretningstjeneste er også koblet på med aktuel viden. Der er i fællesskab udarbejdet en kort liste med seks hovedanbefalinger til bestyrelsesmedlemmer i forhold til cybersikkerhed og en tjekliste med de vigtigste pointer fra værktøjskassen. Center for Cyberkompetencer er også i gang med at forberede kurser som e-læring, ligesom man tager rundt på virksomheder i hele landet og arrangerer dagsseminarer. https://www.berlingske.dk/virksomheder/uret-tikker-der-er-ny-besked-fra-hackerne-hvad-goer-vi