DEBATT | Bjarte Malmedal, NSR
Cybersikkerhet er fortsatt en luksusvare for små bedrifter
Når små bedrifter mangler ressurser til cybersikkerhet, gjør vi det lett for kriminelle å lykkes. Hvorfor aksepterer vi at de mest sårbare har det dårligste forsvaret?
Næringslivets sikkerhetsråds Mørketallsundersøkelse avslører en alvorlig skjevhet: Én av tre små bedrifter (5-19 ansatte) gjør ingenting for å øke ansattes sikkerhetsbevissthet. Samtidig har 56 prosent av dem ikke et styringssystem for informasjonssikkerhet. I de store virksomhetene, der ressursene er langt større, er bildet motsatt: Kun 5 prosent står uten tiltak.
Dette er ikke tilfeldig. Cybersikkerhet koster – i både tid, penger og kompetanse. De største virksomhetene har egne IT-avdelinger, CISO-er og dedikerte sikkerhetsbudsjetter, mens små bedrifter sjonglerer cybersikkerhet med alt annet de må håndtere for å overleve. Resultatet er en virkelighet der de som har et stort behov for beskyttelse, knapt har noe. Det er et farlig klasseskille i sikkerhetsarbeidet, og det er de små virksomhetene som betaler prisen.
Undervurderer trusselen
Mange småbedriftseiere tenker at de ikke er interessante mål. «Hvorfor skulle noen ha interesse av å hacke oss?» er nok en vanlig oppfatning. Men dette er en farlig illusjon. Små bedrifter er attraktive mål nettopp fordi de har svake forsvar. Cyberkriminelle vet at disse virksomhetene ofte mangler grunnleggende sikkerhetstiltak. Dette gjør dem til enkle inngangsporter – ikke bare for å ramme bedriften selv, men også for å bruke dem som springbrett til større mål i verdikjeden.
Mørketallsundersøkelsen viser at syv prosent av små bedrifter har opplevd sikkerhetshendelser det siste året. Det tallet antar vi vil fortsette å øke i takt med den økende digitaliseringen. Likevel er småbedriftene ofte dårligst rustet til å håndtere konsekvensene. Et vellykket angrep kan føre til ødelagt omdømme, tap av kunder, økonomisk ruin eller i verste fall konkurs. Når et sikkerhetsbrudd inntreffer, er det ofte for sent å begynne å ta cybersikkerhet på alvor.
Myndigheter og bransjeaktører må ta ansvar
Dette er ikke de små bedriftenes problem alene. De store aktørene – både i næringslivet og hos myndighetene – må også ta grep for å sikre hele verdikjeden.
For det første kan de store næringslivsaktørene ta et enda større grep om cybersikkerheten i sine verdikjeder. I tillegg til å stille krav til underleverandørene, kan de drive aktiv veiledning for å styrke den digitale sikkerheten i de små bedriftene. Mange sikkerhetsbrudd skjer gjennom leverandører eller underleverandører, fordi disse er svakere ledd i kjeden. Ved å kreve bedre sikkerhet hos samarbeidspartnere og tilby opplæring og støtte, kan store aktører bidra til å løfte sikkerhetsnivået for alle.
For det andre kan myndighetene bli mer proaktive. Det hjelper lite med generelle anbefalinger og lite håndfaste krav. Vi trenger insentiver, økonomiske støtteordninger og tydeligere reguleringer som sikrer at cybersikkerhet blir en integrert del av småbedrifters hverdag – ikke et luksusgode for de store.
For det tredje må vi senke terskelen for å ta i bruk cybersikkerhetstiltak. Små bedrifter trenger enklere og rimeligere sikkerhetsverktøy, tilgjengelige støtteordninger og gratis opplæringsressurser. Sikkerhetsarbeid må ikke være noe man bare driver med hvis man har et stort budsjett – det må være en grunnleggende del av det å drive virksomhet i en digital verden.
I et totalberedskaps-perspektiv står også de små bedriftene på frontlinjen, men uten skikkelig beskyttelse.
Vi har ikke råd til å vente
Cyberkriminalitet er en av vår tids største trusler. I et totalberedskapsperspektiv står også de små bedriftene på frontlinjen, men uten skikkelig beskyttelse. Hvis vi fortsetter å ignorere dette problemet, setter vi ikke bare disse virksomhetene i fare – vi setter hele samfunnets digitale sikkerhet på spill.
Når skal vi innse at cybersikkerhet ikke kan være en luksusvare? Jeg tenker at svaret er enkelt: Nå.
