Forsvarets Efterretningstjeneste FE har netop udgivet deres trusselsvurdering "Udsyn 2023".

I denne 75 siders rapport gives et dystert billede af det aktuelle trusselsniveau.

Truslerne fra Rusland og Kina er omfattende. Og virksomheder der arbejder med forskning eller er involveret i donationer til Ukraine er cyberspionage en reel trussel.

Men for de fleste virksomheder er truslen fra de IT-kriminelle den største trussel. Trusselsbilledet har aldrig været højere.

Citat af analysechef Mark Fiedel

Så det kan kun gå for langsomt med at iværksætte passende foranstaltninger.

Du kan læse rapporten på FE's hjemmeside.

Center for Cybersikkerhed har lige offentliggjort deres trusselsvurdering ”Ransomware-truslen mod produktionsvirksomheder”. Og ikke uventet er deres trusselsvurdering ”MEGET HØJ”.

Det er samtidig disse virksomheder som også i denne tid bør kigge i retning af NIS2 kravene, da mange produktionsvirksomheder indenfor fødevarer, medicin, maskiner o.l. bliver direkte omfattet af NIS2 kravene.

Der er uden tvivl flere svar, men lad mig prøve at fokusere på nogen af de væsentligste.

Panik-faktoren

For en produktionsvirksomhed betyder oppetid alt, når IT-systemerne er lagt ned, går der typisk ikke lang tid før produktionen stopper og medarbejdere skal sendes hjem. Det er utrolig dyrt at holde en produktion stoppet, derfor er det nemt for de IT-kriminelle at skabe panik og måske overtale en virksomhed til at betale en løsesum.

Komplekse sårbarheder

Produktionsvirksomheder har både IT og OT, dvs. at de har operationel teknologi, som anvendes til at styre maskiner og processer i produktionen. Dette gør det mere kompliceret at få overblik og beskytte virksomheden. Og det åbner flere angrebsmuligheder for de IT-kriminelle.

Høj grad af on-premise

Lidt i boldgade med anvendelse af OT, er det også typisk sådan at produktionsvirksomheder ikke er så langt med at flytte applikationer og data i skyen. Applikationer og data i skyen er nemmere at beskytte og en stor del af ansvaret for en høj IT-sikkerhed overtages af IT-leverandørerne. Dette er ofte ikke tilfældet for producerende virksomheder, som oftest har servere og en del af infrastrukturen placeret i deres eget serverrum. Dette betyder at kunden selv har et stort ansvar for løbende opdatering, antimalware og backup. Opgaver der kræver kompetencer som ikke altid er til stede.

Alt i alt er produktionsvirksomheder således en lækkerbisken for de IT-kriminelle og det anbefales på det kraftigste at arbejde med IT-sikkerheden løbende.

Du kan læse Center for Cybersikkerheds trusselsvurdering for produktionsvirksomheder her.

.

Når vi arbejder med IT-sikkerhed og cybersikkerhed er det vigtigt at have nogle gode tjeklister. Et foranstaltningskatalog er netop dette - en tjekliste.

D-mærket er en god tjekliste med de i alt 31 kriterier, Datatilsynets nye foranstaltningskatalog har 25 konkrete foranstaltninger med fokus på beskyttelse, ISO-27001 er en anden tjekliste, hvor Anneks A har 93 foranstaltninger.

Det vigtigste er at man arbejder med passende foranstaltninger.

Derfor er det nemt i Nem ISMS at arbejde med flere foranstaltningskataloger på samme tid eller efter hinanden.

Nem ISMS understøtter allerede Datatilsynets foranstaltningskatalog.

Er du nysgerrig så kan du selv dykke ned i Datatilsynets foranstaltningskatalog.

Vil du opleve hvordan man kan arbejde struktureret med IT-sikkerheden så kontakt os og book en demo af Nem ISMS.