Cybersikkerhed: Uerkendte sårbarheder vælter driften
"Det er sjældent teknologien i sig selv, der er farlig. Det er afhængigheder, overgange, tavs viden og langsom erkendelse." Sådan lød det klare budskab fra Ole Anker Aagaard, Head of Legal and Compliance i ExamVision, da han på en konference om cybersikkerhed og forretningskontinuitet delte virksomhedens erfaringer med at navigere i et stadig mere komplekst trusselslandskab.
ExamVision har taget skridt til at imødegå disse udfordringer ved at integrere cybersikkerhed som en driftsdisciplin (billedet er et arkivbillede og er ikke fra ExamVisions produktion). Foto: 123rf.com
ExamVision er en global leverandør af klinisk medicinsk udstyr med base på Samsø, har i de seneste år måttet erkende, at uerkendte sårbarheder kan bringe driften til at vakle. Virksomheden oplever en årlig vækst på cirka 15 procent og er i dag repræsenteret på seks kontinenter, med forpligtelser over for 600 kategorier af lovgivning og standarder. Men væksten har også medført en eksponentiel stigning i kompleksitet og tilhørende udfordringer:
- Globale reguleringer skaber udfordringer i forsyningskæden.
- Personligt tilpasset udstyr betyder håndtering af over 200.000 personlige identifikatoroplysninger på sundhedspersonale.
- Sprog, kultur og værdier varierer betydeligt på tværs af markeder.
- Investeringer i cyber- og compliance kommer ofte først efter fokus på toplinjen.
"Vi har aldrig prøvet det før", lyder det fra Ole Anker Aagaard. Og det er netop her, de ukendte sårbarheder opstår – i skjulte afhængigheder, porøse overgange mellem funktioner og tavs viden, der kun eksisterer i enkelte medarbejderes hoveder. Det fortalte han om på slutkonferencen for det flerårige projekt ’Cybersikkerhed og forretningskontinuitet’ drevet af SDU, Forsvarsakademiet og Industriens Fond, hvor ExamVision har været projektdeltager.
Fra analyse til organisatorisk bevægelse
ExamVision har taget en tværorganisatorisk tilgang til at styrke cybersikkerheden. Ole Anker Aagaard understreger, at virksomheden fokuserer på at opdage sine blinde vinkler, før en krise gør det. Facilitering af denne proces er ikke abstrakt, men kræver konkrete handlinger, hvor trusselsbilleder tvinges sammen for at afdække sårbarheder. Tre centrale spørgsmål stilles for at skabe robusthed:
- Hvor er virksomheden reelt sårbar?
- Hvilke afhængigheder kan stoppe driften?
- Hvad lever kun i bestemte medarbejderes hoveder?
Disse spørgsmål er afgørende, da ExamVision har erfaret, at tavs viden og porøse overgange mellem funktioner kan skabe ukendte sårbarheder, der kan lamme driften, hvis de ikke håndteres proaktivt.
Undersøgelsen "Cybersikkerhed i praksis: Indsigter fra danske produktionsvirksomheder" fra april 2026 understøtter ExamVisions erfaringer. Undersøgelsen er baseret på svar fra 155 danske produktionsvirksomheder, og den viser, at 25 procent af virksomhederne har været udsat for cyberangreb inden for de seneste par år. Dette tal er steget med 25 procent siden 2024, hvilket indikerer en stigende trussel.
Undersøgelsen afdækker også, at danske små og mellemstore virksomheder i begrænset omfang stiller cybersikkerhedskrav i deres aftaler med kunder og leverandører. Kun 22 procent af virksomhederne er omfattet af NIS 2-direktivet, mens 67 procent ikke er, og 11 procent ikke ved, om de er omfattet. Dette peger på en lav modenhed i håndteringen af cybersikkerhed i værdikæden.
Cybersikkerhed er strategi
ExamVision har lært, at cybersikkerhed ikke kun er et teknisk spørgsmål, men også et strategisk og ledelsesmæssigt anliggende. Virksomheden har erfaret, at optimistisk rapportering kan være et varselssignal. Hvis virksomheden først under pres opdager, hvem der ejer hvad, hvilke processer der kun lever i bestemte hoveder, og hvor support- eller dataafhængigheder faktisk ligger, er skaden allerede begyndt at forplante sig. Langsom erkendelse medfører flere ikke-budgetterede omkostninger end selve hændelsen.
Undersøgelsen viser desuden, at danske små og mellemstore virksomheder har et bekymrende lavt niveau af dynamiske cybersikkerheds-kapabiliteter. Gennemsnitsværdierne for ’sensing’, ’seizing’ og ’transforming’ ligger på henholdsvis 2,0; 1,94 og 2,4 på en 5-punkts Likert-skala. Dette indikerer en begrænset evne til at identificere, udnytte og tilpasse sig cyberrelaterede muligheder og trusler, hvilket øger risikoen for forsinkede reaktioner og svækker virksomhedernes langsigtede robusthed.
Cybersikkerhed som driftsdisciplin
ExamVision har taget skridt til at imødegå disse udfordringer ved at integrere cybersikkerhed som en driftsdisciplin. Virksomheden har erkendt, at robusthed kræver fælles virkelighed og et team, som får lov at forstyrre den etablerede orden for at opdage og håndtere sårbarheder. Ole Anker Aagaard understreger, at det er afgørende at facilitere den tværgående erkendelse, så organisationen kan styrke sikkerheden i tide.
Læs også: Geopolitik og regulering er største risici – men åbner nye muligheder
Cybersikkerhed er ikke et it-projekt
Ole Anker Aagaards budskab blev understreget af Søren Lind Therkildsen, COO i GomSpace A/S, der også holdt oplæg på konferencen den 29. april. Han fremhæver, at cybersikkerhed må betragtes som en driftsdisciplin. Ifølge Søren Lind Therkildsen befinder forsyningskæder sig ofte i kaos, når de rammes af cyberangreb, leverandørsvigt eller systemnedbrud. "I kaos hjælper analyser og planer ikke – der skal handles hurtigt for at genskabe stabilitet", pointerer han.
GomSpace har erfaret, at robusthed opstår, når:
- Kritiske leverancer har mere end én vej.
- Systemer kan erstattes eller omgås midlertidigt.
- Beslutninger kan træffes lokalt under forstyrrelser.
- Organisationen kan skifte fra effektiv drift til stabilisering.
