Produktions-SMV’ers cybersikkerhed har meget store mangler
Danske små- og mellemstore produktionsvirksomheder (SMV’er) er i stigende grad blevet det svage led i forsyningskædens cybersikkerhed. Selvom digitaliseringen har skabt nye muligheder for effektivitet og vækst, afslører en ny, landsdækkende undersøgelse fra SDU, Forsvarsakademiet og Industriens Fond en alarmerende lav modenhed inden for cybersecurity og risikostyring.
”Det er ikke et spørgsmål om den næste cyberhændelse rammer din forsyningskæde. Det er et spørgsmål om, hvornår – og om I er forberedt”, lyder det i en ny, landsdækkende undersøgelse fra SDU, Forsvarsakademiet og Industriens Fond. Foto: 123rf.com
En af de mest bekymrende tendenser er, at mange SMV’er stadig tror, de er for små til at være mål for cyberangreb. 25 procent af de adspurgte virksomheder rapporterer, at de har været udsat for cyberangreb inden for de seneste to år – en stigning på fem procentpoint siden 2024. Alligevel ligger fokus på ’cybersikker supply chain risk management’ på det, forskerne kalder for ’et bekymrende lavt niveau’. På en skala fra 1 til 5 scorer virksomhederne i gennemsnit kun 1,82 til 2,86 på ti centrale praksisser – fra at kende sine kritiske leverandører til at have klare beredskabsplaner for cyberhændelser.
”Det er ikke længere et spørgsmål om ’hvis’, men ’hvornår’ en organisation bliver ramt. Men mange SMV’er mangler stadig de grundlæggende strukturer til at håndtere det”, siger Jan Stentoft, professor i supply chain management ved SDU og medforfatter til rapporten ’Cybersikkerhed i praksis: Indsigter fra danske produktionsvirksomheder’.
Lav modenhed, høj risiko
Undersøgelsen bygger på svar fra 155 danske produktions-SMV’er og afdækker en række kritiske svagheder som for eksempel:
1. Manglende overblik over leverandørkæden: Kun 22 procent af virksomhederne er omfattet af NIS 2-direktivet – og 11 procent ved slet ikke, om de er. 67 procent af SMV’erne stiller kun i begrænset omfang krav til cybersikkerhed over for deres leverandører. ”En kæde er ikke stærkere end det svageste led”, pointerer rapporten – og det svage led er ofte en SMV, der ikke har styr på sine underleverandørers sikkerhedsniveau.
2. Reaktiv i stedet for proaktiv: Virksomhederne scorer kun 2,0 ud af 5 på deres evne til at opdage nye cybertrusler (sensing) – og endnu lavere på evnen til at handle på dem (seizing) med 1,94 og tilpasse sig (transforming) med 2,4. ”Det betyder, at SMV’erne ofte først reagerer, når skaden er sket – og så er det for sent”, forklarer rapporten.
3. Geopolitiske trusler undervurderes: Selvom statssponsorerede cyberangreb og krige er de to største bekymringer (scorer 2,98 og 2,90 på en 5-punkts skala), ligger den samlede forståelse af geopolitiske risici på et lavt niveau. ”Mange virksomheder har endnu ikke internaliseret, at cybersikkerhed i dag er et strategisk og geopolitisk anliggende – ikke bare et it-problem”, skriver forfatterne.
Derfor er det et problem
For ledere i forsyningskæden – uanset om man er kunde, leverandør eller samarbejdspartner – er der tre centrale risici ved SMV’ernes lave modenhed:
1. Angreb via det svage led: Hackere udnytter ofte SMV’ers lavere sikkerhedsniveau som indgang til større virksomheder. Et eksempel er SolarWinds-hændelsen i 2020, hvor hackere via en lille softwareleverandør fik adgang til amerikanske myndigheder og store koncerner.
2. Driftsstop og forsinkelser: Hvis en SMV bliver ramt af ransomware, kan det lamme produktionen hos både virksomheden selv og dens kunder. ”Et angreb kan stoppe leverancer i dage eller uger”, advarer rapporten.
3. Tab af tillid og kontrakter: Stigende krav fra store kunder og myndigheder (for eksempel NIS 2) betyder, at SMV’er, der ikke kan dokumentere tilstrækkelig cybersikkerhed, risikerer at miste forretning.
4 trin til højere sikkerhed
Rapporten peger på fire konkrete handlinger, som SMV’erne – og deres samarbejdspartnere – kan sætte i værk nu:
1. Start med det basale: Multifaktorgodkendelse, regelmæssige sikkerhedsopdateringer og segmentering af netværk (især mellem IT og OT) er lavt hængende frugter, der kan reducere risikoen markant. ”Det er ikke de avancerede løsninger, der redder virksomheder – det er de grundlæggende principper, der bliver fulgt konsekvent”, skriver forfatterne.
2. Krav til leverandører – og kunder: Krav om cybersikkerhed bør indgå i alle kontrakter – både opad og nedad i værdikæden. ”Hvis I ikke stiller krav, vil leverandørerne heller ikke prioritere det”, pointerer rapporten. Fælles standarder som ISO 27001 eller IEC 62443 kan være et godt udgangspunkt.
3. Byg dynamiske kapabiliteter: SMV’erne må udvikle evnen til at sense, seize og transform – altså opdage trusler, handle hurtigt og tilpasse sig. ”Det handler om at skabe en kultur, hvor cybersikkerhed ikke er et engangsprojekt, men en løbende ledelsesdisciplin”, fortæller Jan Stentoft.
4. Samarbejd på tværs af kæden: Del viden om trusler med andre virksomheder i netværket. ”Cyberkriminalitet er et fælles problem – og løsningen må også være fælles”, skriver forfatterne. Fælles øvelser og beredskabsplaner kan styrke hele kædens robusthed.
Tid til handling
Den nye rapport er et opråb til ledere – både i SMV’erne og i de store virksomheder, der er afhængige af dem. ”Cybersikkerhed er ikke længere et valg, men et ledelsesansvar”, konkluderer forfatterne.
For ledere i produktion og forsyningskæden betyder det:
- Spørg ind til SMV’ernes sikkerhedsniveau – og hjælp dem med at hæve det.
- Stil klare krav – og følg op på, at de bliver overholdt.
- Del viden og ressourcer – for en stærk kæde kræver stærke led.
”Det er ikke et spørgsmål om den næste cyberhændelse rammer din forsyningskæde. Det er et spørgsmål om, hvornår – og om I er forberedt”, fremhæver rapporten.
Læs også: OT-sikkerhed: 5 centrale læringer om sikkerhed på fabriksgulvet
