Cybertruslerne vokser, og med NIS2 er kravene til it-sikkerhed i e-commerce skærpet for mange. Men hvordan ved du, om din virksomhed er godt nok rustet? Vi ser på fire af de spørgsmål, vi ofte får stillet – og som alle ecommerce-aktører bør stille sig selv lige nu.
Cybertruslen mod danske virksomheder er steget markant i de seneste år. I EU steg antallet af cyberangreb mod virksomheder og myndigheder med 16 % alene i 2024. Samtidig peger ENISA på, at sektorer som transport, logistik og handel – altså helt centrale områder i e-commerce – er blandt de mest angrebne. Hvilket er en af årsagerne til EU’s skærpede krav i NIS2-direktivet.
I Danmark har Center for Cybersikkerhed hævet niveauet for destruktive cyberangreb mod Danmark fra LAV til MEDIUM, som et resultat af en ustabil sikkerhedspolitisk situation på globalt plan. Noget der også smitter af på cyberdomænet.
Med kombinationen af det stigende trusselsniveau og de skærpede krav fra blandt andet NIS2, er det ikke så mærkeligt, at vi oplever et stigende fokus på it-sikkerhed hos vores kunder og generelt i markedet. Vi får især spørgsmål som: Hvordan sikrer vi compliance? Hvordan undgår vi huller i koden? Hvem holder øje om natten? Og hvad sker der, hvis vi bliver ramt?
I denne artikel tager vi fat på de fire spørgsmål enkeltvis, og giver dig vores svar. Sikkerhed skal skabe tillid og ro i maven, så det bliver en forretningsunderstøttende aktivitet og ikke kun et udefrakommende krav.
”Hvordan sikrer vi compliance?”
Med NIS2 og skærpede GDPR-krav er compliance rykket helt op på direktionsgangen. For mange er det en reel frygt at dumpe en audit eller miste en vigtig kunde, hvis man ikke kan dokumentere, at sikkerheden er på plads.
Det handler både om at skrive politikker, men mest af alt om at kunne vise, at de faktisk bliver fulgt. Fra risikovurderinger og adgangsstyring til beredskabsplaner og leverandørkontrol. Kravene er omfattende, og det er derfor stadig flere virksomheder ser mod partnere, der kan hjælpe med at oversætte lovkrav til praksis.
Hos Vertica arbejder vi tæt med kunder, der allerede er underlagt NIS2, og vi ser, hvordan compliance kan gå fra at være et irritationsmoment til at blive en tillidsskabende konkurrencefordel. Compliance er en integreret del af vores leverancemodel, og i praksis betyder det, at vores kunder kan bestå de tests og audits, de møder – og at deres forretning ikke bliver sat på spil af manglende dokumentation.
”Hvordan undgår vi fejl i koden?”
Det er sjældent, at cyberangreb foregår, som vi kender det fra diverse Hollywood-film, hvor en hacker på magisk vis hamrer på et tastatur, indtil vedkommende har adgang til Pentagons backend.
Det man ikke ser på skærmen er, at hackernes adgangsbillet til et it-system oftest bunder i små huller i koden: En manglende validering, en glemt opdatering eller en fejl i et plugin. Det er derfor, at udviklingsprocessen er så afgørende, når det kommer til cybersikkerhed.
Af samme årsag er det (heldigvis) blevet mere almindeligt for de fleste virksomheder at tænke god sikkerhedskik ind fra start i udviklingsprocessen - frem for først at tilføje sikkerhedslaget til allersidst.
Hos Vertica låner vi vores grundprincipper fra Secure Software Development Life Cycle (SSDLC), hvor sikkerhed er en del af hver eneste sprint. Det betyder blandt andet, at alle udviklere trænes og testes i sikkerhed løbende – men principperne er relevante for alle, der bygger digitale løsninger. Hvis sikkerhed ikke er indbygget fra starten, kan du aldrig lappe dig helt frem til compliance.
”Hvordan kan vi sikre os døgnet rundt?”
Angreb sker ikke kun i arbejdstiden. Faktisk rammer mange af de mest alvorlige hændelser om natten eller i weekenden, hvor de kan få lov at brede sig, før nogen opdager dem.
Derfor er spørgsmålet “Hvem holder øje, når vi sover?” blevet centralt i mange organisationer. Flere virksomheder etablerer i dag automatiseret 24/7-overvågning som et minimumskrav, fordi man ikke længere kan basere sin sikkerhed på håbet om, at uheldet ikke sker fredag aften. På den måde får udviklerne automatisk en besked, hvis der er problemer med løsningen, så de hurtigt kan reagere på det - uanset tidspunktet på dagen.
For at sige det som det er: Uden overvågning på dine løsninger er du blind i de timer, hvor angrebene oftest rammer hårdest. Derfor har vi i Vertica et bemandet team, der overvåger vores kunders løsninger, så vi altid kan reagere hurtigt på eventuelle sikkerhedsbrud.
”Hvad gør vi, hvis vi bliver ramt af et cyberangreb?”
Ingen kan garantere, at du aldrig bliver ramt. I så fald har nogen lovet dig for meget. Spørgsmålet er snarere, hvor hurtigt du kan komme på benene igen, og hvor store konsekvenserne bliver.
Det er her beredskab og gendannelsesprocedurer gør forskellen. En ting er at have en backup, noget andet er at have testet, at den faktisk kan gendannes hurtigt nok til, at kunderne mærker så lidt til nedbruddet som muligt. Mange virksomheder opdager først svaghederne, når det er for sent, og skaden for alvor er sket.
Vi ser hos Vertica, hvordan et stærkt beredskab kan være forskellen på et par timers forstyrrelse og et forretningskritisk nedbrud. Vi har både procedurer og erfaring til at gendanne de ramte dele af systemerne, begrænse skaderne og sikre, at forretningen fortsætter. Det betyder, at nedetid minimeres, og at dine kunder ofte ikke engang opdager, at der har været problemer. For e-commerce, hvor hver time kan koste millioner, er det en forskel, der mærkes på bundlinjen.
Cybersikkerhed er blevet forretningens fundament
Cybertruslerne stopper ikke. Tværtimod viser både statistikker og erfaring, at angreb bliver hyppigere, mere sofistikerede og dyrere at håndtere. Samtidig stiller NIS2-direktivet krav, som langt flere virksomheder end før er nødt til at leve op til.
Det kan føles som en tung byrde. Men sandheden er, at virksomheder, der tager sikkerheden alvorligt, også står stærkere i markedet. Når du kan dokumentere compliance, vinder du tillid hos både kunder, partnere og myndigheder. Når du har styr på udviklingsprocessen, reducerer du risikoen for kritiske nedbrud. Og når du har overvågning og beredskab på plads, kan du fortsætte driften, selv hvis angrebet rammer.
Sikkerhed er med andre ord ikke kun en forsvarsmekanisme – det er en konkurrencefordel. Det er fundamentet, som gør, at du kan vokse, innovere og tage nye digitale skridt uden at være bremset af frygt for det næste angreb eller den næste audit.
Så spørgsmålet er ikke længere, om din virksomhed har råd til at investere i cybersikkerhed. Det er, om du har råd til at lade være.
%20(1).webp)