Forståelse af trusselsbilledet øger cybersikkerheden

Forsyningsvirksomheder bliver løbende ramt af cyberangreb. Den rette tilgang og forståelse af truslerne hjælper dig med at imødegå angreb og øge sikkerheden.

Opsummering:

• Forebyggelse i form af en stærk cybersikkerhed er bedre end helbredelse, da bare ét vellykket cyberangreb kan betyde nedlukning af virksomheden.
• Effektiv risikostyring er nøglen til at kombinere virksomhedens strategiske mål og viden om nuværende sikkerhedsniveau til et stærkt niveau for cybersikkerhed.
• Overblik over og indblik i fx interne systemer, forsyningskæden, trusselsaktører og medarbejdernes modenhed er et godt udgangspunkt.

Et gammelt ordsprog siger:  ”Det er bedre at forebygge end at helbrede”. I disse år, hvor cyberangrebene mod de fleste virksomheder og organisationer bliver stadig mere avancerede og hyppige i omfang, er det derfor ikke længere et spørgsmål om hvis man bliver angrebet – men hvornår.

Der er stort set dagligt nyheder om nye cyberangreb og -hændelser. Et godt eksempel er nyheden fra 3. oktober 2025, hvor det kom frem, at de danske vandforsyningsvirksomheder rammes af mere end 6.000 forsøg på hacking – i timen! (Kilde: Ingeniøren).

Årsagerne til de stadigt mere avancerede og hyppige cyberangreb kan være forskellige, men resultatet af et vellykket cyberangreb kan være omfangsrigt og medfører ofte store tab, eller i yderste konsekvens nedlukning af virksomhedens drift. Derfor giver det gamle ordsprog mening. Hellere forebygge end at helbrede. For selvom det måske er forbundet med omkostninger at forebygge, er det en nødvendig udgift, hvis alternativet er store udgifter til at rydde op efter bare ét vellykket angreb!

Forebyggelse af cyberangreb

Gode spørgsmål er: Hvordan forebygger jeg bedst? Hvad giver bedst mening i min forsyningsvirksomhed?

Et svar herpå er, at forstå og anvende alle områder i virksomhedens samlede Governance (ledelse), Risk (risiko) og Compliance (overholdelse) struktur, typisk forkortet ”GRC” – eller på dansk; virksomhedens sikkerheds- og styringsrammer.

Overordnet indeholder GRC følgende typiske aktiviteter:

Har din virksomhed styr på den samlede GRC vil det – alt andet lige – give en forbedret modstandsdygtighed i forhold til cybertrusler.

Risikostyring

Når det handler om at beskytte virksomheden mod cyberangreb, er risikostyringen (Risk) det mest kritiske element i GRC. Governance og Compliance skaber rammer for den organisatoriske styring og strategiske afstemning, samt sikrer overholdelse af regler, men det er gennem risikostyring, at man aktivt identificerer, vurderer og håndterer såvel aktuelle som potentielle trusler, der kan resultere i en hændelse og i yderste konsekvens resulterer i nedlukning af virksomhedens drift.

Cyberangreb bliver som nævnt stadigt mere avancerede og hyppige, og en god risikostyring kræver en aktiv tilgang, hvor man løbende analyserer sårbarheder og implementerer mitigerende foranstaltninger.

Uden en velfungerende risikofunktion, med en forståelse af relevante aktuelle og potentielle trusler, bliver Governance nemt teoretisk og Compliance reaktiv. Det er derfor via risikostyringen, at de strategiske mål og lovkrav skal omsættes til praktisk beskyttelse – fx gennem trusselsvurderinger hvor sandsynlighed og konsekvens af den enkelte trussel vurderes og passende handlinger fastlægges.

Et godt sted at starte risikostyringen, er ved at udarbejde eller ajourføre følgende dokumenter:

• Kartotek over risici (Risk Register): En systematisk oversigt over identificerede risici, deres sandsynlighed, konsekvens og planlagte mitigerende tiltag.
  
  
• Trusselsvurdering (Threat Assessment): Dokumentation af aktuelle og potentielle cybertrusler, fx fra ENISA.
  
  
• Sårbarheds­vurdering (Vulnerability Assessment Reports): Resultater fra scanninger og analyser af både IT- og OT-systemer, netværk og applikationer for kendte sårbarheder.
  
  
• Risikoanalyse (Risk Assessment Report): En dybdegående analyse af, hvordan identificerede trusler kan påvirke virksomhedens aktiver og forretningsprocesser.
  
  
• Kontroloversigt (Control Matrix): En liste over eksisterende sikkerhedsforanstaltninger og deres effektivitet i forhold til identificerede risici.
  
  
• Compliance gap-analyse: Sammenligning af nuværende opsætning med gældende lovgivning og standarder, fx ISO, NIST, NIS2, CER.
  
  
• Cyber Incident Response Plan: En beredskabsplan for, hvordan virksomheden håndterer og reagerer på cyberhændelser.
  
  
• Business Impact Analysis (BIA): Vurdering af, hvordan forskellige typer af cyberhændelser påvirker forretningskritiske funktioner og processer.
  
  
• Oversigt over systemer og data (Asset Inventory): En opdateret oversigt over IT- og OT-aktiver, systemer og data, som er nødvendige for at vurdere eksponering og væsentlighed.
  
  
• Revisionsrapporter: Dokumentation fra interne compliance audits eller ekstern revision, der afdækker svagheder og forbedringsområder i sikkerheds- og risikostyring.

Med udgangspunkt i disse dokumenter, får virksomheden en grundlæggende og nødvendig forståelse af, ikke kun hvilke systemer, der skal beskyttes men også i en prioriteret rækkefølge, samt hvem der skal ses som aktuelle eller potentielle trusselsaktører – samt hvor ”de svageste led i kæden” måtte være. Virksomheden opnår med andre ord et solidt beslutningsgrundlag for at kunne prioritere indsatsen indenfor de områder, som måtte være mest aktuelt for din forsyningsvirksomhed.

Eksempler på risici, som er typiske indenfor cybertrusler er:

• Medarbejderne er ikke tilstrækkeligt opmærksomme på fx phishing-angreb eller ransomware-angreb, som kan forekomme via tryk på links i e-mails.
• Virksomhedens netværk er ikke segmenteret (opdelt) så fx de administrative funktioner og produktionen afvikles på forskellige netværk. Dermed kan produktionen påvirkes, hvis en medarbejder i bogholderiet trykker på et ondsindet link.
• Virksomheden har ikke implementeret en procedure for periodisk gennemgang af brugerkonti og logfiler.
• Virksomheden anvender standardindstillingerne i fx Microsoft Server miljøer.
• Produktionssystemer er koblet direkte på internettet.
• Der er oprettet for mange bruger- og systemkonti med udvidede rettigheder – eller adgang til de interne systemer for eksterne brugere lukkes ikke ned når de ikke bruges.
• Eksterne serviceleverandører i virksomhedens værdikæde har ikke udført tilstrækkelig egen risikovurdering og opsat tilstrækkelige mitigerende handlinger.

Ofte vil det være en god idé at inddrage ekstern assistance i udarbejdelsen ovenstående dokumentation. Virksomheden har typisk egne eksperter, med stor viden om virksomhedens egne driftssystemer, men kan have behov for sparring med en ekstern rådgiver, der bringer opdateret viden om øvrige forhold, tekniske løsninger til fx sårbarhedsscanninger eller best Practicesp, som det kan være svært at holde sig ajour med internt. Derudover bidrager en ekstern partner med objektiv sparring og erfaring fra lignende organisationer.

Kontakt os

Kontakt os gerne, hvis du ønsker at indgå i en dialog med os som en aktiv sparringspartner. Vi har, som en betroet rådgiver, stor erfaring med at hjælpe vores kunder både proaktivt, men også reaktivt hvis uheldet er ude.

Vi står klar til at hjælpe jer:

• Julia B. Thomassen, Associate Partner, Forensic & Integrity Services, tlf. 2529 5390
• Lars Frandsen, Senior Manager, Forensic & Integrity Services, tlf. 2529 6837
• Hanny Ammal, Senior Manager, Forensic & Integrity Services, tlf. 2529 5754