Cybersikkerhed er ikke længere noget, der kun vedrører store virksomheder med egne IT-afdelinger. For mange SMV’er er det blevet et helt almindeligt vilkår i hverdagen.
Det afspejler sig også i nye tal fra Danmarks Statistik. I 2025 varetager knap 60 procent af virksomheder med mindst 10 ansatte selv IT-sikkerhedsaktiviteter. Året før var andelen 50 procent. En udvikling, der ifølge Marius Sangild, administrerende direktør i IT-sikkerhedsvirksomheden Cyber Partners, er et skridt i den rigtige retning.
“Det er positivt, at flere SMV’er tager ansvar for deres egen cybersikkerhed. Men vi ser stadig nogle grundlæggende misforståelser, som kan give en falsk tryghed,” siger han.
For cybertruslen rammer bredt. De fleste angreb er ikke målrettet bestemte virksomheder, men søger efter sårbarheder. Og de findes i virksomheder af alle størrelser.
Marius Sangild peger især på tre udbredte misforståelser, han ofte møder hos SMV’er.
1. "Det tager vores IT-leverandør sig af"
Mange SMV’er har en dygtig IT-leverandør eller en intern IT-ansvarlig, men antager fejlagtigt, at det automatisk betyder, at systemerne er sikre. Det er vigtigt at have klarhed over ansvaret.
“Cybersikkerhed er ikke kun et teknisk spørgsmål. Det handler i høj grad om forretning. Ledelsen er nødt til at spørge sig selv; Hvad er det, virksomheden absolut ikke kan undvære i morgen?” siger Marius Sangild.
Drift, økonomi, data og omdømme er forretningskritiske værdier, og derfor er cybersikkerhed også et ledelsesansvar. Når ledelsen har taget stilling til, hvilke systemer og processer virksomheden ikke kan tåle at miste, fx økonomisystemer, kundedata, produktion eller mail, bliver det langt lettere at prioritere de rigtige sikkerhedstiltag.
2. "Vi er nok for små til at være et mål"
En anden udbredt antagelse er, at mindre virksomheder går under radaren. Men i praksis sker langt størstedelen af cyberangreb automatisk og i stor skala. De er ikke målrettet bestemte virksomheder, men udnytter kendte sårbarheder hos dem, der mangler grundlæggende sikkerhed.
“Angrebene går ikke efter virksomhedens navn, men efter svagheder. Hvis der er hul i hegnet, bliver det udnyttet, uanset om der er 12 eller 1.200 ansatte,” siger Marius Sangild.
Når en SMV bliver ramt, kan konsekvenserne mærkes: Driften går i stå, leverancer forsinkes, og kunder bliver påvirket. Og regningen kan ifølge Marius Sangild hurtigt overstige prisen for et fornuftigt grundniveau af sikkerhed.
3. "Vi har politikker på plads, så vi er dækket ind"
Mange virksomheder har politikker, retningslinjer og dokumentation på plads. Det er et vigtigt fundament, men det beskytter ikke noget i sig selv.
Dokumenter stopper ikke phishing-mails. De installerer ikke opdateringer. Og de tester ikke backup.
“Vi møder mange virksomheder, der formelt set har styr på tingene, men hvor praksis halter. Det kan give en farlig falsk tryghed, også i forhold til cyberforsikringer, som ofte stiller konkrete krav, før dækningen gælder,” siger Marius Sangild.
Uden løbende opfølgning risikerer både politikker og forsikringer at blive mere papir end beskyttelse.
Overblik slår kompleksitet
Ifølge Marius Sangild behøver SMV’er ikke store og tunge cyberprogrammer for at komme i gang. Det vigtigste er overblik, særligt i ledelsen.
Han anbefaler et enkelt, månedligt overblik, for eksempel i form af et trafiklys (grøn, gul, rød), der dækker fem faste punkter: det aktuelle trusselsbillede, hændelser siden sidst, test og øvelser, compliance-krav samt planlagte forbedringer.
“Det kan klares på fem til ti minutter, men giver et fælles billede og gør det meget nemmere at prioritere rigtigt,” siger han.
Cybersikkerhed handler både om mennesker og teknologi
De fleste cyberhændelser starter ikke med avanceret hacking, men med helt almindelige situationer: travlhed, et klik eller en mail der ser rigtig ud.
Derfor er de mest effektive tiltag ofte også de mest jordnære: tofaktor-login på mail, korrekt brugerstyring, opdateringer der faktisk bliver kørt, backup der bliver testet – og en kultur, hvor det er okay at sige højt, hvis man er kommet til at klikke.
“Hvis man vil løfte niveauet hurtigt uden at gøre det tungt, er det der, man skal starte,” siger Marius Sangild.
Og hvis kompetencerne ikke findes internt, kan ekstern hjælp i en periode være en god investering. For mange SMV’er giver det stor værdi at have en sparringspartner, der kan hjælpe med prioritering, grundniveau og rapportering, uden at virksomheden skal opbygge sit eget sikkerhedsteam.
Få en times gratis rådgivning
Som medlem af SMVdanmark kan du få én times gratis, uforpligtende rådgivning hos Cyber Partners. Cyber Partners kan hjælpe dig med at få skabt et overblik over virksomhedens nuværende niveau for cybersikkerhed og pege på, hvor der med fordel kan sættes ind, uden krav om teknisk forhåndsviden eller køb af ydelser.
Kontakt Marius Sangild for gratis rådgivning på marius@cyberpartners.dk eller (+45) 3014 9010.
Læs mere om Cyber Partners her: www.cyberpartners.dk
