Digitalisering

Når angrebene bliver hybride: Hvorfor danske virksomheder skal tænke sikkerhed helt forfra

Hybride trusler er ikke et sikkerhedstema – de er et forretningsvilkår. Cyberangreb er ikke længere enkeltstående hændelser. De er blevet en del af en bredere strategisk værktøjskasse, hvor stater og kriminelle aktører kombinerer digitale angreb, fysisk sabotage og informationspåvirkning. Formålet er sjældent kun økonomisk gevinst. Det handler om pres, destabilisering og strategisk fordel

Af CBS Efteruddannelse

Ole Willers, postdoc ved CBS, formulerer det klart:

“Hybride trusler er de metoder og kapaciteter, som fremmede stater bruger for at opnå strategiske resultater uden at anvende konventionel militær magt. Cyberangreb, sabotage og desinformation fungerer samlet som et trykpunkt mod samfundet.”

Det er ikke et fremtidsscenarie. Sabotage mod europæisk infrastruktur – jernbaner, energiforsyning og undersøiske datakabler – har allerede fundet sted. Danmark er særligt udsat, fordi landet er et digitalt knudepunkt i Nordeuropa. Ifølge International Institute for Strategic Studies er Europas kritiske infrastruktur svækket af årtiers manglende vedligeholdelse og investeringer. Det betyder, at angribere ikke behøver at ramme hårdt – de skal blot ramme rigtigt.

Virksomheder er første angrebsmål

Danske virksomheder udsættes for tusindvis af angreb hver uge. Ransomware og supply-chain-angreb er ikke længere undtagelser, men standardværktøjer. Samtidig er angrebene blevet mere destruktive.

Angrebet mod vandselskabet ved Køge markerede et skifte. Det var ikke et forsøg på afpresning, men et forsøg på fysisk skade.

Angrebet blev tilskrevet Rusland-tilknyttede hackere. At truslen fra destruktive angreb stadig betegnes som moderat, er svært at forene med realiteterne

Ole Willers, postdoc ved CBS

For virksomheder ændrer det risikobilledet fundamentalt. Risikoen er ikke længere lineær, men systemisk. Ét kompromitteret system kan udløse kædereaktioner i værdikæder, som allerede er sårbare over for geopolitik, handelskonflikter og forsyningsproblemer. Samtidig er grænsen mellem statslige og kriminelle aktører blevet flydende. Hackere opererer i gråzoner, hvor stater ser gennem fingre – eller aktivt udnytter deres aktiviteter.

Desinformation er en potentiel – men endnu usikkert kortlagt – forretningsrisiko

Forskning peger på, at falsk information kan sprede sig hurtigere end faktabaseret indhold på digitale platforme, blandt andet på grund af algoritmisk forstærkning og stigende brug af automatiserede værktøjer. Studier inden for informationsspredning og politisk kommunikation viser dog samtidig, at effekterne er komplekse og vanskelige at isolere.

For erhvervslivet er billedet mere uklart. Der findes endnu relativt få veldokumenterede eksempler på virksomheder, der direkte har lidt målbar økonomisk skade som følge af statsligt orkestreret desinformation. Usikkerheden er høj, og årsagssammenhænge er svære at fastslå.

Alligevel vurderer flere analyser, at risikoen ikke bør afskrives. I takt med at stater i stigende grad anvender informationspåvirkning som geopolitisk redskab, kan virksomheder – særligt dem med strategisk betydning, nationale tilknytninger eller politisk følsomme produkter – i princippet blive indirekte mål. Ikke nødvendigvis gennem direkte angreb, men via narrativer, der påvirker regulatorisk adfærd, forbrugertillid eller markedsadgang.

Kort sagt: Desinformation er endnu ikke en veldokumenteret, systematisk erhvervstrussel – men den er en plausibel fremtidig risiko, som virksomheder bør forholde sig analytisk og nøgternt til, ikke alarmistisk.

Den egentlige sårbarhed er organisatorisk

De fleste virksomheder forstår i dag, at trusselsbilledet er alvorligt. Problemet er ikke erkendelse, men incitament.

Ole Willers peger på en grundlæggende markedsfejl:

“Virksomheder bærer sjældent hele omkostningen ved et angreb. Når en lille leverandør kompromitteres, bruges den ofte som indgang til større kunders systemer. Samtidig er sikkerhed svært at måle, og kunder betaler sjældent for noget, de ikke kan se.”

Resultatet er velkendt: Alle ved, at sikkerhed er nødvendig. Ingen vil investere først. SMV’er har mindst kapacitet og størst risiko, men store virksomheder er heller ikke immune. Kompleks organisation, uklart ansvar og kortsigtede forretningsmål gør sikkerhed til et sekundært hensyn.

Det afgørende skifte er ledelsesmæssigt. Cybersikkerhed kan ikke være et IT-anliggende.

“Kun når sikkerhed er et C-level-ansvar, kan indsatsen koordineres på tværs af IT, jura, supply chain og eksterne partnere,” siger Ole Willers.

Det handler om at bevæge sig fra compliance til risikostyring. Fra brandslukning til robusthed. Fra isoleret cybersikkerhed til samlet erhvervssikkerhed.

Staten og erhvervslivet: Frivillighed er ikke nok

Virksomheder kan ikke løse problemet alene. De strukturelle markedsfejl kræver politisk indgreb. I Danmark er man fortsat for afhængig af frivillig efterlevelse.

Vi har brug for en offentlig sektor, der både definerer ansvar, understøtter implementering – især i SMV’er – og faktisk håndhæver reglerne. Mange ledere udskyder investeringer, fordi de ikke forventer konsekvenser.

Ole Willers, lektor ved CBS

Offentligt-privat samarbejde er nødvendigt, men det skal være funktionelt. For mange partnerskaber ender som dialogfora uden reelle beslutninger. Staten må skabe rammer, hvor sikkerhed bliver en rationel investering – ikke et idealistisk valg.

Det kræver:

konsekvent håndhævelse af eksisterende regler
støtteordninger, der virker i praksis
klare og realistiske krav
en tydelig erkendelse af, at visse opgaver er samfundskritiske – ikke forretningskritiske

I en verden med hybride trusler er sikkerhed ikke et værn. Det er en forudsætning for at kunne konkurrere.

Cyberkrig i Ukraine og beskyttelse af kritisk infrastruktur: hvad NIS2 betyder for dig

Danmark er ikke klar til EU’s nye cybersikkerhedsregler

Skab robuste organisationer til en foranderlig og usikker verden

Fandt du dette interessant? Så tilmeld dig vores nyhedsbrev og få adgang til endnu mere af vores forskning og til vores events.

CBS Efteruddannelse adresserer de store samfundsudfordringer og giver dig mulighed for at lære gennem undervisning og events, som bygger på forskning tæt forbundet med din hverdag.

Udfyld formularen og få:

Personlige invitationer event invitationer
Adgang til vores nyeste forskning, når det udkommer i form af artikler, podcast, video
Mere viden om vores efter- og videreuddannelse

Future Tech for Business

Gain insights into future technologies like artificial intelligence, blockchain, and quantum computing to future-proof your organisation and optimise business operations.

Lær mere

Digital Business

Kurset fokuserer på udvikling og implementering af digitale forretningsløsninger og med at vurdere digitale forretningsmodeller i forhold til praktiske situationer.

Lær mere

Master of Business Development

Uddannelsen for dig, der brænder for at skabe nye, innovative løsninger og vil tage ansvar for at løfte og udvikle forretningen – for dig, der vil mere.

Lær mere

Når angrebene bliver hybride: Hvorfor danske virksomheder skal tænke sikkerhed helt forfra

Angrebet blev tilskrevet Rusland-tilknyttede hackere. At truslen fra destruktive angreb stadig betegnes som moderat, er svært at forene med realiteterne

Vi har brug for en offentlig sektor, der både definerer ansvar, understøtter implementering – især i SMV’er – og faktisk håndhæver reglerne. Mange ledere udskyder investeringer, fordi de ikke forventer konsekvenser.

Læs mere

Din vej til mere viden

Lær mere