De mest skadelige databrud kan forebygges: Sådan gør du

Af Phil Muncaster • 17 juli 2025

Vi ved alle, at mange organisationer kunne gøre databeskyttelse bedre. Den britiske regerings Cyber Security Breaches Survey 2025 fremhæver en hel liste af mangler – fra oplysningstræning til håndtering af hændelser – der indirekte udsætter dem for cyberrisiko. Selv eksistensen af en streng databeskyttelsesramme (GDPR/databeskyttelsesloven 2018) i de sidste syv år har ikke bidraget til at dæmme op for strømmen. regeringens påstande Over to femtedele (43%) af britiske virksomheder har oplevet et angreb eller et sikkerhedsbrud inden for de seneste 12 måneder.

Der er dog rigelige muligheder for hurtige gevinster, hvilket fremhæves af en ny rapport fra Huntsman SecurityDen bemærker, at 30 % af de hændelser, der blev rapporteret til databeskyttelsesmyndighederne i Storbritannien og Australien sidste år, var ansvarlige for 90 % af ofrene for brud. Rapportens resultater kan derfor give et nyttigt sted for likviditetsramte organisationer at fokusere deres umiddelbare indsats.

Hvordan Storbritannien og Australien adskiller sig

Huntsman Security indsendte en anmodning om informationsfrihed (FOI) til både den britiske informationskommissær (ICO) og den australske informationskommissær (OAIC). Resultaterne giver et lidt forskelligt billede af det lovgivningsmæssige og virksomhedssikkerhedslandskab i hvert land.

Storbritannien: Ud af de 9,654 datasikkerhedshændelser, der blev rapporteret af britiske virksomheder til ICO sidste år, var 2,817 (29%) forbundet med brute-force-angreb, malware, phishing, ransomware og systemfejlkonfigurationer. Alligevel tegnede disse hændelser sig for næsten 80% af ofrene for brud: 13.9 millioner ud af 17.6 millioner.

Huntsman Security hævdede, at disse også repræsenterede 90 % af cyberrelaterede datasikkerhedshændelser, hvilket betyder, at et fokus på sikkerhedskontroller kunne være en effektiv måde at afbøde dem på. Mange var tilsyneladende meget målrettede og derfor designet til at resultere i tyveri af værdifulde data såsom sundhedsjournaler, økonomiske oplysninger og identitetsdokumenter.

Australien: I alt 1,188 hændelser (32 % af det samlede antal rapporterede hændelser mellem 2022/24) involverede brute-force-angreb, malware, phishing, ransomware, hacking og uautoriseret adgang. Disse var ansvarlige for 77 % af alle kompromitterede data. Rapporten afslører også, at kriminelle angreb (i modsætning til utilsigtede brud) tegnede sig for 62 % af alle brud, men 98 % af alle ofre.

Rapporten fremhæver også, at det i Australien tog organisationer 48 dage at identificere disse brud og 86 dage, før de blev rapporteret til OAIC. Det er simpelthen ikke tilladt i henhold til GDPR, hvor anmeldelse i de fleste tilfælde skal ske inden for 72 timer.

Hvor Storbritannien fejler

Disse resultater stemmer til en vis grad overens med den britiske regerings rapport om brud på reglerne. Som tidligere rapporteret af ISMS.online, Den fremhæver en lang række problemer, der bidrager til en stigning i forebyggelige databrudshændelser, herunder en generel mangel på:

Personalets træningsprogrammer, hvor optagelsen ikke havde ændret sig fra året før
Risikovurderinger af tredjepartsleverandører, som kun blev udført af 32 % af mellemstore og 45 % af store virksomheder
Hændelsesplaner, som kun blev brugt af halvdelen (53 %) af mellemstore virksomheder og tre fjerdedele (75 %) af store virksomheder
Cybersikkerhedsstrategi: kun 57 % af mellemstore virksomheder og 70 % af større virksomheder havde overhovedet en
Repræsentation i bestyrelsen for cyberangreb: Kun halvdelen (951%) af mellemstore virksomheder og to tredjedele (66%) af store virksomheder havde en person med ansvar for cyberstrategi ved øverste bord – et tal, der stort set var uændret i tre år.
Månedlige cyberopdateringer til virksomhedsledere, hvilket kun 39 % af mellemstore og 55 % af store virksomheder gør

Tilpasning af bedste praksis med standarder

Der er én forbehold ved Huntsman Securitys tal. De tæller kun hændelser, hvor en årsag kunne identificeres for hvert brud. Mange flere har muligvis ikke tildelt en på grund af dårlig retsmedicin eller dårlig hændelsesrespons. Det fremhæver dog stadig et vigtigt budskab. Ved at fokusere på ovenstående hændelsestyper og trusler, samt bedste praksis for cybersikkerhedsprocesser, der vides at afbøde disse risici, kan sikkerhedsteams opnå nogle nyttige hurtige gevinster.

Morten Mjels, administrerende direktør for konsulentvirksomhed Grøn Ravn, argumenterer for, at kultur er nøglen til at sikre, at bedste praksis følges.

"Ændringen skal komme oppefra og ned, og du kan ændre kulturen ved blot at implementere flere fremgangsmåder på én gang," fortæller han ISMS.online. "Hvis du ikke aner din potentielle eksponering, så få foretaget en risikovurdering professionelt. De vil være i stand til at finde hullerne i dine vægge og kan hjælpe dig med at reparere dem. Stol ikke på, at dine IT-folk reparerer alt; de er ikke alvidende mirakelmagere."

Piers Wilson, chef for produktledelse hos Huntsman, fortæller ISMS.online, at standarder og rammer som ISO 27001 og ISO 27701 "kan være en vigtig del af at afbøde cyberrisici ved at sikre, at organisationer forstår deres risici, følger bedste praksis og definerer passende kontroller."

Han tilføjer: "Det vigtige er at vælge, hvilket rammeværk man anvender: om det er ISO, NIST eller mindre, mere fokuserede standarder og ordninger som Cyber Essentials eller Australiens Essential Eight."

Målet bør hele vejen igennem være at etablere et sæt kontroller, der er bredt forstået og anerkendt og derefter anvendes universelt, tilføjer han.

"I de fleste tilfælde er intentionen eller politikken ikke problemet; det er udførelsen. Overholdelse af standarder kan risikere at blive en øvelse med afkrydsningsfelter, og tempoet i revision og rapportering er muligvis ikke hyppigt nok i forhold til moderne, skiftende cybertrusler," argumenterer Wilson.

"En årlig revision eller kvartalsrapport giver ikke den realtidssynlighed og forståelse af sårbarheder, som det moderne trusselslandskab kræver. Mellem disse revisioner kan organisationens holdning ændre sig og være stort set usikker."

Derfor kræver ISO 27001, at organisationer udfører regelmæssige interne revisioner og løbende overvågning for at fremme løbende forbedringer.

Wilson bemærker, at effektiv kommunikation er afgørende for at opnå compliance.

"Alle interessenter i en organisation, fra sikkerhedsanalytikere til risikostyringsteams og ledere, skal med et hurtigt blik forstå, om god, aftalt praksis følges, hvilke statslige kontroller der rent faktisk er på plads, og hvem der er ansvarlig for at løse problemer," konkluderer han.

"Det er afgørende at sikre denne kontinuerlige synlighed og kommunikation for at disse standarder kan have den ønskede effekt."

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Læs mere fra Phil Muncaster

Cyber sikkerhed 11. November 2025

Hvad Deloitte Australia-sagaen siger om risiciene ved at administrere AI-banner

Hvad Deloitte Australia-sagaen siger om risiciene ved at håndtere AI

Generativ AI (GenAI) har nået de højeste niveauer af branchehype, siden den brød frem i slutningen af 2022. Nu træder den ind i det, som Gartner kalder...

Phil Muncaster

Cyber sikkerhed 6. November 2025

NCSC siger "Det er tid til at handle", men hvordan?

Det er usædvanligt at se et åbent brev fra en virksomhedsleder i starten af en regeringsrapport om cybersikkerhed. Især en person, hvis virksomhed har j...

Phil Muncaster

Cyber sikkerhed 16 oktober 2025