De 7 IT-sikkerhedsråd — sådan kommer I i mål med det grundlæggende
De fleste cyberangreb rammer dem, der ikke har styr på det grundlæggende. Få en gennemgang af de 7 IT-sikkerhedsråd fra Sikkerdigital.dk — og hvad det betyder i praksis for danske SMV'er.
Hvorfor de syv råd?
Sikkerdigital.dk og Center for Cybersikkerhed har samlet syv grundlæggende råd, der tilsammen lukker langt størstedelen af de huller, cyberkriminelle udnytter mod danske virksomheder. Rådene er ikke avancerede, men det er præcis derfor de virker — og derfor de overses.
Vi gennemgår her hvert råd, hvad det betyder konkret, og hvordan I kommer i gang uden at det vælter hverdagen.
1. Få overblik over vigtige data og systemer
I kan ikke beskytte det, I ikke kender. Start med at kortlægge hvilke data og systemer der er forretningskritiske — økonomi, kundedata, produktion, mail — og hvor de ligger (on-prem, Microsoft 365, branchesystem, ekstern leverandør).
Et simpelt regneark er nok til at komme i gang. Det vigtigste er, at I ved hvor I står, hvis der opstår en hændelse.
2. Opdater programmer løbende
Næsten alle alvorlige angreb udnytter kendte sårbarheder, som producenten allerede har lukket. Aktivér automatisk opdatering på Windows, macOS, browsere og Microsoft 365 — og hav en proces for de programmer, der ikke opdaterer sig selv.
Tommelfingerregel: opdateringer bør være installeret inden for 14 dage. Kritiske patches hurtigere.
3. Tag backup af vigtige data
Backup er sidste forsvarslinje mod ransomware. Følg 3-2-1-reglen: 3 kopier af data, på 2 forskellige medier, hvoraf 1 ligger off-site eller er immutable (kan ikke ændres af en angriber).
Og — vigtigst — test at I rent faktisk kan gendanne. En backup man ikke har afprøvet, er ikke en backup.
4. Brug stærke adgangskoder
Genbrugte og korte passwords er stadig den nemmeste vej ind. Brug en password manager (1Password, Bitwarden eller lignende), så hvert system har sit eget unikke kodeord på 16+ tegn.
Hvis I ikke kan komme i gang med en password manager med det samme: skift som minimum til lange passphrases på alle forretningskritiske konti.
5. Brug to-faktor (MFA) på alle vigtige konti
MFA stopper langt størstedelen af kontoovertagelser — også når password er lækket. Slå det til på Microsoft 365, banken, regnskabssystemet og alle admin-konti.
Microsoft Authenticator er gratis og tager fem minutter at sætte op. Undgå SMS-koder hvor I kan, da de kan opsnappes.
6. Lær medarbejderne at spotte phishing
Mennesket er ofte det svageste led — men også det stærkeste, hvis det er klædt på. Korte awareness-sessioner et par gange om året flytter mest, kombineret med en simpel proces for at melde mistænkelige mails.
Lav en aftale om, at det altid er OK at spørge en kollega eller IT, hvis man er i tvivl. Ingen bliver hængt ud for at være forsigtig.
7. Stil krav til jeres IT-leverandører
Jeres data ligger ofte hos eksterne leverandører — regnskab, branchesystem, hosting, mail. Få overblik over hvem der har adgang, og hvad de gør for at beskytte data.
Få en databehandleraftale (DBA) på plads med alle relevante leverandører. Det er både et GDPR-krav og et godt værktøj til at stille krav til sikkerhed.
Sådan kommer I i gang
I behøver ikke gøre alt på én gang. Tag rådene ét ad gangen, start med dem hvor I er mest udsatte, og book et halvtimes møde med jeres IT-partner om kvartalet for at følge op.
Hvis I vil have hjælp til at gennemgå jeres setup og prioritere, sidder vi klar — det koster ingenting at få en snak.
Ofte stillede spørgsmål
Hvem står bag de 7 IT-sikkerhedsråd?+
Rådene er formuleret af Sikkerdigital.dk og bygger på anbefalinger fra Center for Cybersikkerhed (CFCS) og Digitaliseringsstyrelsen. De er målrettet små og mellemstore virksomheder.
Er rådene nok til at leve op til NIS2?+
Nej, men de er et stærkt fundament. NIS2 stiller yderligere krav til risikostyring, hændelseshåndtering og leverandørstyring, men virksomheder der følger de 7 råd er allerede langt foran.
Hvor lang tid tager det at få styr på alle 7?+
For en typisk SMV kan basen være på plads inden for 1-3 måneder, hvis I prioriterer det. Det vigtigste er at komme i gang — og at det bliver vedligeholdt, ikke kun sat op én gang.
Hvad koster det?+
Det meste kan klares uden store investeringer: MFA, opdateringer og awareness er gratis eller næsten gratis. Backup og password manager koster typisk få hundrede kr. pr. bruger om året.
Skal vi tage en uforpligtende snak?
Vi hjælper gerne med at vurdere jeres setup og lægge en plan, der giver mening.
Var denne artikel nyttig?
Klik på en stjerne for at give din bedømmelse
