Mens de store overskriftene gjerne handler om milliardtap i globale selskaper, er det ofte små og mellomstore virksomheter som kommer dårligst ut når angrepene skjer.
Cyberangrep blir mer og mer sofistikerte, og flere norske virksomheter rammes. Likevel mangler mange små og mellomstore bedrifter både grunnleggende sikkerhetstiltak og en plan for hva de skal gjøre når en uønsket hendelse inntreffer. Dette gjør dem unødvendig sårbare – og øker risikoen for alvorlige konsekvenser når det smeller.
For mens de store overskriftene gjerne handler om milliardtap i globale selskaper, er det ofte små og mellomstore virksomheter som står svakest rustet når angrepene kommer. De mangler gjerne egne sikkerhetsressurser, har begrensede rutiner og mindre økonomisk buffer. Det gjør konsekvensene større – og veien tilbake lengre.
SMB-er er på radaren
Cyberkriminelle retter seg mot stadig flere virksomheter, og små og mellomstore bedrifter er ikke lenger i blindsonen. I Sopra Sterias rapport «State of Cyber Security 2025» beskrives et trusselbilde der cyberangrep skjer hyppigere, med større presisjon, og ofte gjennom metoder som er vanskelig å oppdage. Angriperne benytter seg nå av automatiserte verktøy, kunstig intelligens og IT-verktøy for å skjule sporene sine – og det stiller høyere krav til forsvarsevne enn før.
Særlig for små og mellomstore virksomheter kan dette være krevende. Mange virksomheter i denne størrelseskategorien mangler en strukturert tilnærming til sikkerhetsarbeidet. Det gjør dem ekstra utsatt, ikke bare som mål i seg selv – men også som en mulig inngangsport til andre aktører via leverandørkjeder og samarbeid.
Så hva kan man gjøre – uten store ressurser?
Vi møter ofte små og mellomstore virksomheter som tror at sikkerhet er noe de ikke har råd til. Men det handler ikke først og fremst om ekstreme kostnader – det handler om bevissthet, vilje og evnen til å sette sikkerhet på agendaen før angrepet skjer. Å være forberedt trenger verken å være ekstremt dyrt eller komplisert – mye av det som beskytter best, koster lite når det gjøres riktig:
- Innarbeid gode rutiner: Bruk tofaktorautentisering, oppdaterte passord og sørg for at ikke "alle har tilgang til alt".
- Trening av ansatte: Den viktigste brannmuren er fortsatt personen mellom tastaturet og stolen. Regelmessig bevisstgjøring og trening av ansatte utgjør en stor forskjell!
- Sikkerhetskopier jevnlig – og test at gjenopprettingen faktisk fungerer. Backup bør være fysisk eller logisk adskilt fra systemene det tar backup av, slik at ikke dette også settes ut av spill ved en hendelse.
- Prioriter det som betyr mest: Finn ut hvilke systemer, data og prosesser som er mest kritiske for virksomheten. Dette gir et godt utgangspunkt for å prioritere tiltak, sikre kontinuitet – og bruke ressursene der de har størst effekt. Å forstå hva som virkelig må beskyttes, er en kjerne i risikobasert sikkerhetsarbeid.
- Ha en plan for når det smeller: Hvem gjør hva, når – og hvordan? Jo bedre dere har øvd, jo raskere kan dere begrense skadene.
- Sikre leverandørkjeden: Still krav til leverandører for å forhindre at sårbarheter hos dem blir en inngangsport til dere, og motsatt.
«Det skjer sikkert ikke oss» er ikke en strategi
Fremdeles eksisterer en «det skjer sikkert ikke oss»-mentalitet om cyberangrep i flere virksomheter. Men i dagens trusselbilde er ikke spørsmålet om man blir angrepet – men når. Sikkerhet må bli en naturlig og prioritert del av både hverdagen og virksomhetsstyringen – også i små og mellomstore virksomheter. Dette handler ikke bare om teknologi og dyre investeringer – det handler om kultur, bevissthet og ansvar. Ved å ta noen enkle, men målrettede grep i dag, kan dere stå langt sterkere rustet den dagen det faktisk smeller.
Sikkerhet er ikke en luksus, men en nødvendighet. Og det begynner med å ta ansvar – før noen andre tar kontroll.