Når an­gre­be­ne bli­ver hy­bri­de: Hvor­for dan­ske virk­som­he­der skal tæn­ke sik­ker­hed helt for­fra

Ole Willers, postdoc ved CBS, formulerer det klart:

“Hybride trusler er de metoder og kapaciteter, som fremmede stater bruger for at opnå strategiske resultater uden at anvende konventionel militær magt. Cyberangreb, sabotage og desinformation fungerer samlet som et trykpunkt mod samfundet.”

Det er ikke et fremtidsscenarie. Sabotage mod europæisk infrastruktur – jernbaner, energiforsyning og undersøiske datakabler – har allerede fundet sted. Danmark er særligt udsat, fordi landet er et digitalt knudepunkt i Nordeuropa. Ifølge International Institute for Strategic Studies er Europas kritiske infrastruktur svækket af årtiers manglende vedligeholdelse og investeringer. Det betyder, at angribere ikke behøver at ramme hårdt – de skal blot ramme rigtigt.

Virksomheder er første angrebsmål

Danske virksomheder udsættes for tusindvis af angreb hver uge. Ransomware og supply-chain-angreb er ikke længere undtagelser, men standardværktøjer. Samtidig er angrebene blevet mere destruktive.

Angrebet mod vandselskabet ved Køge markerede et skifte. Det var ikke et forsøg på afpresning, men et forsøg på fysisk skade.

For virksomheder ændrer det risikobilledet fundamentalt. Risikoen er ikke længere lineær, men systemisk. Ét kompromitteret system kan udløse kædereaktioner i værdikæder, som allerede er sårbare over for geopolitik, handelskonflikter og forsyningsproblemer. Samtidig er grænsen mellem statslige og kriminelle aktører blevet flydende. Hackere opererer i gråzoner, hvor stater ser gennem fingre – eller aktivt udnytter deres aktiviteter.

Desinformation er en potentiel – men endnu usikkert kortlagt – forretningsrisiko

Forskning peger på, at falsk information kan sprede sig hurtigere end faktabaseret indhold på digitale platforme, blandt andet på grund af algoritmisk forstærkning og stigende brug af automatiserede værktøjer. Studier inden for informationsspredning og politisk kommunikation viser dog samtidig, at effekterne er komplekse og vanskelige at isolere.

For erhvervslivet er billedet mere uklart. Der findes endnu relativt få veldokumenterede eksempler på virksomheder, der direkte har lidt målbar økonomisk skade som følge af statsligt orkestreret desinformation. Usikkerheden er høj, og årsagssammenhænge er svære at fastslå.

Alligevel vurderer flere analyser, at risikoen ikke bør afskrives. I takt med at stater i stigende grad anvender informationspåvirkning som geopolitisk redskab, kan virksomheder – særligt dem med strategisk betydning, nationale tilknytninger eller politisk følsomme produkter – i princippet blive indirekte mål. Ikke nødvendigvis gennem direkte angreb, men via narrativer, der påvirker regulatorisk adfærd, forbrugertillid eller markedsadgang.

Kort sagt: Desinformation er endnu ikke en veldokumenteret, systematisk erhvervstrussel – men den er en plausibel fremtidig risiko, som virksomheder bør forholde sig analytisk og nøgternt til, ikke alarmistisk.

Den egentlige sårbarhed er organisatorisk

De fleste virksomheder forstår i dag, at trusselsbilledet er alvorligt. Problemet er ikke erkendelse, men incitament.

Ole Willers peger på en grundlæggende markedsfejl:

“Virksomheder bærer sjældent hele omkostningen ved et angreb. Når en lille leverandør kompromitteres, bruges den ofte som indgang til større kunders systemer. Samtidig er sikkerhed svært at måle, og kunder betaler sjældent for noget, de ikke kan se.”

Resultatet er velkendt: Alle ved, at sikkerhed er nødvendig. Ingen vil investere først. SMV’er har mindst kapacitet og størst risiko, men store virksomheder er heller ikke immune. Kompleks organisation, uklart ansvar og kortsigtede forretningsmål gør sikkerhed til et sekundært hensyn.

Det afgørende skifte er ledelsesmæssigt. Cybersikkerhed kan ikke være et IT-anliggende.

“Kun når sikkerhed er et C-level-ansvar, kan indsatsen koordineres på tværs af IT, jura, supply chain og eksterne partnere,” siger Ole Willers.

Det handler om at bevæge sig fra compliance til risikostyring. Fra brandslukning til robusthed. Fra isoleret cybersikkerhed til samlet erhvervssikkerhed.

Staten og erhvervslivet: Frivillighed er ikke nok

Virksomheder kan ikke løse problemet alene. De strukturelle markedsfejl kræver politisk indgreb. I Danmark er man fortsat for afhængig af frivillig efterlevelse.

Offentligt-privat samarbejde er nødvendigt, men det skal være funktionelt. For mange partnerskaber ender som dialogfora uden reelle beslutninger. Staten må skabe rammer, hvor sikkerhed bliver en rationel investering – ikke et idealistisk valg.

Det kræver:

• konsekvent håndhævelse af eksisterende regler
• støtteordninger, der virker i praksis
• klare og realistiske krav
• en tydelig erkendelse af, at visse opgaver er samfundskritiske – ikke forretningskritiske

I en verden med hybride trusler er sikkerhed ikke et værn. Det er en forudsætning for at kunne konkurrere.