Cyberangrebet kommer, du ved bare ikke hvornår

Der sker i disse år en voldsom udvikling i cybertrusselsbilledet, og virksomheder skal passe på med at undervurdere truslen, lyder det fra direktør for digitalisering i Plus Pack. Han deler her ud af egne erfaringer med at sikre virksomheden. Dette er del 1 af en artikelserie på to.

”Det er et spørgsmål om hvornår, vi bliver udsat for et cyberangreb. Ikke OM vi bliver det”. Sådan lyder det fra Bastian Fietje, Plus Pack A/S. Foto: Arkivfoto fra 123rf.com.

02.01.2024

Poul Breil-Hansen, SCM.dk

”Det er et spørgsmål om hvornår, vi bliver udsat for et cyberangreb. Ikke OM vi bliver det”. Sådan lyder det klare udgangspunkt fra Bastian Fietje, der er Direktør for IT og Digitalisering og en del af direktionen hos emballageproducenten Plus Pack A/S.

Han oplever, der sker en voldsom udvikling i trusselsbillet, hvor cyberkriminelle bliver mere aktive og avancerede. Det bygger han for eksempel på PwC’s seneste undersøgelse af it-kriminalitet ”Cyber Crime Survey 2023”, analyser fra Center for Cybersikkerhed og erfaringer fra kolleganetværk som for eksempel CIO-netværk hos Dansk Industri. Den seneste udvikling er, at de ’almindelige’ cyberkriminelle har fået selskab af statsdrevne cyberterrorgrupper, som har meget stærke virkemidler og mange ressourcer.

”Cybersikkerhed har derfor stået meget højt på ledelsesagendaen de sidste 12-18 måneder. Det er forankret i bestyrelsen, som investerer aktivt med både opmærksomhed og budget – simpelthen fordi risiciene for forretningen i tilfælde af et brud på sikkerheden er så høje”, fortæller han.

Plus Pack har siden 2021 arbejdet med en outsourcing- og cloudstrategi, der har til formål at styrke virksomhedens it-drift og -sikkerhed gennem effektiv udnyttelse af cloud-teknologier og strategiske samarbejdspartnere. 

"Den største opgave for os er at få bragt sikkerhedsbevidstheden ind i organisationen og træne vores medarbejdere til at være på vagt”, fortæller Bastian Fietje. Foto: Plus Pack.

”Opbygning og drift af it-infrastruktur samt netværk er ikke vores kernekompetence, og vi ville have svært ved at rekruttere de rette ressourcer. Som moderne it-afdeling skal vi fokusere på vores kerneopgave, som er at understøtte digitaliseringen af ​​forretningsprocesser for at levere mere værdi til vores kunder og en mere konkurrencedygtig forretning. Og så outsource ikke-kerne it-funktioner til specialiserede leverandører for at levere forbedret servicekvalitet og driftseffektivitet”, fortæller Bastian Fietje.

Adfærd og løbende træning
Bastian Fietje fremhæver, at cybersikkerhed nok handler om teknik, men at det vigtigste er at få skabt den rette menneskelige adfærd i virksomheden. Den tredje vigtige dimension i sikkerhedsarbejdet er at organisere det, så det løbende bliver vedligeholdt og opdateret til de nye trusselsmønstre, der hele tiden dukker op.

”Der dukker hele tiden nye risici op. Hidtil har phishing-mails været rimelig gennemskuelige med dårligt sprog, amatøragtig layout og mystiske afsenderadresser. Sådan er det ikke mere. De digitale kriminelle bliver dygtigere og gør også brug af kunstig intelligens. Den største opgave for os er derfor at få bragt sikkerhedsbevidstheden ind i organisationen og træne vores medarbejdere til at være på vagt”, fortæller han.

Plus Pack har som de fleste andre virksomheder en løbende tilgang af nye medarbejdere, så derfor kræver træning i sikkerhedsopmærksomhed en kontinuerlig indsats. Plus Pack er en produktionsvirksomhed og har både faglærte, ufaglærte, funktionærer og akademikere ansat. Det digitale kompetenceniveau er meget varieret i medarbejdergruppen.

De fleste af Plus Packs medarbejdere gennemgår et online træningsforløb i it-sikkerhed, som bliver afsluttet med en test, som skal bestås. 

Virksomheden gennemfører også regelmæssigt simulerede phishing-angreb, hvor alle medarbejdere inklusive topledelsen, bliver testet. Klikrater bliver løbende delt med organisationen og brugt til at justere virksomhedens informationskampagner og målrette indsatsen til de medarbejdergrupper, der har brug for mere træning. 

Teknik
Plus Pack har implementeret en række tekniske løsninger som for eksempel multifaktor autentificering og har lagt det meste af den tekniske sikkerhedsdrift ud til en specialiseret partner, nemlig Unit-IT i Middelfart, der også fungerer som hosting-partner for emballageproducenten.

”Vores sikkerhedspartner fungerer som vores ’cyber defense center’ og anvender blandt andet SIEM til overvågning og hændelsesstyring”, fortæller Bastian Fietje.

Samarbejdet med Unit-IT omfatter for eksempel også opdatering og sikkerhed på alle medarbejdernes digitale enheder, adgangsstyring og installation af apps. Overvågningen omfatter både drift og servermiljø i samarbejde med virksomhedens Cisco-partner Wingmen Solutions.

”Der er mange ting, der er vigtige i vores forretning; men det allervigtigste for os er, at vi kan sende varer ud fra lageret til vores kunder”, fortæller Bastian Fietje. Foto: Plus Pack.

Organisering
”Cybersikkerhed er en dynamisk størrelse, og det er en opgave, som kræver en kontinuerlig indsats. Det er derfor meget vigtigt at få det sat i system på den rette måde, så det bliver en fast del af årshjulet i virksomheden”, fortæller han og supplerer:

”Vi har sammen med PwC’s cybersecurity-hold analyseret vores risikobillede og identificeret vores største risici. Der er mange ting, der er vigtige i vores forretning; men det allervigtigste for os er, at vi kan sende varer ud fra lageret til vores kunder”.

Plus Pack har arbejdet papirløst siden 2017 efter indførslen af et nyt ERP system, der er virksomhedens ’kronjuvel’ – eller vigtigste digitale redskab. Det er derfor en hjørnesten i virksomhedens it-beredskab at være i stand til at reducere forskellen på accepteret nedetid og ’recovery tid’ på ERP-systemet.

”Hurtig recovery tid handler om forberedelse, stærk ekstern backup og tilstrækkelig båndbredde. Vi har ikke selv kapaciteten til at teste det fulde system, så det har vi outsourcet til vores sikkerhedspartner. Mindst én gang om året vil vi gennemføre en fuld recovery test af vores ERP-løsning. I november gennemførte vi for eksempel en fuld beredskabstest af vores lagerprocesser, hvor lageret skulle plukke og forsende varer uden brug af ERP systemet”, fortæller Bastian Fietje.

Han understreger, at beredskabstest er en fast del af årshjulet, ligesom træning i krisestyring vil blive det: Hvad siger hvem til kunder, presse, medarbejdere, leverandører etcetera?

Om Plus Pack

Plus Pack A/S i Odense er en familieejet virksomhed, der gennem generationer har produceret plast- og aluminiumsemballage til fødevarer, herunder især friske, ferske fødevarer og færdiglavede retter til supermarkeder, delikatesseforretninger, take-aways og restauranter. Plus Pack er blandt Europas førende emballagevirksomheder med salg til mere end 50 lande globalt.

Descartes

Sponseret

Toldbehandling fra Descartes – øg resiliensen i forsyningskæden

AGR

Sponseret

Er dit ERP nok til lagerstyring? Sådan lukker AGR hullerne i forsyningskæden

Denne artikel er del af et tema:

Tema: Cybersikkerhed i forsyningskæden

Forsyningskæden er i dag den primære indgang for cyberkriminelle. Forsyningskæden er samtidig en så vanskelig en størrelse at håndtere i forhold til cybertrusler, at det måske ikke er rimeligt at bruge termen ’sikkerhed’. Måske er det mere rimeligt at tale om, at målet for indsatsen er ’højere resiliens’ frem for ’100 procent sikkerhed’. Læs forskellige vinkler på og anbefalinger til arbejdet med at forbedre cybersikkerheden i kæden.

Relateret indhold

02.12.2024SCM.dk

Odense Havn bygger sine hidtil største haller

02.12.2024SCM.dk

Ny transportløsning for aluminiumsdåser giver kæmpe reduktion af CO2-udslip

28.11.2024Zetes

Sponseret

ImageID Technology brings instant quality checks to manual warehouse processes

28.11.2024Columbus

Sponseret

Pindstrup vælger Columbus som strategisk ERP-partner i deres digitale transformationsrejse

27.11.2024SCM.dk

Trivielle arbejdsopgaver kan udryddes med AI

27.11.2024SCM.dk

Kunstig intelligens viser sit værd med vilde produktivitetsforbedringer

27.11.2024Columbus

Sponseret

Columbus og Hydrema udvider succesrigt samarbejde med ny Digital Commerce-aftale

26.11.2024SCM.dk

Selvstændige robotter skal skyde omsætningen i vejret for maskinfabrik på Lolland

Jobmarked

Se alle

Hold dig opdateret med SCM.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor ledelse af forsyningskæden, Nyhedsbrevet kommer kun to gange pr. uge.

Se flere temaer

Events

Se alle
DTU Learn for Life
Efteruddannelse
Supply Chain Management (SCM)

Få kompetencer til at designe og lede effektive produktions- og forsyningskæder, også kaldet supply chains, som er en forudsætning for virksomhedens konkurrenceevne.

Dato

31.10.2024

Tid

09:00

Sted

Lautrupvang 15. 2750 Ballerup

Bureau Veritas
Kursus
CSRD-rapportering

EU’s Corporate Sustainability Reporting Directive (CSRD) er en game changer for bæredygtighedsrapportering, da det blandt andet fastsætter ensartede metoder og måleenheder for virksomheders rapportering af miljømæssige, sociale og ledelsesmæssige aspekter (ESG).

Dato

07.11.2024

Sted

Oldenborggade 25-31, 7000 Fredericia

Bureau Veritas
Webinar
Webinar: Learn about AQAP2110 Standards and their requirements

Did you know that suppliers of products and services to the NATO Member Countries Defence Acquisition and Logistics Organizations often must meet relevant NATO quality standards outlined in the AQAP - Allied Quality Assurance Publications?

Dato

11.12.2024

Tid

13:00

Sted

Online

DTU Learn for Life
Efteruddannelse
Projektledelse – metoder og værktøjer - dag

Vil du være projektleder – eller ønsker du at opkvalificere dine projektlederkompetencer? Så tilmeld dig dette kursus, som også er et diplom modul, og styrk dine evner til at planlægge, styre og følge op på projekter.

Dato

27.01.2025

Tid

09:00

Sted

Lautrupvang 15. 2750 Ballerup

DTU Learn for Life
Efteruddannelse
Grundlæggende objektorienteret programmering

Vil du opkvalificere dine evner inden for objektorienteret programmering? Så tilmeld dig dette kursus, som også er et diplommodul, og få kompetencer til at designe objektorienterede programløsninger for din virksomhed.

Dato

27.01.2025

Tid

17:00

Sted

Lautrupvang 15. 2750 Ballerup

DTU Learn for Life
Efteruddannelse
Projektledelse – metoder og værktøjer - aften

Vil du være projektleder – eller ønsker du at opkvalificere dine projektlederkompetencer? Så tilmeld dig dette kursus, som også er et diplom modul, og styrk dine evner til at planlægge, styre og følge op på projekter.

Dato

27.01.2025

Tid

17:00

Sted

Lautrupvang 15. 2750 Ballerup