Ni måneder til en risikovurdering. Én måned mere til at få sikkerheden på plads
Brevet kan lande når som helst nu.
Senest den 17. juli – om godt to uger – skal myndighederne have udpeget de første kritiske enheder under CER-loven. For nogle virksomheder bliver det en formssag. For andre bliver det startskuddet til et kapløb mod uret.
For når udpegningen er en realitet, begynder kalenderen at tælle ned. Ni måneder til at gennemføre en risikovurdering. Én måned mere til at have alle modstandsforanstaltninger på plads. Mindre end ét år, fra brevet ligger på bordet, til sikkerheden skal kunne stå mål med kravene.
Hvad ville Erik gøre?
Vi satte Erik Johan Madsen, chef for Key Account Manager-funktionen i Securitas Danmark, i den varme stol og bad ham forestille sig, at brevet netop var landet hos ham.
Han kender opgaven fra begge sider af bordet. Han taler hver uge med virksomheder om netop den type udfordringer og ved, hvordan det føles, når kravene er mange, tiden er knap, og ansvaret lander tungt.
"Det første jeg ville gøre, var at kigge på det, der ikke koster noget. Eller næsten ikke koster noget," siger han. "Der ligger overraskende meget sikkerhed i at rydde op i det, man allerede har. Det køber tid, mens de store løsninger bliver planlagt."
Her er, hvad han ville tage fat på først.
Start med alarmen
Mange virksomheder kører stadig med fælleskoder til tyverialarmen. Alle kender koden og ingen ved, hvem der slog fra i morges.
"Det er det første, jeg ville lave om," siger Erik. "Gør koderne personlige. Så kan du se, hvem der gjorde hvad, og hvornår. Det koster ingenting, og det ændrer hele dit overblik."
Derfra ville han se på rytmen. Bliver koderne skiftet jævnligt, eller har de samme cifre fulgt huset i årevis? Et fast interval for kodeskift lukker den dør, der står åben, hver gang en medarbejder stopper og tager koden med sig i hovedet.
Han ville også kigge på, om alle skal kunne slå alt fra. Det er sjældent nødvendigt. HR, IT og lager kan i de fleste tilfælde have deres egne områder og deres egne koder. Segmenteringen betyder, at en enkelt kode ikke længere åbner hele virksomheden – den åbner kun det område, den hører til.
Og så ville han sikre sig, at alarmen rent faktisk er slået til om natten.
"Lav en bagvagt eller en fast regel," siger han. "Din alarm skal som minimum være tilkoblet fra et bestemt klokkeslæt. Det lyder banalt. Men det er tit dér, hullet er."
Gå en tur langs hegnet
Den næste øvelse koster heller ikke andet end tid.
"Gå en tur langs din skalsikring," siger Erik. "Hegn, porte, det hele. Selv eller sammen med dit vagtfirma. Du finder næsten altid noget."
En port, der ikke længere lukker helt. Et hul i hegnet, som nogen lavede for at gøre en genvej nemmere. En lås, der har siddet løs i månedsvis. Et rutinemæssigt tjek – med faste intervaller, ikke kun når noget er gået galt – holder skallen tæt uden en eneste ny investering.
Se på, hvem der kan komme ind
Adgangskontrollen er det sted, hvor Erik ville bruge mest tid. Og det er også her, han ofte ser de ældste problemer.
"Rigtig mange bruger stadig kortteknologier, der blev hacket for år tilbage," siger han. "Hvis dit medie er usikkert, hjælper det ikke meget, hvor god resten af din sikkerhed er. Det er værd at få afklaret, om dit kort kan kopieres på fem minutter med udstyr, man kan købe på nettet."
Hvis der er mulighed for at lægge en pinkode oven i kortet, ville han bruge den. Et kort kan tabes eller kopieres. En kode i hovedet kan ikke samles op fra gulvet. Og så ville han binde adgangskontrollen sammen med HR-systemet. Når en medarbejder stopper, skal adgangen forsvinde af sig selv – ikke når nogen husker at melde det. Den samme kobling kan sikre, at nye medarbejdere bliver oprettet korrekt fra dag ét.
Læs også: Derfor er fysiske sikkerhedssystemer en stor cyberrisiko
Til sidst ville han stille det spørgsmål, der ofte bliver sprunget over: hvem kan egentlig komme ind hvor?
"Kig på serverrum, teknikrum, de kritiske områder," siger han. "Hvem har adgang? Har de brug for den? Og har de brug for den hele døgnet, eller kun i arbejdstiden? De fleste steder har alt for mange, der kan komme alt for mange steder, på alle tider af døgnet. Det er ikke ond vilje. Det har bare aldrig været luget ud."
At begrænse adgang til det nødvendige – de rigtige rum, de rigtige tidsrum, de rigtige mennesker – er gratis. Det kræver kun, at nogen sætter sig ned og kigger listen igennem.
Når hullerne er for store til en hurtig løsning
Indtil nu har det handlet om at rydde op. Men nogle gange holder oprydningen ikke.
Risikovurderingen viser et hul, der ikke kan lukkes med en personlig kode eller et tjek af hegnet. Et område uden overvågning. En ny tilkørsel, som ingen havde tænkt på. Et sted, hvor I står åbne, mens den permanente løsning stadig er på tegnebrættet. Hvad anbefaler du?
"Når man står med sådan et sikkerhedshul, har man heldigvis et par midlertidige muligheder, der hver især kan lukke det," siger Erik. "Det handler om at vælge den, der passer til situationen."
Den ene han peger på, det er fastvagter. En vagt på stedet er synlig, kan gå en runde, bruge sin dømmekraft og gribe ind med det samme.
Den anden er en mobil videomast. Den kan stilles op på få timer og holde øje med præcis det sted, hvor I fandt hullet – døgnet rundt. Den kan flyttes, når risikobilledet ændrer sig. Og den kan kobles til en kontrolcentral, så et menneske kan reagere, i det øjeblik noget sker.
Læs også: Mobil overvågning
Valget afhænger af hvor stort området er. Hvor længe foranstaltningen skal stå. Og om I har brug for en fysisk tilstedeværelse, eller om øjne på stedet og en hurtig reaktion fra kontrolcentralen er nok. Begge dele kan lukke hullet nu og give jer ro til at bygge den faste løsning bagefter.
Gode råd koster ikke noget
Den korte tidsfrist er den samme for alle. Ni måneder til risikovurderingen, og kun én måned mere til at handle. Men hvor svært det bliver, afhænger meget af, hvor man starter.
"Det meste af det, jeg ville gøre i den første uge, koster ingen penge," siger Erik. "Det koster opmærksomhed. Og når man så ved, hvor de rigtige huller er, kan man bruge kronerne, hvor de gør en forskel."
Gode råd koster ikke noget. Vil I have en uforpligtende snak om, hvilke midlertidige foranstaltninger der giver mening hos jer, så sidder Erik og resten af holdet klar.