Hvis der er én ting, din tech-startup bør tage med fra 2025, er det, at ingen virksomhed er for lille til at være et mål for cyberkriminelle. Faktisk er SMV’er nu mere attraktive emner for ransomware end ældre virksomheder, takket være deres begrænsede ressourcer og værdifulde kundedata.

Ofte mangler startups den viden eller de ressourcer, de har brug for til at træffe gode beslutninger tidligt i deres forretning. Vi kontaktede en IT-sikkerhedsekspert, der ofte arbejder med tech-startups, for at få indblik i, hvad virksomheder skal vide, når de lige er startet.

Gary Power, COO og direktør for klientservices hos Power Consulting(nyt vindue), har 25 års ekspertise inden for den outsourcede IT-branche. Power Consulting arbejder tæt sammen med virksomheder af alle størrelser i alle brancher og leverer tjenester, herunder administrerede IT-tjenester, strategisk IT-planlægning samt cybersikkerhedsaudits og -tjenester.

Vi talte med Gary for at forstå, hvor tech-startups begår fejl tidligt i deres forretning.

Din virksomhed er ikke for lille til cybersikkerhedsforanstaltninger

Ved at bruge vores Data Breach Observatory sporede Proton lækkede virksomhedsdata på det mørke net for at forstå, hvem hackere målrettede, og hvordan virksomheder blev brudt. Vi afslørede 794 databrud, i alt mere end 300 millioner lækkede poster, og det blev tydeligt, at mindre organisationer i stigende grad er i fare.

Din virksomhed kan drage fordel af at undersøge, hvordan og hvorfor andre virksomheder er blevet påvirket af databrud. Indsigterne opnået fra Data Breach Observatory, såvel som vores cybersikkerhedsanbefalinger til tech-startups, kan findes i vores seneste e-bog, The breaches that broke 2025.

Download e-bogen

Uanset om deres legitimationsstyring kom til kort, eller de undlod at bruge beskyttelsesforanstaltninger såsom end-to-end-kryptering, ser det ud til, at SMV’er begår afgørende fejl i deres sikkerhedspraksis. Og hvis små virksomheder forbliver sårbare over for cybertrusler, vil det i sidste ende skade brancher og innovation over hele verden ved at begrænse virksomhedsvækst.

Gary bemærker, at en nøglekomponent i at beskytte din virksomhed tilstrækkeligt er at ændre din tankegang, når det kommer til de sikkerhedsforanstaltninger, du anvender.

“Tidligt stiller stiftere normalt reaktive spørgsmål som ‘Har vi brug for dette?’ eller ‘Er dette overkill for vores størrelse?’ Efterhånden som de modnes, skifter spørgsmålene til ‘Hvad ville faktisk stoppe os fra at blive brudt?’ og ‘Hvordan skalerer vi sikkert uden at bremse forretningen?’”

I stedet for at springe trin over, efterhånden som din virksomhed etableres, så invester fra begyndelsen i din cybersikkerhed. Når alt kommer til alt, som Gary siger: “De mest succesrige stiftere indser, at sikkerhed er en muliggører, ikke en blokering.”

Ældre værktøjer er ikke automatisk sikre

Når det er tid til at vælge værktøjerne, såsom e-mail-, drev– og adgangskodeadministrator-løsningerne, din virksomhed vil bruge, gør dit valg en stor forskel. Gary advarer mod at antage, at populære og moderne løsninger automatisk vil være den mest sikre mulighed.

“Den største blinde vinkel er at antage, at sikkerhed er ‘implicit’, fordi de bruger moderne værktøjer eller cloud-platforme. Stiftere tror ofte, at Microsoft 365, Google Workspace eller AWS automatisk er lig med sikkert. I virkeligheden stammer de fleste brud fra fejlkonfiguration, svag identitetskontrol, dårlig adgangshygiejne og manglende overvågning — ikke eksotiske hackingteknikker.”

Dette lyder måske ikke positivt, men det er det: Det er meget sværere at forudsige og forhindre sofistikerede hackingteknikker, end det er at opbygge stærk identitetsstyring og overvågningspraksis i dit netværk. De problemer, Gary fremhæver, kan gribes an ved hjælp af følgende:

  • Grundige sikkerhedspraksisser for webapplikationer, der giver dig mulighed for at identificere og afbøde potentielle trusler mod dit miljø.
  • Identitetsstyringsforanstaltninger såsom single sign-on (SSO) og to-faktor-godkendelse (2FA), der beskytter dit forretningsnetværk, samtidig med at det gør det nemmere og mere sikkert for teammedlemmer at få adgang til dit forretningsnetværk.
  • Overvågning af det mørke net er et nyttigt værktøj, der kan informere dig, hvis nogen af dine forretningsdata optræder på det mørke net, hvilket giver dig mulighed for at handle hurtigt og forhindre et databrud.

Menneskelige fejl er en alvorlig trussel

Det gør ingen forskel, om dine værktøjer er sikre, hvis de ikke bruges sikkert. Menneskelige fejl er faktisk en af din virksomheds største cybersikkerhedstrusler. Angrebsflader vokser eksponentielt takket være kompleksiteten i moderne forretningsnetværk, hvilket kræver, at teammedlemmer opretter snesevis af konti med unikke adgangskoder og potentielt tilgår disse konti fra deres personlige enheder.

“En anden stor fejl er at undervurdere den menneskelige risiko: phishing, genbrug af legitimationsoplysninger og ikke-administrerede enheder er normalt hoveddøren.

Disse risici kan tilskrives manglende bevidsthed om cybersikkerhed og uklare forventninger til, hvordan eller om dit forretningsnetværk kan tilgås via teammedlemmers personlige enheder. Heldigvis kan de nemt adresseres med en todelt tilgang bestående af politikker og uddannelse:

“Tidlige beslutninger bliver permanente standarder,” siger Gary. “Identitetsmodeller, dataplaceringer, administratoradgang og enhedsstandarder er utroligt svære at rulle tilbage senere — især når kunder, investorer og tilsynsmyndigheder er involveret. Sikkerhedsgæld akkumuleres ligesom teknisk gæld. Det er langt billigere og mindre forstyrrende at sætte gode autoværn op tidligt end at eftermontere kontroller efter et brud, revisionsfejl eller afvisning af cyberforsikring.”

Sikkerhedsfundamenter er vigtigere end værktøjer

Værktøjer er ikke den eneste overvejelse, virksomheder skal gøre sig, når de går på markedet. Din IT-infrastruktur vil diktere, hvor sikkert teammedlemmer kan arbejde, hvor godt du kan spotte risici, og hvor hurtigt du kan afbøde problemer.

Gary forklarer, hvordan eksperterne hos Power Consulting griber opsætningen af IT- og cybersikkerhedsinfrastruktur an for startups. “Vi fokuserer på fundamentet før skinnende værktøjer.”

  • Opsæt stærke politikker for identitets- og adgangsstyring, herunder MFA og “least privilege”, hvilket betyder, at folk kun bør have adgang til de systemer, de har brug for.
  • Sikr dine endepunkter, inklusive medarbejdernes personlige enheder, fra dag ét. Enhedsstyringssoftware kan hjælpe dig med at holde styr på, hvem der logger ind på dit netværk, og hvor.
  • Brug centraliseret logning og overvågning, så problemer som uautoriseret adgang eller kontobrud ikke går ubemærket hen.
  • Forbered dig på en hændelse med ordentlige backup- og gendannelsesværktøjer såsom uforanderlige backups (som ikke kan ændres, efter de er oprettet) eller offsite-beskyttelse, hvor kritiske data sendes og gemmes væk fra dit primære forretningssted.

Ved at bygge din virksomhed på solide fundamenter investerer du i sidste ende i en sikrere forretning for din fremtid. Den tid, du bruger på at opbygge sikker infrastruktur, er pengene værd, som du vil spare, og risikoen, du vil undgå i det lange løb.

Tag dig tid til at sætte det ordentligt op

Gary anbefaler at fokusere på din identitetsarkitektur, fordi dette er området med den største sikkerhedsmæssige indvirkning. Hvert teammedlem har en digital identitet, der giver dem adgang til de data og værktøjer, de har brug for i dit forretningsnetværk, og at konfigurere dette godt gør hele forskellen hen ad vejen.

“Dårlig identitetsarkitektur er det sværeste at omgøre — delte konti, svag MFA-adoption og for mange administratorer skaber langsigtet risiko,” forklarer Gary. “Ustruktureret dataspredning er et andet stort problem; når følsomme data er spredt over personlige drev, e-mail-indbakker og ikke-administrerede SaaS-apps, er det smertefuldt at genvinde kontrollen. Endelig fører manglende dokumentation og ejerskab tidligt til forvirring og blinde vinkler, efterhånden som teams vokser.”