Små og mellemstore virksomheder (SMV’er) har en tendens til at tro, at de har en lavere risiko for at blive udsat for et cyberangreb. Sådan ser angribere ikke på det. For dem er det sådan, at jo mindre virksomheden er, desto mindre er sikkerhedsbudgettet. Men det er kun en del af årsagen til, at SMV’er har brug for stærkere sikkerhed.

Hvorfor cybersikkerhed er vigtig for SMV’er

SMV’er ignorerer ikke cybersikkerhed. Ifølge Protons rapport om cybersikkerhed i SMV’er for 2026 — en undersøgelse af 3.000 virksomhedsledere på tværs af seks markeder — har 92 % investeret i sikkerhedsforanstaltninger.

Alligevel har hver fjerde været udsat for et cyberangreb eller databrud i det seneste år.

Kløften mellem investering og beskyttelse er i høj grad menneskelig. SMV’er har sjældent dedikerede sikkerhedsressourcer, men håndterer alligevel store mængder værdifulde data — en kombination, der gør dem til et attraktivt mål.

Når det går galt, er konsekvenserne vidtrækkende:

  • 46 % af de ramte rapporterede om datatab
  • 38 % driftsforstyrrelser
  • 30 % tab af kundetillid.

Formelle risikovurderinger, regelmæssige revisioner og moderne foranstaltninger som multifaktorgodkendelse og adgangskodeadministratorer virker ikke, fordi selv gode værktøjer fejler uden håndhævelse.

Halvdelen af respondenterne har en adgangskodeadministrator på plads — men i de samme organisationer deles legitimationsoplysninger stadig via e-mail (29 %), delte dokumenter (28 %), besked-apps (23 %) og skrevne noter (21 %). Det er ikke nok at have de rigtige værktøjer, hvis de ikke er integreret i den måde, folk rent faktisk arbejder på.

Så hvad kan virksomheder gøre for at beskytte sig?

Væsentlig bedste praksis for cybersikkerhed i SMV’er

1. Håndhæv stærk adgangskodeadministration

Dårlig adgangskodeadministration er en af de største trusler mod sikkerheden i Deres organisation og kan omfatte:

  • Genbrug af adgangskoder: Hvis De bruger den samme adgangskode til flere konti, betyder det, at hvis hackere stjæler Deres adgangskode til én konto, kan de bruge den til at få adgang til andre virksomhedskonti.
  • Uforvarlig deling af adgangskoder: Deling af legitimationsoplysninger via e-mail, besked-apps, delte dokumenter, i samtale eller på skrift gør Dem sårbar over for hackere eller uautoriserede personer, der får adgang til Deres konti.
  • Ubegrænset adgang: Hvis adgangen til privilegerede platforme eller dokumenter ikke begrænses, kan alle med legitimationsoplysninger til en enkelt konto se, ændre eller slette følsomme virksomhedsdata, som de ikke burde have adgang til.

En adgangskodeadministrator til virksomheder(nyt vindue) kan hjælpe med at forhindre genbrug af adgangskoder og muliggøre sikker deling af adgangskoder. Det er dog vigtigt at implementere en adgangskodeadministrator til virksomheder i stedet for at forlade sig på browserbaserede løsninger. Proton Pass giver Dem et centraliseret adminpanel, revisionslogge og detaljerede bruger- og gruppekontroller, hvilket gør det nemt at tilføje eller fjerne adgang under onboarding og offboarding samt i forbindelse med en cybersikkerhedsbegivenhed.

Læs mere: Hvad mindre virksomheder stadig tager fejl af, når det gælder adgangskodeadministratorer

2. Hold software og systemer opdateret

Det er afgørende at installere alle relevante softwareopdateringer. SMV’er springer ofte opdateringer over på grund af frygt for nedetid. Disse opdateringer beskytter Dem ved at rette sikkerhedssårbarheder for at beskytte mod databrud, malware og uautoriseret adgang.

Mange SMV’er bruger en centraliseret automatiseret strategi til patch-administration til at administrere opdateringer. En enkelt platform håndterer registrering, test, udrulning og revision af softwareopdateringer på tværs af netværksenheder, hvilket reducerer afhængigheden af manuelle opdateringer og hjælper med at opretholde ensartethed.

3. Implementer multifaktorgodkendelse (MFA)

Multifaktorgodkendelse er en af de bedste tilgængelige beskyttelser til at sikre adgang til Deres systemer og filer. Nøglen er at håndhæve MFA som standard — lad det ikke være en valgfri indstilling.

  • Mest sikre MFA-metoder: Hardwarenøgler og godkender-apps
  • Moderat sikre MFA-metoder: Biometri, såsom fingeraftryk eller Face ID
  • Mindst sikre MFA-metoder: Push-notifikationer og sms-beskeder

Ud over at håndhæve MFA kan De forbyde push-notifikationer og sms-beskeder for admin-konti. Brug en godkender-app eller hardwarenøgler for at forhindre SIM-bytningsangreb, som er udbredte mod ejere af mindre virksomheder.

Læs mere: Hvad er to-faktor-godkendelse (2FA)?

4. Sikr Deres netværksadgang

Hvis Deres organisation tilbyder fjernarbejde eller hybridarbejde eller kræver rejseaktivitet, skal De oprette en sikker forbindelse mellem Deres medarbejdere og Deres virksomhedsnetværk. Medarbejdere, der arbejder hjemmefra eller på offentlige Wi-Fi-netværk på caféer eller under rejser, kan gøre det muligt for angribere at opsnappe data under overførsel. En VPN krypterer data under overførsel, hvilket beskytter følsomme oplysninger mod hackere og interne trusler.

Proton VPN(nyt vindue) giver Dem kontrol over Deres netværk og beskytter Deres enheder mod IP-sporing og malware.

5. Gennemfør medarbejdertræning og sikkerhedsbevidsthed

Teknologi alene kan ikke forhindre et brud. Menneskelige fejl hører konsekvent til blandt de primære årsager til databrud. Deres medarbejdere skal kunne genkende social engineering-taktikker, som ofte bygger på psykologisk manipulation. Det anbefales at implementere regelmæssige phishing-simuleringsøvelser og sikkerhedstræning for at fremme en kultur, hvor sikkerheden kommer i første række.

6. Kryptér Deres data

Kryptering sikrer, at selv hvis data bliver stjålet, forbliver de ulæselige for angribere. Dette gælder både for inaktive data (lagret på enheder) og data under overførsel (der sendes over internettet).

  • E-mailkryptering: Beskyt kundekommunikation, og forhindr, at følsomme oplysninger bliver opsnappet. Proton Mail tilbyder end-to-end-krypterede løsninger til virksomheds-e-mail(nyt vindue), der automatisk beskytter Deres beskeder.
  • Filkryptering: Forstå, hvilke filer der skal krypteres, og hvordan de krypteres.

7. Sørg for sikker skylagring og samarbejde

Når De vælger en skyudbyder, skal De undgå tjenester, der scanner Deres data til reklame- eller AI-træningsformål. Vælg zero-knowledge-skylagring, hvor kun De har krypteringsnøglerne.

Proton Drive leverer end-to-end-krypteret skylagring, så Deres dokumenter og filer forbliver private. Til teamsamarbejde gør Proton Docs(nyt vindue) og Proton Sheets(nyt vindue) det muligt for Deres team at arbejde i realtid uden at kompromittere datasikkerheden.

Læs mere: 5 sikkerhedsrisici ved skylagring, og hvordan De undgår dem

8. Implementer netværkssegmentering og adgangskontrol

Lad ikke et brud i ét område sprede sig til hele Deres netværk. Implementer netværkssegmentering for at begrænse lateral bevægelse under et angreb. Kombiner dette med rollebaseret adgangskontrol (RBAC), så medarbejderne kun har adgang til de data, der er nødvendige for deres roller.

9. Gennemgå risici i forbindelse med tredjepartsleverandører

Deres forsyningskæde er kun lige så sikker som dens svageste led. Angribere målretter ofte deres angreb mod mindre leverandører for at få adgang til større partnere. Gennemfør sikkerhedsvurderinger af leverandører, og kræv, at partnere følger de samme strenge standarder for databeskyttelse, som De gør.

10. Udvikl og håndhæv en BYOD-politik

At tillade medarbejdere at bruge personlige enheder (Bring Your Own Device/BYOD) indebærer en betydelig risiko, hvis det ikke administreres korrekt. Personlige enheder har sjældent de samme sikkerhedskontroller installeret som virksomhedens hardware.

Udvikl en klar BYOD-politik, der definerer sikkerhedskrav, tilladelser til dataadgang og overholdelse af regler. Giv Deres team adgang til sikre værktøjer, såsom krypteret e-mail og adgangskodeadministratorer, på deres personlige enheder for at reducere risikoen.

Læs mere: BYOD-sikkerhedsløsninger forklaret

11. Implementer zero-trust-principper

Adopter en “stol aldrig på nogen, verificer altid”-tankegang. Zero trust-sikkerhed behandler som standard enhver anmodning om at få adgang til som ubetroet, uanset om den kommer indefra eller udefra i Deres organisation. Enhver anmodning bør godkendes, autoriseres og krypteres.

12. Gennemfør regelmæssig sårbarhedsscanning og sikkerhedsrevisioner

De kan ikke reparere det, De ikke ved er i stykker. Planlæg regelmæssige sårbarhedsscanninger for at finde svage punkter i Deres infrastruktur, før angribere gør det. Brug disse resultater til at prioritere fejlretning og konfigurationsændringer.

13. Overvåg og log netværksaktivitet

Løbende overvågning hjælper med at opdage mistænkelig aktivitet i realtid. Log netværkstrafik, og gennemse logfiler regelmæssigt for at få øje på uregelmæssigheder, der kan tyde på et igangværende databrud.

14. Hav en beredskabsplan klar

Mange SMV’er antager, at de vil håndtere et databrud, når det sker. Men uden en plan kan en lille hændelse hurtigt udvikle sig til flere dages afbrydelse.

En beredskabsplan behøver ikke at være kompleks – start med et dokument på én side, der dækker det grundlæggende. Kør enkle “hvad nu hvis”-scenarier med Deres team for at identificere huller, før en reel krise tvinger Dem til at finde dem på den hårde måde. Og vigtigst af alt, gennemgå Deres plan efter hver hændelse eller testkørsel.

Læs mere: Fra sårbarhed til modstandsdygtighed: en ramme for hændelsesrespons til SMV’er

15. Adoptér den moderne 3-2-1-1-0-strategi for sikkerhedskopiering

Den traditionelle “3-2-1”-regel for sikkerhedskopiering (tre kopier, to medietyper, én ekstern kopi) dækker ikke længere alle risici. Ransomware-angreb kan kryptere forbundne sikkerhedskopier sammen med Deres primære filer, hvilket gør genoprettelsen meget sværere. Mange organisationer følger nu 3-2-1-1-0-metoden:

  • 3 kopier af Deres data: 1 primær + 2 sikkerhedskopier.
  • 2 forskellige typer lagermedier: For eksempel lokal server + eksternt drev.
  • 1 ekstern kopi eller kopi i skyen.
  • 1 uforanderlig eller air-gapped kopi: Dette er den kritiske tilføjelse — den sikrer, at én sikkerhedskopi ikke kan ændres, slettes eller krypteres af ransomware, selvom en angriber får admin-adgang til Deres netværk.
  • 0 fejl: Test regelmæssigt Deres sikkerhedskopier for at bekræfte, at genoprettelsen fungerer fejlfrit – en sikkerhedskopi, De ikke kan genoprette, er en spildt udgift.

Mange små virksomheder forlader sig på synkroniseringsmapper i skyen, der automatisk opdaterer filer på tværs af enheder. Hvis ransomware krypterer Deres filer, kan disse krypterede versioner hurtigt spredes til synkroniserede enheder og sikkerhedskopier. For at mindske denne risiko kan De overveje at bruge zero-knowledge-lagerplads i skyen med versionshistorik og indstillinger for opbevaring.

Proton Drive inkluderer end-to-end-kryptering og filversionshistorik. Hvis ransomware krypterer lokale filer, og disse ændringer synkroniseres til skyen, kan versionshistorik hjælpe med at genoprette tidligere, ukrypterede versioner. Fuld 3-2-1-1-0-overholdelse kræver dog også en air-gapped sikkerhedskopi eller en anden beskyttet sikkerhedskopi, der er isoleret fra ransomware-angreb.

Ved at implementere disse cybersikkerhedstip kan SMV’er reducere deres risikoprofil betydeligt og beskytte deres omdømme og omsætning.

Klar til at komme i gang? Prøv en gratis prøveversion af Proton for Business(nyt vindue), og opgrader Deres cybersikkerhedsniveau i dag.