Af Philip Lyngø | 1234 ord | Læsetid: 7 minutter
Når virksomheder bliver ramt af cyberangreb, vælger mange at tie stille; nogle af frygt for tab af omdømme, andre på grund af potentielle juridiske konsekvenser. Men er tavshed den bedste strategi?
I kølvandet på det massive angreb mod britiske Marks & Spencer rejser virksomhedens ‘chair’ Archie Norman et centralt spørgsmål: Skal virksomheder tvinges til at melde offentligt ud, når de bliver ramt?
Vi gennemgår M&S-sagen, ser på danske paralleller og diskuterer, hvorfor åbenhed handler om både tillid, beredskab og ansvar.
Da M&S blev ramt
Den 17. april 2025 blev Marks & Spencer ramt af et omfattende cyberangreb, der lammede virksomhedens onlineforretning i næsten syv uger. Angrebet kostede ifølge virksomheden selv op mod 300 mio. pund i tabt omsætning[1].
Det er siden blevet bekræftet at angrebet blev udført af den berygtede trusselsaktør Scattered Spider i samarbejde med ransomware-aktøren DragonForce. M&S måtte lukke deres onlinekanaler midlertidigt, mens interne og eksterne eksperter arbejdede på at genoprette driften[2].
“Der er for lidt åbenhed”
Efter hændelsen har Norman offentligt kritiseret de gældende regler i Storbritannien, da han mener at virksomheder bør være forpligtet til at informere offentligheden, når de rammes af alvorlige cyberangreb[3].
Han fremhæver, at mindst to andre store britiske virksomheder er blevet ramt af lignende angreb i 2025, men i modsætning til M&S, har de valgt ikke at stå offentligt frem. Det efterlader både offentligheden og andre virksomheder i uvished om det reelle trusselsbilledet, – de skjuler risikoen i stedet for at lade andre få fordel af deres erfaring[4].
Vi har set det før
M&S er langt fra det eneste eksempel på en virksomhed, der har stået offentligt frem efter et cyberangreb.
Hver dag rammes virksomheder af angreb, både målrettede og opportunistiske, men kun en brøkdel vælger at dele det med omverdenen. Blandt dem finder vi bl.a. Maersk, Vestas og Demant, som alle var ude at kommunikere aktivt efter større hændelser.
Maersk – NotPetya (2017)
Et af verdens største rederier blev lammet globalt som følge af NotPetya-angrebet. Maersk valgte at stå frem med detaljerne og delte senere deres erfaringer offentligt – herunder på World Economic Forum – til gavn for hele branchen. Angrebet kostede omkring 250–300 mio. USD[5].
Demant – ransomware (2019)
Høreapparatproducenten Demant blev ramt af ransomware-angreb og valgte at informere markedet hurtigt og ærligt. De økonomiske tab løb op i omkring 550 mio. DKK i negativ EBIT-effekt[6].
Vestas – datalæk og afpresning (2021)
Den danske vindmøllegigant blev ramt af et angreb, hvor hackere eksfiltrerede data og forsøgte at afpresse virksomheden. Vestas valgte at informere pressen og samarbejdspartnere hurtigt, og på trods af mediedækningen lykkedes det virksomheden at minimere den operationelle påvirkning. Deres tilgang til krisehåndtering og kommunikation er gang på gang blevet fremhævet som et forbillede for industrien[7].
22 danske energiselskaber – koordineret angreb (2023)
I april 2023 blev 22 danske energiselskaber ramt af et koordineret angreb via sårbarheder i Zyxel-firewalls. Ifølge SektorCERT’s rapport blev angrebet afværget delvist på grund af hurtig koordinering og deling af viden[8].
Den rette strategi?
Når en virksomhed rammes af et cyberangreb, opstår hurtigt et centralt spørgsmål: Skal man kommunikere åbent – eller holde kortene tæt ind til kroppen?
Der findes ikke én rigtig strategi. For nogle virksomheder er det afgørende at beskytte omdømmet, brandet og aktiekursen, specielt hvis hændelsen ikke har påvirket kundedata eller forretningskritiske systemer.
Andre vælger at være transparente, for at tage ansvar og for at bidrage til fælles læring i et trusselsbillede, der rammer bredt på tværs af sektorer.
Åbenhed kan styrke tilliden fra kunder, samarbejdspartnere og offentligheden, og samtidig være med til at sætte fokus på de konsekvenser, truslen reelt har for samfundet. Men det er også forbundet med risici. Offentliggørelse kan medføre øget opmærksomhed fra andre trusselsaktører, juridisk kompleksitet og, i værste fald, langvarigt omdømmetab.
Omvendt kan tavshed også medføre udfordringer, f.eks. hvis samarbejdspartnere forbliver uvidende om potentielle trusler, eller hvis lignende angreb gentager sig i andre virksomheder, fordi viden ikke bliver delt.
Der er ikke én rigtig vej, og beslutningen afhænger af konteksten: angrebets karakter, virksomhedens rolle i værdikæden, og hvordan man ønsker at håndtere risiko og relationer.
Derfor handler det ikke kun om at vælge den ene eller anden strategi, men om at have en klar plan for, hvordan man håndterer hændelsen både praktisk og kommunikativt – når krisen rammer.
I denne forbindelse skal det dog pointeres, at for visse virksomheder er åbenhed ikke blot en strategisk beslutning, men et lovkrav.
Virksomheder, der er omfattet af NIS 2-direktivet, er forpligtet til at indberette væsentlige hændelser til myndighederne inden for 24 timer. Disse regler er med til at sikre, at viden om trusler og sårbarheder hurtigt når ud til relevante aktører[9].
Anmeldelse til politi og aktindsigt: En kompleks problematik
En særlig udfordring opstår, når et cyberangreb anmeldes til politiet. Selvom det ofte virker som en naturlig og nødvendig handling, åbner det for en ny kompleksitet: aktindsigt.
Når sagen er afsluttet, kan tredjeparter få adgang til dokumenter fra efterforskningen. Dette kan potentielt give uønsket offentlig indsigt i følsomme oplysninger om virksomhedens sårbarheder, interne processer og eventuelt kompromitterede data.
For virksomheder, hvor fortrolighed er afgørende, kan dette skabe en betydelig risiko. Selv efter sagens afslutning, kan oplysninger fra politiets efterforskning bruges af konkurrenter, medier eller andre trusselsaktører til at skade virksomheden.
Derfor bør man overveje følgende:
- Vurdér behovet for politianmeldelse: Giver det reel værdi – eller skaber det primært risiko for eksponering?
- Overvej alternative veje til at håndtere angrebet: Kan sagen håndteres internt eller via private sikkerhedspartnere og er det forsvarligt?
- Dialog med politiet: Hvis en anmeldelse er nødvendig, forsøg da at indgå i en dialog med politiet om omfanget af den information, der vil blive inkluderet i sagen, og potentielle konsekvenser af aktindsigt. Selvom politiet er bundet af lovgivning, kan en åben dialog potentielt bidrage til at minimere eksponeringen af de mest følsomme detaljer, hvor det er muligt inden for lovens rammer.
- Proaktiv kommunikationsstrategi: Forbered en klar kommunikationsplan, der tager højde for muligheden for aktindsigt og den offentlighed, det kan medføre. Dette inkluderer forberedt information til medier, kunder og partnere.
- Juridisk rådgivning: Søg juridisk rådgivning for at forstå de specifikke regler for aktindsigt og de muligheder, virksomheden har for at beskytte følsomme oplysninger.
At finde den rette balance mellem at leve op til lovkrav, beskytte virksomhedens interesser og håndtere de potentielle konsekvenser af aktindsigt kræver en velovervejet og proaktiv tilgang.
Hvad bør virksomheder overveje?
Uanset hvilken strategi man vælger, er der en række tiltag, som kan gøre en forskel, både i selve håndteringen og i tiden efter:
- Reager hurtigt og skab overblik:. Aktiver jeres beredskabsplan og få styr på omfanget så hurtigt som muligt.
- Informer internt: Medarbejdere skal vide, hvordan de skal forholde sig – og hvordan de skal agere.
- Planlæg ekstern kommunikation: Gør jer klart, hvornår og hvordan I vil kommunikere og hvem der må kommunikere eksternt.
- Samarbejd med relevante myndigheder: Fx politiet, relevante CERTs eller Center for Cybersikkerhed/Styrelsen for Samfundssikkerhed og Beredskab.
- Tænk fremadrettet: Evaluer og overvej hvordan I bedst kan gøre brug af jeres erfaringer til at styrke det fremtidige beredskab.
Når krisen rammer, er det for sent at diskutere strategi. Pointen er ikke nødvendigvis at finde ét rigtigt svar, men at stå stærkere, når beslutningen skal træffes.
Et effektivt incident response-setup skal kunne håndtere både det tekniske, juridiske og kommunikative pres, der følger med et angreb. Det har vi prøvet før og kan også hjælpe jer, skulle uheldet være ude. Læs mere om vores incident response lige her.
[1] https://www.theguardian.com/business/2025/jul/08/m-and-s-boss-cyber-attacks-archie-norman
[2] https://finance.yahoo.com/video/m-believes-dragonforce-behind-ransomware-144157296.html
[3], [4] https://www.theguardian.com/business/2025/jul/08/m-and-s-boss-cyber-attacks-archie-norman
[5] https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
[6] https://www.demant.com/investor-relations/annual-report-2019
[7] https://www.vestas.com/en/media/company-news/2021/third-update-on-cyber-incident-c3466518
[8]https://sektorcert.dk/site-content/uploads/2023/11/SektorCERT-Angrebet-mod-dansk-kritisk-infrastruktur-TLP-CLEAR.pdf
[9] https://samsik.dk/site-content/uploads/2025/06/SAMSIK-vejledning-om-handelsesunderretning-2025.pdf