Angribere arbejder ikke 9–17. De opererer om natten, i weekenden, på helligdage — netop når ingen kigger. Et Security Operations Center (SOC) er svaret på det problem: konstant overvågning af jeres IT-miljø, alle timer af døgnet. Men er det relevant for en dansk SMV, eller er det forbeholdt de store?

Hvad et SOC faktisk er

Et SOC er en funktion — et team af sikkerhedsanalytikere der kontinuerligt overvåger logs, alarmer og hændelser på tværs af jeres IT-infrastruktur. De bruger specialiserede systemer som SIEM (Security Information and Event Management) til at samle og korrelere data fra alle jeres systemer, og de reagerer aktivt, når noget mistænkeligt opdages.

Et internt SOC kræver typisk:

  • Minimum 4–6 analytikere for at dække 24/7 med skiftehold
  • Specialiserede sikkerhedsplatforme (SIEM, SOAR, EDR)
  • Løbende kompetenceudvikling i et hurtigt skiftende trusselslandskab

Det er realistisk en investering på 3–8 millioner kroner om året. Det er åbenbart ikke en mulighed for de fleste SMV'er.

MDR — det outsourcede alternativ

Managed Detection and Response (MDR) er det, de fleste SMV'er bør se på i stedet. En MDR-udbyder leverer SOC-funktionalitet som en service: de installerer agenter på jeres systemer, overvåger 24/7 fra deres SOC, og reagerer aktivt ved hændelser — enten ved at isolere en enhed, blokere en angriber, eller kontakte jer med en anbefaling.

Priser for MDR i dansk SMV-kontekst: En MDR-service starter typisk fra 3.000–8.000 kr. om måneden for en virksomhed med 20–50 enheder. Det inkluderer endpoint-overvågning, 24/7 SOC-dækning og hændelseshåndtering. Sammenlignet med prisen på et enkelt succesfuldt angreb er det en fornuftig investering for mange.

Hvad 24/7 overvågning faktisk betyder

Angribere bruger i gennemsnit over 200 dage på at bevæge sig rundt i et netværk, inden de slår til. I den periode er der spor — unormale logins, mærkelig netværkstrafik, uventede filer. Uden overvågning ser ingen disse spor. Med MDR bliver de opdaget og handlet på, mens angriberen stadig er i gang — ikke efter skaden er sket.

Hvem har brug for det?

Det er et legitimt spørgsmål. Ikke alle SMV'er har behov for MDR. Det giver typisk mest mening, hvis:

  • I er underlagt regulering (NIS2, finanssektor, sundhedssektor)
  • I håndterer meget følsomme data — personoplysninger, patientdata, finansielle data
  • I er leverandør til kritisk infrastruktur eller større virksomheder
  • I tidligere har haft en sikkerhedshændelse
  • I har en cyberansvarsforsikring, der kræver aktiv overvågning

For de øvrige: stærk IT-hygiejne — MFA, opdateret software, backup, segmenteret netværk — giver den største sikkerhedsgevinst for pengene og bør prioriteres først.