Effekten af et globalt internet og globale tech-giganter slår nu igennem i samfundet og virksomhedernes hverdag på alle led og kanter. Ligesom politikere verden over – ikke mindst i EU – er ved at vågne op til dåd for at beskytte demokrati og meningsdannelse, så må topledelser i virksomhederne tage ansvar for det totale billede af virksomhedens risici.
“Vi skal flytte vores tankesæt hen i retning af naturkatastrofer, når vi taler om cyberkriminalitet
Måske er det ganske bekvemt at overlade netop it-sikkerheden til en chief information security officer (ciso), men det virker kontraproduktivt i forhold til at få it-risici tænkt ind i alle virksomhedens kredsløb. De spektakulære historier om virksomheder udsat for cyberangreb er blevet hverdag, og vi ved, at skadevirkningerne nogle gange måles i milliarder.
Virksomhedens bedste forsvar er at have det nødvendige ledelsesfokus på digitale trusler med i forretningsmæssige beslutninger, investeringer, valg af partner og meget andet. Altså alle steder. Det digitale element er jo til stede i nærmest alle aspekter af en virksomhed. Og derfor kan vi ikke lukke it-sikkerheden inde på et lille kontor og tro, at det kan håndteres som et it-spørgsmål, når det er et forretningsmæssigt spørgsmål.
Silodannelsen på netop dette område er farlig, fordi truslen er i så stor vækst. Ifølge Cybercrime Survey 2020 fra PwC har seks ud af ti adspurgte danske virksomheder haft en eller flere hændelser i de seneste 12 måneder. Det højeste antal i fire år. 79 pct. af angrebene var phishingangreb og 35 pct. af dem var relateret til covid-19-pandemien.
Trusselsbilledet er blandt andet præget af stærke kriminelle organisationer, som arbejder professionelt og seriøst med brug af både finansiel viden, digital viden og med klar sammenhæng med andre kriminalitetstyper. Afpresning, aflytning og målrettede digitale angreb på enkeltpersoner er sjældnere, men farligere end de masseproducerede og maskinelle “kampagneangreb”.
Svaret er risikotænkning hele vejen rundt, og i min optik gøres det bedst ved at sætte økonomisk værdi på risikoen. Det peger på en stadig ikke overvundet kommunikationskløft mellem ciso og den øvrige ledelse. Cybercrime Survey 2020 fortæller, at lederne selv (86 pct.) synes, at de har godt fokus på balancen mellem cybertrusler og cybersikkerhed. Blandt fagfolk på området er det kun 72 pct.
Vi kan ikke opnå fuld beskyttelse ved at leve op til tekniske standarder og retningslinjer. Denne compliance-tilgang indebærer generelle og ensartede beskyttelsesniveauer uden hensyn til aktivernes faktiske værdi for os og mulige kriminelle modparter. Et ensartet og generelt teknisk bestemt sikkerhedsniveau beskytter kritiske data lige så godt eller dårligt som mindre betydningsfulde data.
Desværre betyder den tilgang, at den seriøst arbejdende angriber givetvis kan komme igennem forsvarsværkerne med brug af store ressourcer og måske afpresning af enkeltindivider og aktivering af hackerviden.
Selv de største og mest velrenommerede og kompetente virksomheder kan altså ikke gardere sig 100 pct. Det er et faktum og et globalt vilkår. Vi skal flytte vores tankesæt hen i retning af naturkatastrofer, når vi taler om cyberkriminalitet. Alle kan blive ofre for et jordskælv. Alle kan også blive udsat for ondartet hacking. På det her område er nulfejlskultur den faktiske hovedfjende. Hvis virksomheden tror på nul fejl, så tager den ikke problemet alvorligt nok, og den skruer ikke sin risikostyring sammen på en optimal måde.
Vi skal opbygge en kultur, hvor it-risici er indbygget i beslutningernes dna. Paradigmet skal være risikobaseret og værdibaseret i modsætning til at være teknisk og systembaseret. Der skal topledelse og forretningsejere med ind over denne vurdering af virksomheden, og så skal denne værdiantagelse efterfølgende trække på teknisk sikkerhedsviden.
Mange virksomheder har opbygget et Security Operations Center, samlet ressourcer og erfaringer i ciso’ens kontor samt løftet sin modenhed i forhold til at håndtere incidents, styre identiteter og kontrollere adgang. Alligevel er en række store og højprofilerede virksomheder blevet ramt hårdt, omkostningsfuldt og reelt livstruende af cyberkriminalitet. Udover disse offentligt kendte eksempler kommer en række skjulte og ikkeoffentliggjorte sager om mere sofistikerede, målrettede og avancerede angreb.
Vi har brug for topledelsens prioritering og en samlet tilgang, hvor vi sidestiller cyberrisici med alle andre risici i vores risikostyring. Vi skal vurdere hyppigheden og værdiansætte disse risici og sætte et varieret sikkerhedsberedskab op for at imødegå truslen. Vi skal have beredskab til at opdage angreb, og vi skal opbygge intelligente forsvarslinjer, hvor vi beskytter det vigtigste bedst.
