Den internationale cybersikkerhedsmåned finder sted her i oktober, og det sker på et bagtæppe af cyberangreb, som har ramt danske myndigheder, institutioner og virksomheder.
Offentlige hjemmesider blev så sent som i september lagt ned af russiske ddos-angreb, og de skrev sig ind i rækken af angreb, som det seneste halve år har haft store og varige konsekvenser for driften hos medier som Jyllands-Posten og TV2, uddannelsesinstitutioner som Danmarks Medie- og Journalisthøjskole og Via University College eller Forsvarsministeriet.
Cybersikkerhed får ofte først en plads i rampelyset, når hackerne har været på besøg i vores dyrebare data eller lagt store dele af vores digitale infrastruktur ned. Og her er den vigtige dialog om den fremtidige sikring af vores digitale aktiver nytteløs. Den dialog skal tages hele tiden, og den skal være en central del udviklingen af virksomheders og organisationers forretningsstrategier. Først her kan man for alvor komme fremtidige angreb i forkøbet, og først her kan man sikre, at de vigtigste data og forretningsprocesser er sikret.
Når det forholder sig omvendt, og når talen om cybersikkerhed ofte først opstår, når systemerne er lagt ned, eller når dataene er mistet, kan det skyldes, at snakken for længe har handlet om teknologi frem for værdibaseret cybersikkerhed.
Centralt for den værdibaserede tilgang er at vurdere og analysere aktiver, og beskytte dem herefter. På den baggrund kan sikkerhedsopgaver og ressourcer prioriteres med udgangspunkt i værdien, uden at investere for meget eller for lidt i cybersikkerhed. En sådan analyse og tilgang vil også gøre cybersikkerhedsspørgsmålet til en større og mere naturlig del af de daglige forretningsgange. Og den del bliver snart en nødvendighed.
Inden længe vil net- og informationssikkerhedsdirektivet, nis2, som EU-medlemslandene har vedtaget, stille krav til, at virksomheder og organisationer prioriterer deres strategier for cybersikkerhed på et niveau, som svarer til den øvrige forretningsstrategi. Topledelsen tildeles et direkte ansvar for cybersikkerheden og for at sikre, at virksomheden overholder de øvrige krav.
Nis2-direktivet har været omdiskuteret, da der mangler en dansk afklaring af direktivets reelle betydning, og hvem der skal leve op til det allerede om et år. Derfor har Dansk Erhverv eksempelvis efterspurgt en nis2-taskforce, der skal afklare netop de spørgsmål.
Sikkert er det dog, at direktivet for første gang vil placere et personligt ansvar for en virksomheds valg og fravalg på sikkerhedsområdet. Med direktivet står det klart, at topchefer med implementeringen af nis2 bliver tvunget til at forholde sig til cybersikkerhedsspørgsmål. Derfor kan man – trods nis2-forvirringen – lige så godt få set på sit sikkerhedssetup og processerne omkring det for at komme direktivet i forkøbet. For det kommer, og det kommer til at ændre organisationers måde at håndtere sikkerhedsspørgsmålet på.
I den ideelle verden burde cybersikkerhed allerede være en naturlig del af det risikoarbejde, der foregår i ledelsesrummet. Vores mangeårige erfaring viser dog, at det ikke altid er tilfældet.
Som andre investeringer bør også sikkerhedsinvesteringer være tæt knyttet til forretningsstrategien og være en naturlig forankret del af ledelsesarbejdet. En manglende integration af sikkerhedsspørgsmålet kan have den konsekvens, at sikkerhedsinvesteringer ikke retter sig mod de mest forretningskritiske og udsatte processer. Hvis sikkerhedssetuppet er mangelfuldt, vil det potentielt være forretningskritisk.
Det kan både handle om dataenes placering og betydning for den fortsatte drift. Det kan handle om evnen til at genetablere drift og til at have procedurer for alternative forretningsgange i tilfælde af angreb.
Med nis2 følger også, at vi i højere grad vil skulle stille krav til de underleverandører, vi benytter os af. Her har de fleste en kombination af underleverandører – nogle er omfattet af nis2, andre ikke.
Det forventes altså, at topledelsen har et overblik over, hvem af underleverandørerne, der er kritiske for de forretningskritiske processer, og hvordan deres sikkerhedsberedskab er. Denne del bør ikke være nyt, men er det for mange.
Øget digitalisering og automatisering stiller krav. Også til arbejdet med cybersikkerhed, og vi skal kunne træffe beslutninger på baggrund af indsigt, grundige analyser og en mere værdibaseret tilgang til cybersikkerhed. Og vigtigst af alt så skal de kortsigtede lappeløsninger inden for cybersikkerhed droppes én gang for alle.
