Cybersikkerhed – stil de rigtige spørgsmål

Bestyrelser skal behandle truslen om cyberangreb forretningsmæssigt og ikke teknologisk. Det er ikke længere kun store multinationale selskaber, der risikerer at blive udsat for et cyberangreb, der kan lamme virksomheden i lang tid og koste dyrt, set i relation til virksomhedens størrelse. Den danske regering har optrappet sine advarsler og hjælp til virksomheder om at sikre sig, de store konsulenthuse skærper deres fokus, og fra KPMG lyder rådet nu til bestyrelserne, at de skal stille andre og mere direkte spørgsmål til ledelsen i virksomheden. 

Når topledelserne i virksomhederne bliver spurgt, hvordan de griber muligheden an af et cyberangreb, svarer de fleste: “Der er en plan” og “Det er højt på bestyrelsens dagsorden.”  

Men hos konsulenthuset KPMG har de ligesom mange andre steder med bekymrede miner kunnet konstatere en kraftig optrapning af cyberangreb, både i antal og i den professionalisme, hvormed de er udført. Og det får nu konsulenthuset til at ændre sin rådgivning. 

Direkte spørgsmål 

”Bestyrelsen bør i stedet stille ledelsen nogle mere direkte spørgsmål, der fordrer nogle mere direkte svar. Eksempelvis bør bestyrelsen spørge både ledelsen, og sig selv, hvor forberedt virksomheden er på at stå over for en fire-til seks ugers afbrydelse af driften som følge af et cyberangreb? Hvordan vil det påvirke kundeservicen? Hvad vil det betyde for leverandører og samarbejdspartnere? Kan virksomheden honorere de kommende lønudbetalinger? Er der penge til at betale leverandører? Og hvordan vil en eventuel afbrydelse påvirke virksomhedens lovgivningsmæssige og juridiske forpligtelser?” 

Sådan lyder et uddrag af rækken af konkrete spørgsmål, som virksomheden bør stille sig selv og besvare på en fyldestgørelse måde for bestyrelsen, lyder det fra KPMG i en ny stor rapport med titlen Cyber Security Considerations 2022, hvor KPMG opstiller otte vigtige punkter, der alle anses for at være elementer i enhver virksomheds overvejelse af, hvordan truslen om cyberangreb skal tackles. 

Corona-pandemien medførte en voldsom stigning af antallet af hjemmearbejdspladser, hvoraf mange er kommet for at blive. Medarbejderne er blevet digitalt engagerede, og ifølge KPMG står en så hyperforbundet verden over for voksende cyberrisici på flere globale fronter. Cyberkriminelle bruger stadigt mere sofistikerede værktøjer og teknologier, hvilket udvider den udfordring, organisationer står over for med at sikre og opbygge skræddersyet cyberforsvar og -support. 

Direkte spørgsmål 

Også den danske regering nærer samme frygt, og ikke mindst en stigende frygt i kølvandet på den russiske invasion af Ukraine. Derfor lancererede regeringen i starten af marts måned nye initiativer, der skal dæmme op for truslen fra cyberangreb. 

Med invasionen er der nu god grund til at øge opmærksomheden på cybersikkerheden hos danske virksomheder, lyder det fra erhvervsministeren, der blandt andet lancerede en pulje på 50 mio. kr. til at styrke sikkerheden i små og mellemstore virksomheder. Tidligere undersøgelser har nemlig vist, at 40 pct. af de danske små og mellemstore virksomheder har et for lavt sikkerhedsniveau i forhold til deres risiko.  

”Den russiske aggression er en god anledning til at øge opmærksomheden på cybersikkerhed i de danske virksomheder. Vi har tidligere set, hvordan det kan få store konsekvenser for danske virksomheder, hvis man bliver ramt af et cyberangreb, og vi ved, at russiske hackere før har rettet computermusen mod vestlige mål. Derfor vil jeg gerne opfordre alle danske virksomheder til at tage et ekstra kig på cybersikkerheden. Og så er jeg glad for, at vi også kan give en ekstra hånd til de virksomheder, der har brug for hjælp til at øge sikkerheden.” siger erhvervsminister Simon Kollerup. 

Debat om forretningen 

Også hos Deloitte er der større fokus på cybersikkerhed, og her råder de også bestyrelser til at se på forretningen – ikke på de teknologiske løsninger. 

”Mange bestyrelsesmedlemmer har jo en alder, hvor de ikke er vokset op i en digital verden. Men det her er en forretningsmæssig diskussion, ikke en teknisk diskussion. Løsningen er teknologier, men det er eksempelvis en diskussion om, hvor kommer de største trusler fra. Jeg oplever ofte en frygt hos bestyrelsesmedlemmer for, at det her forstår de ikke. Når vi så fortæller dem, at det er en forretningsmæssig diskussion, bliver de helt lettet. Og det er en supervigtig vej ind i det for bestyrelserne, for så kan alle være med” siger Mette Louise Kaagaard, leder af Risk Advisory i Deloitte Danmark. 

Og af netop samme grund advarer hun mod, at problemerne eller opgaven bliver skubbet ind til IT-afdelingen, der så skal tage de store tunge beslutninger og præsentere dem i et sprog fyldt med IT jargon, som bestyrelsesmedlemmer måske har svært ved at følge med i. 

Nøglepunkter 

Nogle af nøgletiltagene i KPMG’s rapport handler blandt andet om at overveje og diskutere følgende spørgsmål. 

• Lav en overgang fra traditionel sikkerhedstænkning omkring fortrolighed og tilgængelighed af data, og begynd at tænke på at sikre integritet og robusthed. 
• Engager vigtige organisatoriske interessenter til at forpligte sig til en sikkerhedsstrategi, der kan beskytte organisations- og kundedata, håndtere risici og er følsom over for kort- og langsigtede forretningsprioriteter. 
• Omformuler tænkningen på ledelsesniveauet, når den vedrører sikkerhed ved at fokusere på praktiske virksomhedsrisici frem for omkostninger og hastighed. 
• Tænk mindre på operationelle nøglepræstationsindikatorer (KPI’er) og nøglerisikoindikatorer (KRI’er), og fokuser på temaer og tendenser i de underliggende data: typer hændelser, interne og eksterne programhuller og datarelaterede aktiviteter, der er i gang, planlagt eller afventer godkendelse. 
• Opbyg relationer med nøgleforretningsområder ved at øge bevidstheden om, hvor hurtigt de kan nå målene ved at integrere sikkerhed i forhold til, hvad de kan miste i tilfælde af et brud. 

Hele KPMG-rapporten kan læses her 

https://home.kpmg/dk/da/home/indsigt/2022/02/cybersikkerhedsovervejelser-2022.html 

 Henrik Denta