IT-kriminalitet – en stadigt større udfordring for bestyrelsen

Der er ingen tvivl om, at COVID-19 pandemien og øget hjemmearbejde har fungeret som en katalysator for udviklingen i it-kriminalitet og gjort det endnu nemmere for cyberkriminelle at tilegne sig adgang til virksomhedens vigtige data og it-infrastruktur. Michael Rehling og Henrik Ottosen fra DAHL Advokatpartnerselskab giver her fem gode råd til, hvordan bestyrelsen kan gribe problematikken an.

En rapport fra PWC viser, at hele 60 pct. af alle danske virksomheder blev udsat for en eller anden form for cyberkriminalitet i løbet af 2020.

Er man ikke forberedt på cyberangreb, har det ofte store og uoprettelige konsekvenser for virksomheden. Fortroligt data, herunder data om virksomhedens kunder, forretningsprocesser og medarbejdere kan blive stjålet og videredelt offentligt. Cyberkriminelle kan også kryptere vigtige data for at blokere driftskritiske systemer og forsøge at afpresse virksomheden for betydelige beløb.

Både bestyrelsen og direktionen bærer ansvaret for it-sikkerheden, og dermed for at der foretages de rette foranstaltninger for at forebygge et cyberangreb. Virksomhedens ve og vel er dog i sidste ende altid bestyrelsens ansvar. Bestyrelsen bør derfor have de rette kompetencer eller redskaber til at forstå og vurdere virksomhedens it-sikkerhedsniveau for at kunne levere en målrettet indsats mod cyberangreb. Dette indebærer også, at bestyrelsen løbende bør sikre indsigt i virksomhedens digitale sårbarheder og aktuelle trusler, herunder konsekvenserne af et angreb.

Denne indsigt har direktionen til ansvar at fremskaffe i form af en risikovurdering, som beskriver hvilke trusler og sårbarheder, virksomhedens it-sikkerhed står overfor. Direktionen bør således altid føre en effektiv og løbende kontrol med de risici der er for et eventuelt cyberangreb, og rapportere til bestyrelsen.

Tilstrækkelig og relevant rapportering er altafgørende, da bestyrelsen ikke kan udfylde sin tilsynsopgave uden at forstå det aktuelle risikobillede, herunder konkrete trusler og mangler i it-sikkerheden. Det er derfor vigtigt, at bestyrelsen får information nok til at forstå, hvad der ligger bag det, der rapporteres, og hvordan det stemmer med den overordnede cyberstrategi.

Her er fem overvejelser man som bestyrelsesmedlem bør forholde sig til for at øge virksomhedens it-sikkerhed og sikre sig mod cyberangreb:

• Få udarbejdet en risikovurdering: At få skabt overblik over hvilke måder din virksomhed kan blive udsat for cyberkriminalitet på er første skridt på vejen til at styrke virksomhedens cybersikkerhed. Udarbejdelse af en risikovurdering indebærer, at virksomhedens it-infrastruktur, arbejdsgange og forretningsprocesser undersøges for at finde ud af, hvor der er størst risiko for, at virksomheden kan blive ramt af et cyberangreb. Når man kender de svage punkter og det overordnede risikobillede, kan man herefter iværksætte konkrete initiativer til at øge sikkerheden, der hvor der er sikkerhedshuller. Man bør overveje at få foretaget en risikovurdering af virksomhedens centrale arbejdsgange og it-infrastruktur for at stå stærkere mod cyberangreb.
• Opdatering af sikkerhedssystemer: Med udspring i risikovurderingen bør der foretages kontrol af virksomhedens sikkerhedssystemer, så man kan sætte ind de steder, hvor der er brug for sikkerhedsopdatering og vedligeholdelse af it-udstyr. Standarder her kan være et nyttigt redskab at gøre brug af til at strukturere, prioritere og dokumentere arbejdet med it-sikkerheden og databeskyttelse. Især benyttelse af den internationale ledelsesstandard for informationssikkerhed, ISO/IEC 27001, har vundet stor udbredelse. Man bør overveje en struktureret indsats med en standard som rammeværk for arbejdet med it-sikkerhed, så man kan dokumentere, at man arbejder struktureret med informationssikkerhed.
• Uddannelse af medarbejdere og awareness: Selv i tilfælde hvor virksomhedens væsentligste risici er afdækket, og hvor virksomhedens it-systemer er fuldt opdateret, er det afgørende at virksomhedens ansatte trænes i at undgå adfærd, der kan resultere i et cyberangreb. Uddannelse, træning af og videndeling mellem bestyrelsen og medarbejderne omkring hvilken adfærd og it-vaner der kan lede til cyberangreb, og hvilke der styrker virksomhedens cyber- og informationssikkerhed, kan hjælpe virksomheden med at forhindre et fremtidigt cyberangreb.
• Virksomhedens standardaftaler: Risikoen for cyberangreb kan ikke elimineres. Man må derfor forvente, at cyberangreb som udgangspunkt betyder, at virksomheden ikke opnår ansvarsfrihed overfor sine kontraktsparter, herunder kunder og leverandører, hvis cyberangrebet medfører, at virksomheden ikke kan levere- eller modtage ydelser som aftalt. Man bør derfor overveje at minimere risikoen for tab, hvis uheldet er ude, ved at virksomhedens standardaftaler omfatter en regulering af cyberangreb. Dette kan i praksis gøres på flere måder. Husk i den forbindelse at inkludere cyberangreb og sikkerhedsbrud som forårsages af virksomhedens medarbejdere, da denne type sikkerhedsbrist er særdeles hyppigt forekommende og kan give anledning til tvist. For virksomheder der beskæftiger sig med levering af it-ydelser, herunder it-driftsydelser, er dette punkt særligt vigtigt, da denne type virksomheder er helt afgørende afhængig af en fungerende it-understøttelse, samtidig med at it-virksomheder ofte er i besiddelse af og behandler særligt følsomme oplysninger for sine kunder.
• Forsikring: Det må overvejes, om man kan reducere risikoen for tab ved at tegne en forsikring. Mange forsikringsselskaber tilbyder i dag en forsikring mod tab, som forårsages af et cyberangreb, eksempelvis driftstab i forbindelse med genopretning af it-systemer og data, samt de omkostninger der følger til undersøgelse og genopretning af sikkerhedsbruddet. En sådan forsikring dækker sjældent virksomhedens fulde tab, men kan i visse situationer ses som den sidste sikkerhedsline, hvis virksomhedens øvrige foranstaltninger ikke slår til.

Forfatterne er Michael Rehling og Albert Kusk, begge advokater og partnere i DAHL Advokatpartnerselskab.