Bestyrelsesguiden

IT-kriminalitet – en stadigt større udfordring for bestyrelsen

Der er ingen tvivl om, at COVID-19 pandemien og øget hjemmearbejde har fungeret som en katalysator for udviklingen i it-kriminalitet og gjort det endnu nemmere for cyberkriminelle at tilegne sig adgang til virksomhedens vigtige data og it-infrastruktur. Michael Rehling og Henrik Ottosen fra DAHL Advokatpartnerselskab giver her fem gode råd til, hvordan bestyrelsen kan gribe problematikken an.

En rapport fra PWC viser, at hele 60 pct. af alle danske virksomheder blev udsat for en eller anden form for cyberkriminalitet i løbet af 2020.

Er man ikke forberedt på cyberangreb, har det ofte store og uoprettelige konsekvenser for virksomheden. Fortroligt data, herunder data om virksomhedens kunder, forretningsprocesser og medarbejdere kan blive stjålet og videredelt offentligt. Cyberkriminelle kan også kryptere vigtige data for at blokere driftskritiske systemer og forsøge at afpresse virksomheden for betydelige beløb.

Både bestyrelsen og direktionen bærer ansvaret for it-sikkerheden, og dermed for at der foretages de rette foranstaltninger for at forebygge et cyberangreb. Virksomhedens ve og vel er dog i sidste ende altid bestyrelsens ansvar. Bestyrelsen bør derfor have de rette kompetencer eller redskaber til at forstå og vurdere virksomhedens it-sikkerhedsniveau for at kunne levere en målrettet indsats mod cyberangreb. Dette indebærer også, at bestyrelsen løbende bør sikre indsigt i virksomhedens digitale sårbarheder og aktuelle trusler, herunder konsekvenserne af et angreb.

Denne indsigt har direktionen til ansvar at fremskaffe i form af en risikovurdering, som beskriver hvilke trusler og sårbarheder, virksomhedens it-sikkerhed står overfor. Direktionen bør således altid føre en effektiv og løbende kontrol med de risici der er for et eventuelt cyberangreb, og rapportere til bestyrelsen.

Tilstrækkelig og relevant rapportering er altafgørende, da bestyrelsen ikke kan udfylde sin tilsynsopgave uden at forstå det aktuelle risikobillede, herunder konkrete trusler og mangler i it-sikkerheden. Det er derfor vigtigt, at bestyrelsen får information nok til at forstå, hvad der ligger bag det, der rapporteres, og hvordan det stemmer med den overordnede cyberstrategi.

Her er fem overvejelser man som bestyrelsesmedlem bør forholde sig til for at øge virksomhedens it-sikkerhed og sikre sig mod cyberangreb:

Forfatterne er Michael Rehling og Albert Kusk, begge advokater og partnere i DAHL Advokatpartnerselskab.