Ansvarlighedskløft: CEO’er ignorerer cyberrisici

Med de nye muligheder i den digitale økonomi står erhvervslivets topledere med et vanskeligt dilemma: På den ene side er det positivt for forretningen at øge effektivitet, hastighed og innovationsmuligheder i den nye digitale verden. Men på den anden side følger i kølvandet på udviklingen med ny teknologi nye trusler og risici fra cybersecurity, både fra eksterne kræfter og fra dem, der anvender teknologien internt i virksomheden. 

I en analyse med titlen ”The Accountability Gap: Cybersecurity & Building a Culture of Responsibility” beskrives det, hvordan der i mange virksomheder opstår en stadig større kløft mellem disse risici og håndteringen af dem. ”The technology organizations use to protect themselves has dramatically failed to keep pace with the speed and agility of modern threats, creating billions of dollars of damage from data breaches annually,” hedder det.

Men dette er kun halvdelen af historien: Mindre synligt er den udbredte mangel på fokus på personlig og organisatorisk ansvarlighed i forhold til at beskytte de mest følsomme data, herunder regnskabsdata, kundeoplysninger og fortrolig produktinformation. Gabet fremgår klart af misforholdet mellem topledernes aktuelle opmærksomhed og parathed overfor problemet – i forhold til, hvor de burde være, lyder vurderingen.

Konsulenthuset bag rapporten har kortlagt dette gab, og det har identificeret syv udfordringer, som toplederne bør forhold sig til, nemlig grundlæggende cyberforståelse, risikoappetit, trusselsforståelse, lovgivning & regulering, netværksstabilitet, potentielle modsvar og generel adfærd.

Undersøgelsen er udarbejdet af Goldsmiths University of London, som har konstrueret en statistisk model med scorer for parathed, bevidsthed og sårbarhed, som er anvendt på et survey med svar fra 1530 toperhvervsledere, bestyrelsesmedlemmer og ledende funktionschefer inden for IT og internet. Besvarelser er indhentet i USA, UK, Tyskland, Japan, Danmark Sverige og Norge.

I undersøgelsen identificeres to afgørende parametre for sårbarhed i forhold til cybersecurity, som er ”kendskab til de potentielle risici” og ”evnen til at håndtere eventuelle problemstillinger”.

Konklusionen er, at enhver organisation i dag er sårbar over for cybersecurity trusler. Det gennemførte survey viser, at 90 procent af virksomhederne er sårbare på et middel til højt niveau. Omverdensvilkår kan ændre sig hurtigt, så sårbarheden øges fra middel til højt. Af de 90 procent har ti procentpoint en så høj sårbarhed, at de uden actions hurtigt kan ryge ud i en alvorlig krise. Andre ti procent af den samlede population har en lav sårbarhed over for cyberrisks.

Undersøgelsen viser, at 91 procent af bestyrelsesmedlemmerne ikke kan forstå en cybersecurity rapport, fordi de ikke forstår cybersproget og den tilhørende terminologi. Dermed kan de heller ikke stille de rigtige spørgsmål til den daglige ledelse, måske med henblik på at beslutte nødvendige actions og opstille de rette beskyttelsesmekanismer. Men det er endnu værre, at to ud af fem adspurgte bestyrelsesmedlemmer, C-level direktører og CIO’s, ikke føler, at det er deres ansvar at håndtere eventuelle risici eller trusler fra cybersecurity.

Som tabellen i rapporten viser har kun halvdelen af bestyrelsesmedlemmerne i de nordiske lande forståelse for problemstillinger omkring cyberrisici, og det er lavere end i både Tyskland, USA og Japan. Tilsvarende er kun 55 procent af de nordiske CIO’s parate til at håndtere cyberproblemstillinger, og det er en betydeligt mindre andel end i de andre lande.

Ifølge rapporten kan virksomheder nå meget langt ved at opbygge en ansvarlighedskultur, som har fokus på dette område, og hvor cybersecurity indarbejdes i virksomhedens almindelige corporate governance. Da cybersecurity ofte kan være en trussel mod hele virksomhedens eksistens, er det super relevant, at både organisation og bestyrelse arbejder med disse problemstillinger.

Hvis organisationen ikke har tillid til sikkerhed omkring data, men ikke kommunikerer dette til bestyrelsen, er det meget vanskeligt for bestyrelsen at forholde sig til denne type risici i den almindelige risikostyring. “At the board level, there is ignorance and a sense that ‘techies’ should take care of that. It is a technical problem, which is of course completely wrong,” says Esther Dyson, a Silicon Valley investment visionary. “I have seen it bite people. They need to learn. More and more companies are looking for a cyber expert. Of course, having a cyber expert on your board does not mean much other than you might take it a little more seriously.”

Morten W. Langer