Bestyrelsesguiden

Risikostyring: Frygten for cyberangreb er eksploderet

barberblade

Tema: Ledelsesansvar 2018: I erhvervslivet er frygten for cyberangreb – og konsekvenserne af det – bestemt ikke blevet reduceret de seneste år. Heller ikke selvom det for topledelserne er blevet mere klart, hvad der kan ske, og hvordan man kan dæmme op for det. Hele 85 procent af respondenterne i en survey ser det som en af de allerstørste risici. For fire år siden var andelen 59 procent.

For fem år siden var cyberangreb i høj grad noget man snakkede om i erhvervslivet, men uden at der var mange velkendte eksempler på større skader. Siden dengang har der været både indblanding i et amerikansk præsidentvalg og et kæmpe nedbrud i blandt andet A.P. Møller-Mærsks centralnervesystem, som groft sagt blev lukket ned med milliardtab til følge.

Opfattelsen er mange steder, at virksomhedernes beskyttelsesbarrierer mod fjendtlige hackerangreb er blevet betydeligt bedre, men det er hackerne bare også. Økonomisk Ugebrev Ledelse bringer løbende artikler baseret på korte og konkrete resumeer af ledelsespapirer fra de store internationale konsulenthuse. Mange af disse konsulentguides til erhvervslivets top handler om, hvordan man håndterer cybertruslen, hvortil hører eksempelvis, hacking, virusangreb eller lignende.

I Økonomisk Ugebrevs fagportal, Bestyrelsesguiden, gengiver vi mange af disse artikler under kategorien ”Risikostyring”. (Bemærk, at abonnenter på ØU Ledelse har gratis adgang til Bestyrelsesguiden). I en tidligere artikel skrev vi under overskriften ”Ansvarlighedskløft: CEO’er ignorerer cyberrisici” at ”med de nye muligheder i den digitale økonomi står erhvervslivets topledere med et vanskeligt dilemma: På den ene side er det positivt for forretningen at øge effektivitet, hastighed og innovationsmuligheder i den nye digitale verden. Men på den anden side følger i kølvandet på udviklingen med ny teknologi nye trusler og risici fra cybersecurity, både fra eksterne kræfter og fra dem, der anvender teknologien internt i virksomheden.”

I en anden artikel om emnet hedder det, at ”på globalt plan er mange virksomheder langt bagud med at tage højde for den stadigt voksende trussel, som brud på it-sikkerheden udgør, viser en survey fra PwC. For bestyrelsen og topledelsen er det svært at forholde sig konkret til cybersikkerhed. Der sker jævnligt indbrud i it-systemer, og engang imellem er de alvorlige. Men der har endnu ikke været cyber-angreb, som kostede menneskeliv, som var så dyrt, at det udløste økonomiske kriser, eller som udløste potentielle militære stridigheder mellem lande. Set i det lys er det måske ikke så underligt, at næsten halvdelen af topcheferne i PwC’s Global State of Information Security Survey 2018 svarer, at de ikke har en overordnet strategi for cyber-sikkerhed, og at en tilsvarende andel ikke systematisk sørger for, at deres medarbejdere er opmærksomme på risici i denne forbindelse.”

Ifølge Økonomisk Ugebrevs survey ses den næststørste risiko som muligheden for at ifalde ”bøder og bodsbeløb ved overtrædelse af regler”, hvilket kan være alt lige fra konkurrenceregler til miljøregler og eksempelvis hvidvaskregler, hvor det allerede har kostet Danske Banks aktionærer milliarder i værditab på grund af en sandsynlig milliardbøde fra myndighederne.

Lige derefter kommer overtrædelse af GDPR/persondataforordningen, hvor det dog er den almindelige opfattelse at myndighederne vil se med milde øjne på overtrædelser i en overgangsperiode. I hvert fald så længe virksomheden kan fremvise, at den har arbejdet seriøst med implementeringen af de nye regler.

I forhold til Økonomisk Ugebrevs tilsvarende survey for fire år siden, er frygten for at falde i omkring ”ansættelsesretlige krænkelser, herunder diskrimination, chikane og uberettigede afskedigelser” faldet betydeligt, idet nu 30 procent ser det som en stor risiko, mod 46 procent for fire år siden. Tilsvarende er andelen af respondenter, som peger på ”insolvens og konkurs” som en stor risiko, dykket fra 50 procent til 39 procent.