Guide: Cybertrusler er mere end IT

Virksomheders udfordringer med potentielle cyberangreb er blevet så alvorlige, at truslerne ikke længere kan betragtes som en IT-sag, men som et vigtigt emne på bestyrelsens dagsorden. Problemet handler om langt mere end hackerangreb. Cybertrusler er blevet så komplekse, at der bør lægges en strategi for at håndtere dem. En virksomheds anseelse og profil kan blive ødelagt ved et enkelt cyberangreb.

Mens risikoen for cyberkriminalitet mod virksomheder de seneste år er blevet stadig mere nærværende, er der fortsat et stykke vej til at virksomhederne for alvor har opbygget de nødvendige værn. Virksomheder er blevet gode til at identificere mulige cybertrusler. Men de er stadig ikke så gode til at håndtere dem i praksis, viser en undersøgelse fra National Association of Corporate Directors, NACD.

Undersøgelsen viser, at 89 procent af bestyrelserne i amerikanske børsnoterede selskaber jævnligt diskuterer cyberkriminalitet på bestyrelsesmøderne. Men kun 42 procent af dem har tillid til, at deres virksomhed har sikret sig tilstrækkeligt mod cyberangreb. Kun fem procent har meget stor tillid til, at de har styr på tingene.

Baggrunden er ikke mindst, at udviklingen på dette felt sker så forrygende hurtigt, at det er svært at følge med og gardere sig. Problemet forstærkes af, at 48 procent af alle angreb foretages af kriminelle eller af personer, der bevidst vil skade virksomheden. Der går i snit 146 dage, før et angreb opdages, og det er kun i halvdelen af tilfældene, at virksomheden selv opdager angrebene. Virksomhederne er altså ikke helt fremme i skoene.

Som præsident tog Barack Obama i 2013 skridt til et udvikle et program for cybersikkerhed med standarder og procedurer for håndteringen af truslerne. NACD har på den baggrund udviklet en håndbog, som bygger på fem hovedprincipper for håndteringen:

Et bestyrelsesanliggende: Virksomhedens ledelse skal forstå, at cybersikkerhed ikke kun handler om IT, men at det er et ledelsesemne for hele virksomheden. Hvis sagen lægges hen til IT-afdelingen, bliver cyberspørgsmålet ganske enkelt ikke håndteret tilstrækkeligt kritisk og analytisk. Det bliver svært at kommunikere problematikken ud i hele virksomheden og offentligheden.

Cyberproblemet er særdeles teknisk og indviklet, og derfor skal det ikke håndteres teknisk, men derimod strategisk og ud fra et økonomisk perspektiv. Problemet skal håndteres på tværs af alle afdelinger i virksomheden. Ledelsen skal gøre sig klart, at cybersikkerhed vedrører den interconnectivitet, som omfatter alle virksomheder og relationer i dag. Virksomhederne kan ikke henholde sig til, at netværkene ligger i ”skyen.”

Mulige erstatningssager skal forberedes: 
Direktionen og bestyrelsen må forstå de juridiske elementer i cybersikkerhed. Hvis virksomheden sjusker med sikkerheden, kan det føre til erstatningskrav fra kunder eller aktionærer. Derfor skal bestyrelserne udarbejde juridiske procedurer for at kunne reagere på f.eks. hackerangreb. Et angreb kan hurtigt blive en sag i offentligheden. Men bestyrelsen bør også lave referater om sine drøftelser og beslutninger for netop at kunne forsvare sig, hvis der kommer erstatningskrav.

Bestyrelsen skal have adgang til fagkompetencer: Bestyrelsen må have adgang til den fornødne ekspertise, og håndteringen af cybersikkerhed skal gøres til et regulært tema på bestyrelsesmøderne. 89 procent af adspurgte amerikanske bestyrelser siger, at de jævnligt diskuterer cybersikkerhed, men kun 14 procent siger, at de har en ”høj viden” om cybersikkerhed. Kun 15 procent er tilfredse med kvaliteten af de informationer, de får fra direktionen om cybersikkerhed. Derfor skal bestyrelsesmedlemmer sørge for at få samme indsigt, som de har i vurderingen af regnskaber og finansielle forhold. Bestyrelserne skal også være klar over, at der ikke findes løsninger, der passer til alle virksomheder.

Dagligt ansvar for cybersikkerhed skal placeres: Virksomhederne må lave et program for cyberhåndteringen med en medarbejderstab og et budget, der kan klare opgaverne. Lederen af et cyberteam skal have kompetence til at operere på tværs i virksomheden.

Risikovurdering og prioritering af indsats: 
Bestyrelsen skal tage stilling til, hvilke risici, man ønsker at undgå, hvilke risici, man skal leve med, og hvilke man skal mindske eller ”kurere” gennem forsikringer. Total cybersikkerhed er urealistisk. Man må altså leve med nogle angreb, tab og tyverier. Det kan være svært at lave en sådan skelnen, f.eks. når man skal reducere, men ikke fjerne en risiko. Hvornår er det ”godt nok”?

Håndteringen af denne politik er vanskelig, fordi der ikke er en facitliste. Til gengæld skal man fokusere benhårdt på de vitale dele, dét der virkelig kan ødelægge kernen i virksomheden.