Ansvaret for beskyttelse mod ransomware-angreb starter i bestyrelseslokalet
»Det er den største realtrussel nu om dage for et samlet kollaps af en global virksomhed,« udtalte Søren Nielsen, topchef i Demant, i Børsens ledelsestillæg den 29. oktober 2020. Tillægget omhandlede datasikkerhed, og Søren Nielsen udtalte sig om det ransomware-angreb, Demant oplevede i september måned 2019.
Konceptet og idéen bag ransomware er egentlig ganske banal – tjen penge ved at tage it-systemer som gidsel ved hjælp af et ‘denial of service'-angreb, således at det ikke kan bruges, og afpres derefter brugeren for en løsesum for at få adgangen til systemet tilbage – altså digital gidseltagning.
Gennem de sidste 25 år har metoderne til ransomware-angreb udviklet sig fra udbredelse via floppydisks til meget målrettede angreb, som kombinerer mere traditionelle angrebsmetoder med digital gidseltagning. De kriminelle kompromitterer virksomhedens netværk og gennemfører et nøje orkestreret angreb, der medfører størst mulige konsekvenser for den ramte virksomhed. Og altså har så store konsekvenser, at det i følge Søren Nielsen kan få selv globale virksomheder til at kollapse.
At risikoen for ransomware-angreb er meget nærværende kan ses ved den meget lange række virksomheder, der bliver ramt. I Danmark har ransomware angreb bl.a. ramt virksomheder som ISS, Bauhaus, DEMSI, AK Techotel og Kalundborg Forsyning. I udlandet har angreb bl.a. ramt Garmin, Accenture, Colonial Pipeline og den svenske afdeling af COOP. Og dette er desværre kun toppen af isbjerget da der er et kæmpe mørketal af ransomware-angreb, som vi aldrig hører om.
Selv hvis virksomheden har rigtig godt styr på backuprutinerne kan det tage meget lang tid at få reetableret alle systemer, når man først er blevet lagt ned af et angreb. Og selv hvis virksomheden ender med at betale løsesummen, tager det som regel tilsvarende lang tid. Samtidig har de kriminelle, der står bag ransomware-angrebene, forretningsudviklet og fundet ud af, at det hjælper på ofrenes betalingsvillighed, hvis de samtidig stjæler en kopi af virksomhedens data og truer med at sælge dem til højst bydende eller offentliggøre dem på det mørke internet.
Mange af disse ransomware-angreb går også hårdt ud over virksomhedens kunder, som man f.eks. så med Garmin i sommeren 2020, hvor brugere af deres fitnessure ikke kunne benytte dem i en længere periode, den lille danske virksomhed AK Techotels, der leverer bookingsystemer til hoteller, hvis kunder pludselig ikke vidste, hvilke gæster der havde booket værelser, og manglen på brændstof på den amerikanske østkyst pga. ransomware-angrebet på Colonial Pipeline.
De mulige konsekvenser for de ramte virksomheder er således mange – som bl.a. omkostninger til oprydning og genetablering, tabt produktivitet, utilfredse og måske mistede kunder, tabte forretningshemmeligheder og måske GDPR-bøder for ikke at have passet ordentligt på personfølsomme data.
Bestyrelses rolle og ansvar
Efterhånden som virksomhedernes produkter og infrastrukturer bliver mere og mere digitale, bliver virksomhederne også mere sårbare overfor konsekvenserne af cyberangreb. Derfor er cyberangreb efterhånden blandt de væsentligste forretningsrisici, som virksomhederne står overfor. Langt de fleste virksomheder har ledelsessystemer, der tilsikrer, at virksomheden foretager en passende økonomisk risikostyring i alle væsentlige forretningsmæssige beslutninger. Da ransomware – og andre cyberangreb – efterhånden udgør en så stor og markant risiko for virksomhederne og virksomhedernes værdier, skal cyberrisikoen i dag derfor håndteres på lige linje med andre væsentlige risici.
Opgaven med at sikre virksomhedens digitale aktiver starter hos bestyrelsen. Det er bestyrelsens opgave og ansvar at føre effektiv kontrol med virksomhedens risici – blandt andet for at beskytte og skabe afkast af den forretning, som bestyrelsen er sat til at varetage på vegne af ejerne. Risikostyring går ud på at forstå, identificere, analysere, prioritere og håndtere risiko. Alle risici kan ikke fjernes helt. Men ved at anvende en systematisk tilgang kan bestyrelsen og ledelsen påtage sig de rigtige risici på et oplyst grundlag.
Det allerførste skridt i at beskytte sig mod ransomware-angreb er, at virksomhedens bestyrelse forstår og erkender problemstillingen og forstår, at alle virksomheder kan være mål for de kriminelle – uanset hvor ukendt eller uinteressant virksomheden i øvrigt mener, den er. De kriminelle er ret ligeglade med, om de angriber et hospital eller en maskinfabrik – for dem gælder det om at få en fortjeneste, og derfor er alle virksomheder, uanset størrelse eller branche, potentielle ofre. Når bestyrelsen har opnået denne erkendelse, har den et godt udgangspunkt for at adressere udfordringen på en seriøs måde.
Bestyrelsen har derfor brug for nogle kompetencer og indsigter inden for cyber- og informationssikkerhed således, at den kan sparre med og udfordre direktionen og ledelsen i virksomheden omkring virksomhedens cyber- og informationssikkerhed. Bestyrelsen skal således ikke have en udførende rolle, men være i stand til at forstå den rapportering, der kommer fra ledelsen, og udfordre ledelsen således, at det sikres at risikoen er håndteret på et passende niveau. Endelige har bestyrelsen også en opgave med strategisk at gøre sikkerhed til en konkurrencefordel og en del af virksomhedens produktudvikling og forretningsmodel.
Til en start er det bestyrelsens ansvar at fastlægge virksomhedens risikoappetit – altså den proces, hvor bestyrelsen typisk sammen med ledelsen vurderer, hvor stor en risiko virksomheden ønsker at løbe. Dette har, udover input til beslutningen om omkostninger til it-sikkerhed, også betydning for, hvad det kræver af virksomheden for at være agil på it-området, og hvilke typer løsninger virksomheden kan tilbyde medarbejdere, kunder og partnere. Samtidig er det også bestyrelsens ansvar at sikre de rette rammer og den rette kultur omkring sikkerhedsarbejdet, altså sikre at der er tilstrækkeligt med ressourcer, den rette opbakning til gennemførelsen af sikkerhedstiltag og en ordentlig opfølgning.
At beskytte en virksomhed mod ransomware- eller andre cyberangreb, for den sags skyld, omfatter naturligvis en lang række forskellige tekniske it-discipliner. Men al erfaring viser, at dette ikke er nok, og de har behov for at være ordentligt organisatorisk og ledelsesmæssigt forankrede for, at virksomhederne samlet lykkes med deres cybersikkerhed. Bestyrelsen og ledelsen spiller derfor en afgørende rolle i at sikre, at virksomheden er ordentligt beskyttet.
Derfor vil jeg gerne slutte med en opfordring til alle bestyrelser om at kommer i gang med arbejdet omkring cyber- og informationssikkerhed – og hvis man fra ledelsen ikke oplever, at bestyrelsen påtager sig denne rolle, så hjælp dem med at forstå deres ansvar.
Der findes efterhånden en række steder, hvor man som bestyrelse kan lære mere om cyber- og informationssikkerhed, bl.a. er jeg selv involveret i projektet ‘Styrkelse af strategiske cyberkompetencer i danske virksomheder', som Industriens Fond støtter og gennemfører i samarbejde med Bestyrelsesforeningen.
It-sikkerhed er blevet for vigtigt til, at ansvaret kun kan ligge i it-afdelingen, og kræver i dag fokus og opbakning fra bestyrelse og ledelse.
Vil du bidrage til debatten med et synspunkt? Så skriv til vores debatredaktion på debat@ing.dk
