Dette indlæg er alene udtryk for skribentens egen holdning.

Er bestyrelsen klædt på til at tackle risikoen for cyberangreb? Her er ti opgaver

28. november 2019 kl. 07:001
Tina Moe
Illustration: Bente-Maj Wøldike.
Ledelse i den digitale tidsalder kræver ny viden - meget ny viden. Bestyrelser kan ikke nøjes med at bygge på tidligere ledelseserfaring, for verden ændrer sig hurtigt. Meget få har erfaring fra cyberangreb på virksomheden, så vi andre må hurtigt lære af deres erfaringer.
Artiklen er ældre end 30 dage

Hackere elsker, når du bruger samme password til det hele. Det gør det så let at genbruge bestyrelsesmedlemmernes ”let tilgængelige” password fra f.eks. LinkedIn til at komme ind bag virksomhedens firewall. Det var blot en af mange vigtige ting, som de 120 bestyrelsesmedlemmer, der var mødt op til Board Networks seminar om cyber risks, blev opmærksomme på i denne uge.

Der var gode indlæg fra eksperter og bestyrelsesmedlemmer, der har oplevet mareridtet udspille sig i virkeligheden. Troels Ørting, Jukka Pertola, Anne Louise Eberhard, Louise Knauer, Britta Dalunde, Klaus Stubkjær Andersen, Kim Schlyter og Morten von Seelen uddelte gode råd, og her kommer nogle af hovedpunkterne.

Vi taler ikke længere om, HVIS hacking rammer virksomheden, vi taler om at gøre det sværest muligt AT ramme og om at have planer klar, NÅR det rammer.

Det giver kuldegysninger at se en film, hvor ransomware hurtigt ruller ned over skærmen og omdøber og låser ens filer i biblioteket. Hvad gør man, når billetsystemet til hele tognettet bliver hacket med ransomware i løbet af 10 minutter kl. 5 en lørdag morgen, eller når YouSee bliver lagt ned lige inden dronningens nytårstale? Hvad gør man, når man midt i krisesituationen ikke længere kan kommunikere via mails og virksomhedens systemer? Levet erfaring er altid godt at blive klog af, og et billede stod helt klart – der er noget vi bestyrelsesmedlemmer skal lære!

Bestyrelsen har en særlig opgave

Har I drøftet cyberrisk i hele bestyrelsen? Eller i risikoudvalget? Eller tænker I som de fleste, at det er noget kompliceret, der hører til nede hos it-afdelingens eksperter? Bestyrelsesmedlemmerne skal ikke være it-eksperter, men der er viden og handlinger, der hører til på bestyrelsesniveauet.

Artiklen fortsætter efter annoncen

Cyber risks er endnu en risiko at føre til risikomatricen. Hvad koster nedetid for virksomheden? Hvad koster en dag, en uge, en måned? Det er bestyrelsen, der skal sætte barren for, hvor svært det skal være for hackere at komme ind og afsætte omkostningerne til det. It-chefen har et budget til det hele, og når bestyrelsen presser for bundlinje i virksomheden, risikerer det at gå ud over sikkerhedsniveauet, hvis ikke det er et separat it-sikkerhedsbudget. Den lokale prioritering i it-afdelingen kunne pludselig udgøre en større risiko end ønsket.

Det kan blive ubegribeligt dyrt

Erfaringer peger på, at det kan være ubegribeligt dyrt at genskabe systemer. Ny hardware, installation af systemer og data. Selv med gode backups kan der være væsentlige udfordringer. De nyeste backups kan være forurenet med malwaren, så det er også vigtigt at have ældre backups. Offentligt kendte eksempler fra Mærsk, Norsk Hydro og TDC's YouSee viser, at genetableringsomkostningerne i den type selskaber kan beløbe sig til store summer i størrelsesordenen 100-400 mio. dollars ud over tabt indtjening etc.

Det er ulovligt at hacke sig ind i andres systemer, men i praksis kan det være umuligt at håndhæve loven, så det vigtigste at gøre er at forebygge angreb og beskytte systemerne.

Bestyrelsens rolle

Bestyrelsen har en væsentlig rolle i at sikre, at der er forebyggelsesplaner, en krisehandlingsplan, samt at man tænker over egen adfærd. WEF har udarbejdet et whitepaper for bestyrelsens rolle i forbindelse med cyber resilience. Der er ti opgaver:

  1. Bestyrelsen har ansvaret for cyber resilience – udvalg og arbejdsgrupper kan laves
  2. Medlemmerne skal være i stand til at løfte ansvaret, uddannes og opdateres løbende
  3. Udpegning af en cyber resilience-ansvarlig
  4. Sikring af integration i virksomheden – nuværende niveau af sårbarheder og plan for udbedring
  5. Beslutter risikoappetitten på cyber risks og forsikringsniveau
  6. Risikovurdering og rapportering
  7. Sikrer og følger op på beredskabsplan og -øvelser
  8. Tilskynder samarbejde med andre i branchen
  9. Sørger for et årligt uafhængigt review af virksomhedens cyber resilliens
  10. Bestyrelsens egen effektivitet i cyber resilience og sikring af ovenstående

Og så i en bisætning – når vi går ind i en M&A, hvordan er deres cyber risk-profil? og hvordan vil den påvirke den eksisterende profil? Det kunne ende med en dyr overraskelse.

Artiklen fortsætter efter annoncen

De fleste kender til risiciene for de målrettede hackerangreb og den tilfældigt rammende ransomware, men ifølge Troels Ørting Jørgensen, chef for Global Centre for Cybersecurity, World Economic Forum (WEF), så er den næste risiko, at vores data i virksomheden bliver bevidst forurenet med udefrakommende data.

Tillid bliver en af de store konkurrenceparametre i fremtiden. Tillid til data, tillid til virksomheder. Så det øger presset på bestyrelsens stillingtagen til data og til cyber security.

Få yderligere inspiration her:

Whitepaper fra World Economic Forum

 

 

 

Vil du bidrage til debatten med et synspunkt? Så skriv til vores debatredaktion på debat@ing.dk

1 kommentar.  Hop til debatten

Tophistorier

Debatten
Vær med til at skabe en god debat ved at følge vores debatregler.

For at deltage i debatten skal du have en profil med adgang til at læse artiklen. eller opret en bruger.
settingsDebatvisning
1
28. november 2019 kl. 13:43
Cyberangreb og SMV

Kære Tina,

En spændende artikel og god opsummering af de omtalte indlægsholdere.

Jeg var ikke selv tilstede, men sidder nu tilbage med et spørgsmål. Er denne problemstilling og krav til beredskab (med de tilknyttede omkostninger) også relevant for Små og Mellemstore Virksomheder? Jeg vil påstå, at rigtig mange SMV'er idag benytter standard applikationer, der afvikles som en SaasS-løsning med data sikkert lageret i "skyen". Hackere angriber gerne hvor de kan lave størst skade og få mest omtale. SMV'er er ikke i den målgruppe. Selvfølgelig er der den mere ordinære "kidnapning", hvor en hacker låser adgangen til ens systemer, og kun lukker op efter at have modtaget en betaling. Men disse angreb er ofte knyttet til uansvarlig adfærd hos medarbejderne, der ufrivviligt lukker hackeren ind ved at trykke på et link eller åbne en fil, tilsendt i en mail.

Hvad ville være en simpel 5 punkts rådgivning til SMV'er?

Venlig hilsen Lars Kirstein Kirstein Consulting ApS