Er bestyrelsen klædt på til at tackle risikoen for cyberangreb? Her er ti opgaver
Hackere elsker, når du bruger samme password til det hele. Det gør det så let at genbruge bestyrelsesmedlemmernes ”let tilgængelige” password fra f.eks. LinkedIn til at komme ind bag virksomhedens firewall. Det var blot en af mange vigtige ting, som de 120 bestyrelsesmedlemmer, der var mødt op til Board Networks seminar om cyber risks, blev opmærksomme på i denne uge.
Der var gode indlæg fra eksperter og bestyrelsesmedlemmer, der har oplevet mareridtet udspille sig i virkeligheden. Troels Ørting, Jukka Pertola, Anne Louise Eberhard, Louise Knauer, Britta Dalunde, Klaus Stubkjær Andersen, Kim Schlyter og Morten von Seelen uddelte gode råd, og her kommer nogle af hovedpunkterne.
Vi taler ikke længere om, HVIS hacking rammer virksomheden, vi taler om at gøre det sværest muligt AT ramme og om at have planer klar, NÅR det rammer.
Det giver kuldegysninger at se en film, hvor ransomware hurtigt ruller ned over skærmen og omdøber og låser ens filer i biblioteket. Hvad gør man, når billetsystemet til hele tognettet bliver hacket med ransomware i løbet af 10 minutter kl. 5 en lørdag morgen, eller når YouSee bliver lagt ned lige inden dronningens nytårstale? Hvad gør man, når man midt i krisesituationen ikke længere kan kommunikere via mails og virksomhedens systemer? Levet erfaring er altid godt at blive klog af, og et billede stod helt klart – der er noget vi bestyrelsesmedlemmer skal lære!
Bestyrelsen har en særlig opgave
Har I drøftet cyberrisk i hele bestyrelsen? Eller i risikoudvalget? Eller tænker I som de fleste, at det er noget kompliceret, der hører til nede hos it-afdelingens eksperter? Bestyrelsesmedlemmerne skal ikke være it-eksperter, men der er viden og handlinger, der hører til på bestyrelsesniveauet.
Cyber risks er endnu en risiko at føre til risikomatricen. Hvad koster nedetid for virksomheden? Hvad koster en dag, en uge, en måned? Det er bestyrelsen, der skal sætte barren for, hvor svært det skal være for hackere at komme ind og afsætte omkostningerne til det. It-chefen har et budget til det hele, og når bestyrelsen presser for bundlinje i virksomheden, risikerer det at gå ud over sikkerhedsniveauet, hvis ikke det er et separat it-sikkerhedsbudget. Den lokale prioritering i it-afdelingen kunne pludselig udgøre en større risiko end ønsket.
Det kan blive ubegribeligt dyrt
Erfaringer peger på, at det kan være ubegribeligt dyrt at genskabe systemer. Ny hardware, installation af systemer og data. Selv med gode backups kan der være væsentlige udfordringer. De nyeste backups kan være forurenet med malwaren, så det er også vigtigt at have ældre backups. Offentligt kendte eksempler fra Mærsk, Norsk Hydro og TDC's YouSee viser, at genetableringsomkostningerne i den type selskaber kan beløbe sig til store summer i størrelsesordenen 100-400 mio. dollars ud over tabt indtjening etc.
Det er ulovligt at hacke sig ind i andres systemer, men i praksis kan det være umuligt at håndhæve loven, så det vigtigste at gøre er at forebygge angreb og beskytte systemerne.
Bestyrelsens rolle
Bestyrelsen har en væsentlig rolle i at sikre, at der er forebyggelsesplaner, en krisehandlingsplan, samt at man tænker over egen adfærd. WEF har udarbejdet et whitepaper for bestyrelsens rolle i forbindelse med cyber resilience. Der er ti opgaver:
- Bestyrelsen har ansvaret for cyber resilience – udvalg og arbejdsgrupper kan laves
- Medlemmerne skal være i stand til at løfte ansvaret, uddannes og opdateres løbende
- Udpegning af en cyber resilience-ansvarlig
- Sikring af integration i virksomheden – nuværende niveau af sårbarheder og plan for udbedring
- Beslutter risikoappetitten på cyber risks og forsikringsniveau
- Risikovurdering og rapportering
- Sikrer og følger op på beredskabsplan og -øvelser
- Tilskynder samarbejde med andre i branchen
- Sørger for et årligt uafhængigt review af virksomhedens cyber resilliens
- Bestyrelsens egen effektivitet i cyber resilience og sikring af ovenstående
Og så i en bisætning – når vi går ind i en M&A, hvordan er deres cyber risk-profil? og hvordan vil den påvirke den eksisterende profil? Det kunne ende med en dyr overraskelse.
De fleste kender til risiciene for de målrettede hackerangreb og den tilfældigt rammende ransomware, men ifølge Troels Ørting Jørgensen, chef for Global Centre for Cybersecurity, World Economic Forum (WEF), så er den næste risiko, at vores data i virksomheden bliver bevidst forurenet med udefrakommende data.
Tillid bliver en af de store konkurrenceparametre i fremtiden. Tillid til data, tillid til virksomheder. Så det øger presset på bestyrelsens stillingtagen til data og til cyber security.
Få yderligere inspiration her:
Whitepaper fra World Economic Forum