Tidligere CFCS-chef: Danske bestyrelser mangler viden om cybersikkerhed

Thomas Lund-Sørensen er tidligere chef for Center for Cybersikkerhed under Forsvarets Efterretningstjeneste. Illustration: Center for Cybersikkerhed
Uddannelse af bestyrelser i cyberrisiko eller regulering af virksomhederne er to veje at gå, hvis man skal imødegå den stigende cybertrussel, vurderer tidligere chef for Center for Cybersikkerhed.

Det kniber med forståelsen af cybertruslen i de danske direktioner og bestyrelser, mener tidligere chef for Center for Cybersikkerhed og nuværende partner i konsulentvirksomheden Macro Advisory Partners, Thomas Lund-Sørensen. Det går ud over bundlinjen og vil i sidste ende komme aktionærer og ejere til last.

Læs også: Tidligere CFCS-chef undrer sig: Danske bestyrelser er passive på it-sikkerhed

Det skriver han i et debatindlæg i Børsen forfattet sammen med Søren Skibssted, der er advokat og partner i Kromman Reumert. De vurderer samtidig, at enhver virksomhed i løbet af en tre- til femårs periode vil blive udsat for mindst et alvorligt og talrige mindre digitale angreb.

Læs også: Danske it-chefer føler sig presset til at nedtone it-sikkerhedstrusler

Løsningen er ifølge forfatterne, at der investeres i uddannelse i cyberrisiko til bestyrelserne.

»Man kan også gøre som i det offentlige – stille krav til topledelsen. Regulering får altid bestyrelsens opmærksomhed, da efterlevelsen er en forudsætning for virksomhedens »licence to operate«. Det er også den retning, vi er på vej i. Enten lovgivning fra EU eller på nationalt niveau. I Folketinget er der appetit på at sikre især den kritiske infrastrukturs cybersikkerhed,« skriver Thomas Lund-Sørensen og Søren Skibssted.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Torben Rune

Jeg er meget enig med Thomas Lund-Sørensen i, at danske direktører og bestyrelsesmedlemmer ikke forstår cybertruslen.

Og desværre tror jeg ikke kun det skyldes manglende forståelse for sikkerhed, men generel manglende forståelse for IT og navnlig manglende viden om netværk, Internet og kommunikation.

I mange virksomheder er der i topledelsen en holdning om at "if it ain't broke, don't fix it". Så snart en netværksløsning er testet og sat i drift, er den ude af beslutningsprocessen.

Risikoen for cyberangreb på installationer og netværk som fungerer upåklageligt er simplet hen ikke på problemsliten i virksomhedsledelsen, og konsekvensen er, at der spares på området hele vejen ned gennem organisationen. I brunden sidder frustrerede IT administratorer som er klar over risikoen, men som ikke har midler til eller ledelsens forståelse for, at der skal bruges ressourcer på opgaven.

Løsningen bliver derfor desværre ofte, at der først sker noget, når ulykken først er sket, hvilket vi allerede har set flere spektakulære eksempler på.

Derfor tror jeg heller ikke, at lovgivning alene kan løse problemet. Så længe ledelser ikke forstår den bagvedliggende (og tekniske) problemstilling kommer lovgivning ikke til at ændre meget. Lovgivning som ikke forstås efterleves sjældent.

For mig at se ligger der en stor opgave i at få "uddannet" virksomhedlsedelser, så de reelt også forstår den tekniske sammenhæng og den tekniske konskvens af cybertruslen. Kommer den side på plads, skabes der grundlag for et ordentligt sikkerhedsarbejde.

  • 0
  • 0
Log ind eller Opret konto for at kommentere