Tidligere CFCS-chef: Danske bestyrelser mangler viden om cybersikkerhed

13. januar 2022 kl. 16:311
Thomas Lund Sørensen
Illustration: Center for Cybersikkerhed.
Uddannelse af bestyrelser i cyberrisiko eller regulering af virksomhederne er to veje at gå, hvis man skal imødegå den stigende cybertrussel, vurderer tidligere chef for Center for Cybersikkerhed.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det kniber med forståelsen af cybertruslen i de danske direktioner og bestyrelser, mener tidligere chef for Center for Cybersikkerhed og nuværende partner i konsulentvirksomheden Macro Advisory Partners, Thomas Lund-Sørensen. Det går ud over bundlinjen og vil i sidste ende komme aktionærer og ejere til last.

Læs også: Tidligere CFCS-chef undrer sig: Danske bestyrelser er passive på it-sikkerhed

Det skriver han i et debatindlæg i Børsen forfattet sammen med Søren Skibssted, der er advokat og partner i Kromman Reumert. De vurderer samtidig, at enhver virksomhed i løbet af en tre- til femårs periode vil blive udsat for mindst et alvorligt og talrige mindre digitale angreb.

Artiklen fortsætter efter annoncen

Læs også: Danske it-chefer føler sig presset til at nedtone it-sikkerhedstrusler

Løsningen er ifølge forfatterne, at der investeres i uddannelse i cyberrisiko til bestyrelserne.

»Man kan også gøre som i det offentlige – stille krav til topledelsen. Regulering får altid bestyrelsens opmærksomhed, da efterlevelsen er en forudsætning for virksomhedens »licence to operate«. Det er også den retning, vi er på vej i. Enten lovgivning fra EU eller på nationalt niveau. I Folketinget er der appetit på at sikre især den kritiske infrastrukturs cybersikkerhed,« skriver Thomas Lund-Sørensen og Søren Skibssted.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
14. januar 2022 kl. 09:50

Jeg er meget enig med Thomas Lund-Sørensen i, at danske direktører og bestyrelsesmedlemmer ikke forstår cybertruslen.

Og desværre tror jeg ikke kun det skyldes manglende forståelse for sikkerhed, men generel manglende forståelse for IT og navnlig manglende viden om netværk, Internet og kommunikation.

I mange virksomheder er der i topledelsen en holdning om at "if it ain't broke, don't fix it". Så snart en netværksløsning er testet og sat i drift, er den ude af beslutningsprocessen.

Risikoen for cyberangreb på installationer og netværk som fungerer upåklageligt er simplet hen ikke på problemsliten i virksomhedsledelsen, og konsekvensen er, at der spares på området hele vejen ned gennem organisationen. I brunden sidder frustrerede IT administratorer som er klar over risikoen, men som ikke har midler til eller ledelsens forståelse for, at der skal bruges ressourcer på opgaven.

Løsningen bliver derfor desværre ofte, at der først sker noget, når ulykken først er sket, hvilket vi allerede har set flere spektakulære eksempler på.

Derfor tror jeg heller ikke, at lovgivning alene kan løse problemet. Så længe ledelser ikke forstår den bagvedliggende (og tekniske) problemstilling kommer lovgivning ikke til at ændre meget. Lovgivning som ikke forstås efterleves sjældent.

For mig at se ligger der en stor opgave i at få "uddannet" virksomhedlsedelser, så de reelt også forstår den tekniske sammenhæng og den tekniske konskvens af cybertruslen. Kommer den side på plads, skabes der grundlag for et ordentligt sikkerhedsarbejde.