Gæstebloggen

Den største forretningsrisiko er nu cyberangreb

Cyberangreb er den største risiko for virksomheder i store dele af verden. Det vurderer virksomhedernes ledere selv.

World Economic Forum har i november udgivet rapporten 'Regional Risks for Doing Business 2018'.

Det fremgår af rapporten, at 'cyberangreb' nu vurderes at være den største forretningsrisiko blandt respondenterne i Nordamerika, Østasien og Stillehavsområdet samt i Europa, herunder specifikt også i Danmark.

Emil Bisgaard, erhvervsjuridisk rådgiver, Senior Manager, Kammeradvokaten Illustration: Kammeradvokaten

Bemærk at rapporten omhandler forretningsrisici og ikke blot it-relaterede risici. Risikoen for cyberangreb vurderes således at være større end en finansiel krise eller stigende energipriser. Det er bemærkelsesværdigt!

Der er næppe tvivl om, at cybersikkerhed har fået en mere fremtrædende rolle i samfundsbevidstheden.

Mens digitaliseringen har tilført samfundet fantastiske muligheder, har den samtidig introduceret nye sårbarheder og et særdeles komplekst risikobillede, ligesom konsekvenserne ved sikkerhedsbrud er meget nærværende.

Individer bedrages og krænkes, og virksomheder og samfund påføres store omkostninger.

Skal prioriteres af ledelsen

Blandt praktikere inden for cybersikkerhed er der bred enighed om, at hvis vi skal håndtere det nye risikobillede, så er en af forudsætningerne, at cybersikkerheden prioriteres af ledelsen i de private og offentlige organisationer, der driver digitaliseringen.

Rapportens budskab er derfor en positiv nyhed, da det i den praktiske verden har været en tilbagevendende udfordring, at ledelsen ikke altid har opfattet cybersikkerheden som forretningskritisk. Den opfattelse er nu utvivlsomt i bevægelse, hvilket bl.a. kan tilskrives de store offentligt kendte sikkerhedsbrud og en række lovgivningsmæssige tiltag.

Men rapporter som Regional Risks for Doing Business kan være med til at konsolidere opfattelsen af, at cybersikkerhed er forretningskritisk.

Behovet for, at cybersikkerhed prioriteres af ledelsen, har mange årsager, men blandt de mere fremtrædende angiver mange, at cybersikkerhed tager tid, koster penge og er svært. Dertil kommer, at cybersikkerhed ikke tilfører umiddelbar forretningsmæssig eller politisk værdi for en organisation – det er kort sagt ikke et emne, der sælger særlig mange billetter.

Det skyldes formentlig, at cybersikkerhed som udgangspunkt handler mere om at bevare værdi end om at skabe den. Investeringen i cybersikkerhed kan i den forstand sammenlignes med at købe forsikring.

Tanken om, hvorvidt en forsikring er nødvendig, har formentlig strejfet de fleste, og i overvejelserne indgår typisk risikoparametre såsom sandsynlighed og konsekvens, forbundet med, at en skade indtræffer, sammenholdt med en vurdering af om købet af forsikring afskærer os fra at prioritere andre investeringer.

Hvorvidt forsikringen købes, er netop en prioritering og i organisationer er det ledelsen, der allokerer og prioriterer ressourcer.

Nye love - flere krav

Behovet for prioritering af sikkerheden er også gået op for politikerne, og vi ser i disse år, at der vedtages ny love, hvor der stilles krav til sikkerheden. I den sammenhæng er EU’s databeskyttelsesforordning, eller GDPR, der skal sikre beskyttelsen af vores persondata, et af de eksempler på lovgivning, som har fået mest opmærksomhed.

Samtidig med at databeskyttelsesforordningen gjorde sit indtog, blev også EU’s NIS-direktiv implementeret i Danmark. NIS-direktivet er rettet mod de it-baserede tjenester, som får vores samfund til at køre rundt.

Det gælder bl.a. klassiske forsyningsvirksomheder, såsom HOFOR og Banedanmark, men også større cloudservice-udbydere og andre såkaldte digitale tjenester bliver nu underlagt lovkrav om sikkerheden.

Det gennemgående tema i lovgivningen på sikkerhedsområdet er, at der skal arbejdes risikobaseret med sikkerhed.

Dette er positivt, da det er best practice og harmonerer med tilgangen i gængse sikkerhedsstandarder. Hvis organisationen således allerede arbejder risikobaseret med sikkerhed, kan organisationen allerede være et stykke af vejen mod også at efterleve lovgivningen.

For nogen udgør den risikobaserede tilgang imidlertid en udfordring. Den risikobaserede tilgang indebærer bl.a., at der ikke er en facitliste for sikkerhedsniveauet i den enkelte organisation.

I stedet skal organisationen igennem en proces, hvor organisationens forretningsprocesser og aktiver skal kortlægges og risikovurderes, hvorefter der skal implementeres et sikkerhedsniveau, der er passende til risikoen.

Større awareness

En generel observation fra arbejdet med cybersikkerhed i den lovregulerede kontekst er, at lovkravene har en positiv effekt på sikkerhedsniveauet og på tilgangen til indsamling og anvendelse af data. De mange GDPR-projekter, der er gennemført i de seneste par år, har skabt awareness om sikkerhed både i ledelsen og 'i driften'.

Større awareness indebærer bl.a., at der i større grad allokeres ressourcer til at hæve sikkerhedsniveauet, samt at de sikkerhedstiltag, der implementeres, har større sandsynlighed for at fungere i organisationernes operationelle virkelighed.

Populært sagt har medarbejderne generelt en større tendens til at følge sikkerhedspolitikken, hvis de forstår baggrunden for den.

Forhåbentlig vil de kommende NIS-projekter have en tilsvarende effekt.

Det er derudover vores erfaring, at arbejdet med sikkerhed kan afstedkomme andre forretningsmæssige gevinster, når det tilrettelægges på en god måde.

Et veltilrettelagt sikkerheds- og compliance-projekter medfører, at organisationer får bedre styr på data, aktiver, processer og medarbejdere, hvilket kan bruges til at evaluere og forbedre forretningen.

Kort sagt får organisationen bedre styr på penalhuset. I en kompleks og datadreven virkelighed vil det for de fleste organisationer give større effektivitet og leverancesikkerhed både under ordinære omstændigheder og under et eventuelt cyberangreb.

Endelig knyttes blot en enkelt kommentar til rapportens nedslag i cybersikkerhedssfæren på netop cyberangreb. Den opmærksomme læser, vil muligvis allerede have bemærket, at respondenterne meget specifikt er blevet spurgt, om deres vurdering af risikoen for 'cyberangreb'.

Cyberangreb er ikke defineret i rapporten, men vil typisk blive forstået som et angreb via internettet på en organisation.

Indsatsen skal prioriteres

Respondenterne er ikke blevet spurgt om deres vurdering af risikoen for et 'informationssikkerhedsbrud', altså om den generelle risiko for tab af fortrolighed, integritet eller tilgængelighed af information.

Informationssikkerhedsbrud kan have mange årsager, hvoraf én årsag er cyberangreb, og eksempler på andre og mindre dramatiske årsager er simple menneskelige eller tekniske fejl.

Eksempelvis har vi for nylig kunne følge sagen om GoMentor i medierne, der pga. en programmeringsfejl har udstillet følsomme personoplysninger for de forkerte brugere. Her var ikke tale om et cyberangreb, men der var tale om et brud på informationssikkerheden.

Dette illustrerer, at om end det er meget positivt, at opmærksomheden på cybersikkerhed øges, og truslen for cyberangreb er helt reel, så er det samtidig vigtigt, at indsatsen prioriteres i forhold til risikoen for sikkerhedsbrud af en enhver karakter. Forretningen bør således ikke kun garderes mod angreb udefra, men også optimeres, så risikoen for mindre kuriøse, men meget almindelige hændelser, minimeres.

Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere