cyber risk

Cyberkriminalitet er den nye normal

Kronik af Tomas Thobias Hellum i Børsen d. 27. november 2017

Hacking og andre former for cyberkriminalitet er “the new normal,” og vi er nødt til at vinke farvel til nulfejlskulturen

Topchefer bliver ikke fyret, fordi virksomheden oplever hacking, kompromitterer persondata eller har et it-relateret nedbrud.
Topchefer bliver fyret, hvis de ikke håndterer problemet hurtigt og ansvarligt. Cyberkriminalitet er “the new normal”, og vi skal vinke farvel til nulfejlskulturen.
Perlerækken af kriser relateret til it-sikkerhed både på den nationale og den globale scene taler et meget tydeligt sprog.
I starten af september rapporterede det store amerikanske kreditbureau Equifax, at hackere havde fået adgang til – og hold nu fast – personlige data om 143 millioner mennesker. Lækken involverede social security numre – hvilket svarer til danskernes cpr-numre, fødselsdatoer, kørekortnumre og for 209.000 personer også kreditkortnumre.
Hackingen blev opdaget 29. juli, og ledelsen var altså seks uger om at standse ulykken, informere offentligheden og involvere de ramte.
Aktiekursen faldt som en sten.
Krisehåndteringen fra selskabets side var ugennemtænkt og viste ingen ansvarlighed. Topchefen blev fyret i slutningen af september.
Globalt set har også et konsulenthus som Deloitte oplevet meget alvorlige sikkerhedsproblemer, hvor e-mails med kundedata har ligget åbne i månedsvis.
Herhjemme har vi for nylig både set Mærsk være under angreb og set danske ministerier under beskydning i et efterskælv af Muhammed-tegningerne.

Tænk på naturkatastrofen
Selv de største, mest velrenommerede og mest kompetente virksomheder kan altså ikke gardere sig 100 pct.
Det er et faktum og et globalt vilkår. Vi skal flytte vores tankesæt hen i retning af naturkatastrofer, når vi taler om cyber-kriminalitet. Alle kan blive ofre for at jordskælv. Alle kan også blive udsat for ondartet hacking. Det skal en ledelse ikke fyres for.
I vores egen nationale sammenhæng er det min påstand, at langt de fleste virksomheder dukker hovedet og tier stille, når de er under angreb. Og de fortsætter denne stilleleg også efter angrebet.
Teleselskabet 3 og Mærsk er til gengæld præmieeksempler på det modsatte, og her taler ingen om, at der skal rulle hoveder.
I takt med at cyberkriminaliteten vokser, og trusselsbilledet inden for it-sikkerhed vokser i frekvens, kvantitet og udspekulerethed, vil den åbne linje være den eneste farbare vej.
Om få år bliver man fyret for lukkethed, fordi man så ikke bidrager til samfundets arbejde med at dæmme op for digital kriminalitet.

Åbenhed er nøglen
Hvad kan man så gøre?
Ja, vi kan starte med at erkende og beskrive it-risikoen i årsrapporten. Baseret på en nøgtern vurdering af hvor risikoen er størst. Åbenheden udadtil skal bygge på åbenhed indadtil, så man lærer af egne – og meget gerne andres – fejl og hændelser.
Ligesom i al anden risikostyring må ledere vurdere den forretningsmæssige effekt af cyberkriminalitet og it-sikkerhed, og kortlægningen af den økonomiske effekt indgår i designet af forebyggelsen og kriseberedskabet.
På det her område er nulfejlskultur den faktiske hovedfjende.
Hvis virksomheden tror på nul fejl, tager den ikke problemet alvorligt nok, og den skruer ikke sin risikostyring sammen på en optimal måde. Strudsetaktikken hører fortiden til.
Vi skal opbygge en kultur, hvor risikostyringen er indbygget i beslutningernes dna. Det er ikke nok, at et berømt konsulentfirma giver os et flot stempel, og det er heller ikke nok at parkere opgaven hos en lille stabsfunktion.
God praksis er i stedet at implementere fokuseret risikostyring startende med overvågning af de it-relaterede risici, der kan påvirke vores strategiske mål, lovgivningsmæssige krav eller omdømme og indføre foranstaltninger og nøglekontroller for disse områder.
Risikotænkningen skal være med helt ude i hverdagen, så vi opnår en løbende læring om de faktiske hændelser. Det kræver en kultur, hvor man lytter – og ikke straffer – når nogen fortæller om problemer og uregelmæssigheder og nye potentielle trusler.

 

Vi skal have mange flere “brandøvelser” på en nærmest brændende varm it-platform, som bliver stadig mere strategisk for de fleste virksomheder.

 

Konkurrenter samarbejder
I finanssektoren ser man nu et samarbejdsorgan som FSOR, hvis formål er at dele erfaringer med cybersikkerhed. Det er perspektivrigt. På tværs af skel mellem konkurrenter skal vi arbejde sammen, fordi truslen er så stor.
De kriminelle organisationer er pr. definition foran i dette globale våbenkapløb, og vi er stærkere sammen.
Ligesom vi arbejder sammen om at beskytte fysisk infrastruktur mod naturkatastrofer, skal vi arbejde sammen om den digitale infrastruktur.
Vi skal have mange flere “brandøvelser” på en nærmest brændende varm it-platform, som bliver stadig mere strategisk for de fleste virksomheder.

Af Tomas Hellum, direktør, LinkGRC og rådgiver
it sikkerhed i virksomheder

Et særligt ansvar

Så er der endelig Risiko Radio igen!

Michael Sjøberg har kastet sig over mikrofonen for at tage et overset emne op – nemlig det særlige ansvar, som alle os, der arbejder professionelt med sikkerhed, har:

Sikkerhed handler jo netop om at beskytte mennesker og organisationer – og sikre, at vi overlever farlige situationer, når de opstår.

Det betyder i bund og grund at vi som sikkerhedsprofessionelle har et særligt ansvar. Det er os, der skal være hyrdehundene, der beskytter fåreflokken mod de farlige ulve (for nu at bruge Dave Grossmans analogi).

Du kan læse mere om Ole Wæver (et al.) og hans teori om sikkerhedsliggørelse her: https://da.wikipedia.org/wiki/Sikkerhedsligg%C3%B8relse

Dave Grossmans bog ‘On Killing’, som bl.a. dækker hans tilgang på rollen som ‘hyrdehund’ på Saxo kan du finde her: https://www.saxo.com/dk/on-killing_dave-grossman_paperback_9780316040938

(Michael nævner Grossmans anden bog ‘On Combat’, som også er meget anbefalelsesværdig – men som du nok må på Amazon for at finde).

Slave Stealer Podcast (ep. 001) på iTunes: https://itunes.apple.com/dk/podcast/slave-stealer/id1079271584?mt=2&i=1000361474214

Operation Underground Railroad: https://ourrescue.org

ER DU GLAD FOR RISIKO RADIO?
Hjælp og os med at komme ud til endnu flere lyttere – giv os 5 stjerner i iTunes og skriv et par linjer om, hvad du godt kan lide ved podcasten.

iTunes – find Risiko Radio her: http://bit.ly/risikoradio
Stitcher – find Risiko Radio her: http://bit.ly/risikoradiostitcher
Tomas Hellum på Linkedin: https://www.linkedin.com/in/tomas-thobias-hellum-1b0a741/
Michael Sjøberg på Linkedin: https://www.linkedin.com/in/michaelsjoeberg/