cyber risk

Cyberkriminalitet er den nye normal

Kronik af Tomas Thobias Hellum i Børsen d. 27. november 2017

Hacking og andre former for cyberkriminalitet er “the new normal,” og vi er nødt til at vinke farvel til nulfejlskulturen

Topchefer bliver ikke fyret, fordi virksomheden oplever hacking, kompromitterer persondata eller har et it-relateret nedbrud.
Topchefer bliver fyret, hvis de ikke håndterer problemet hurtigt og ansvarligt. Cyberkriminalitet er “the new normal”, og vi skal vinke farvel til nulfejlskulturen.
Perlerækken af kriser relateret til it-sikkerhed både på den nationale og den globale scene taler et meget tydeligt sprog.
I starten af september rapporterede det store amerikanske kreditbureau Equifax, at hackere havde fået adgang til – og hold nu fast – personlige data om 143 millioner mennesker. Lækken involverede social security numre – hvilket svarer til danskernes cpr-numre, fødselsdatoer, kørekortnumre og for 209.000 personer også kreditkortnumre.
Hackingen blev opdaget 29. juli, og ledelsen var altså seks uger om at standse ulykken, informere offentligheden og involvere de ramte.
Aktiekursen faldt som en sten.
Krisehåndteringen fra selskabets side var ugennemtænkt og viste ingen ansvarlighed. Topchefen blev fyret i slutningen af september.
Globalt set har også et konsulenthus som Deloitte oplevet meget alvorlige sikkerhedsproblemer, hvor e-mails med kundedata har ligget åbne i månedsvis.
Herhjemme har vi for nylig både set Mærsk være under angreb og set danske ministerier under beskydning i et efterskælv af Muhammed-tegningerne.

Tænk på naturkatastrofen
Selv de største, mest velrenommerede og mest kompetente virksomheder kan altså ikke gardere sig 100 pct.
Det er et faktum og et globalt vilkår. Vi skal flytte vores tankesæt hen i retning af naturkatastrofer, når vi taler om cyber-kriminalitet. Alle kan blive ofre for at jordskælv. Alle kan også blive udsat for ondartet hacking. Det skal en ledelse ikke fyres for.
I vores egen nationale sammenhæng er det min påstand, at langt de fleste virksomheder dukker hovedet og tier stille, når de er under angreb. Og de fortsætter denne stilleleg også efter angrebet.
Teleselskabet 3 og Mærsk er til gengæld præmieeksempler på det modsatte, og her taler ingen om, at der skal rulle hoveder.
I takt med at cyberkriminaliteten vokser, og trusselsbilledet inden for it-sikkerhed vokser i frekvens, kvantitet og udspekulerethed, vil den åbne linje være den eneste farbare vej.
Om få år bliver man fyret for lukkethed, fordi man så ikke bidrager til samfundets arbejde med at dæmme op for digital kriminalitet.

Åbenhed er nøglen
Hvad kan man så gøre?
Ja, vi kan starte med at erkende og beskrive it-risikoen i årsrapporten. Baseret på en nøgtern vurdering af hvor risikoen er størst. Åbenheden udadtil skal bygge på åbenhed indadtil, så man lærer af egne – og meget gerne andres – fejl og hændelser.
Ligesom i al anden risikostyring må ledere vurdere den forretningsmæssige effekt af cyberkriminalitet og it-sikkerhed, og kortlægningen af den økonomiske effekt indgår i designet af forebyggelsen og kriseberedskabet.
På det her område er nulfejlskultur den faktiske hovedfjende.
Hvis virksomheden tror på nul fejl, tager den ikke problemet alvorligt nok, og den skruer ikke sin risikostyring sammen på en optimal måde. Strudsetaktikken hører fortiden til.
Vi skal opbygge en kultur, hvor risikostyringen er indbygget i beslutningernes dna. Det er ikke nok, at et berømt konsulentfirma giver os et flot stempel, og det er heller ikke nok at parkere opgaven hos en lille stabsfunktion.
God praksis er i stedet at implementere fokuseret risikostyring startende med overvågning af de it-relaterede risici, der kan påvirke vores strategiske mål, lovgivningsmæssige krav eller omdømme og indføre foranstaltninger og nøglekontroller for disse områder.
Risikotænkningen skal være med helt ude i hverdagen, så vi opnår en løbende læring om de faktiske hændelser. Det kræver en kultur, hvor man lytter – og ikke straffer – når nogen fortæller om problemer og uregelmæssigheder og nye potentielle trusler.

 

Vi skal have mange flere “brandøvelser” på en nærmest brændende varm it-platform, som bliver stadig mere strategisk for de fleste virksomheder.

 

Konkurrenter samarbejder
I finanssektoren ser man nu et samarbejdsorgan som FSOR, hvis formål er at dele erfaringer med cybersikkerhed. Det er perspektivrigt. På tværs af skel mellem konkurrenter skal vi arbejde sammen, fordi truslen er så stor.
De kriminelle organisationer er pr. definition foran i dette globale våbenkapløb, og vi er stærkere sammen.
Ligesom vi arbejder sammen om at beskytte fysisk infrastruktur mod naturkatastrofer, skal vi arbejde sammen om den digitale infrastruktur.
Vi skal have mange flere “brandøvelser” på en nærmest brændende varm it-platform, som bliver stadig mere strategisk for de fleste virksomheder.

Af Tomas Hellum, direktør, LinkGRC og rådgiver

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *