Sponseret indhold

Cybersikkerhed er mere end IT

Jonas Halldin, Nordic Cyber Market Lead og Partner, EY Danmark

Af:

Spørgsmålet om cybersikkerhed bør helt ind på den strategiske dagsorden i bestyrelseslokalerne, lyder det fra EY, der peger på, at hver virksomhed må tage stilling til niveauet for sikkerhed. Det er ikke alle data, der kræver samme grad af beskyttelse.

Generelt er der i samfundet og blandt virksomhederne voksende opmærksomhed om cybersikkerhed, men i mange henseender bliver risikoen anset for blot at være et IT-spørgsmål. Det er forkert, mener Jonas Halldin, der er ansvarlig for EY’s nordiske cybersikkerhedsteam.

”Virksomhedernes bestyrelser og topchefer er generelt stadig for langt væk fra spørgsmålet om cybersikkerhed. Det kan synes paradoksalt i og med at selskabernes CEO og CFO kan holdes personligt ansvarlige. At beskytte virksomhedens forretningskritiske data bør være et strategisk anliggende og indgå som en meget vigtig komponent i virksomhedens overordnede risikovurdering, og det bør dermed også være et centralt emne på bestyrelsens dagsorden,” siger EY-chefen.

Han noterer sig, at cybersikkerhedsspørgsmål så småt er begyndt at vinde indpas i de ledsagende bemærkninger til de større selskabers årsrapporter. Han fremhæver i den forbindelse Garmin som et godt eksempel. Netop Garmin blev ramt af ransomware og selskabet valgte, ifølge det oplyste, at betale 100 mio. kr. i løsesum for at få vitale data tilbage efter et stort cyberangreb.

Skal vi betale eller ej?
Det er en svær diskussion, hvorvidt en virksomhed skal betale eller ej, når først uheldet er ude, og de cyberkriminelle har fat i den lange ende, og har kontrol over virksomhedens data i en grad, så virksomheden ikke kan fungere. Det er et meget håndgribeligt dilemma.

”Helt grundlæggende er man med til at understøtte et kriminelt virke, hvis man indvilger i at betale løsepengene. Samtidig kan man ikke være sikker på, at de cyberkriminelle rent faktisk leverer de lovede data tilbage,” siger Jonas Halldin.

De cyberkriminelle betjener sig i stigende grad af specialisering og som med anden organiseret kriminalitet, har hackerindustrien fangarme ind i det åbne samfund. Det indebærer, at nærmest hvem som helst kan bestille et angreb på en given virksomhed. Der er sågar prislister på forskellige typer angreb, og man kan specificere ”ordren” helt ned til, om den angrebne virksomhed skal få lov til at få sine data tilbage. Når den angrebne virksomhed kontakter de kriminelle, er der tilmed en ”kundeservice”, der belevent svarer på spørgsmål og opfører sig venligt og imødekommende, så længe der sker en eller anden form for betaling, typisk i krypto-valuta.

”Det er uhyggeligt, og da hackerne ofte er inde og snuse rundt i den angrebne virksomheds systemer i månedsvis, før de aktiverer selve angrebet, kender de virksomheden særdeles godt, fordi det næste led i specialiseringen indebærer eksperter, der hyres ind til at forstå og analysere virksomhedens data og informationsflow for at lokalisere de største svagheder, siger Jonas Halldin.

Han peger på, at vi har set eksempler på virksomheder, der er gået konkurs efter et cyberangreb. Virksomheder kan få store bøder på grund af brud på persondata, og så er den store risiko spørgsmålet om mangel på tillid.

”Det tager år at opbygge tillid, men et enkelt stort angreb kan ryste kundernes tillid til din virksomhed fra den ene dag til den anden. Derfor er der så meget på spil i bestræbelserne på at galvanisere virksomhedernes cyberforsvar,” siger Jonas Halldin.

Sikkerhed er ikke en absolut størrelse
EY foretager såkaldt maturity assessments af en given kunde. Vurderingen tager udgangspunkt i NIST standarden plus supplerende EY-kriterier og munder ud i en score af virksomheden på nøgleparametre som identify, protect, detect, respond og recover. I en maturity assessment evalueres bl.a. virksomhedens modenhed i forhold til bruger- og adgangsstyring, governance, risk management & mitigation og business continuity. Scoren kan sættes i relation til sektorspecifikke benchmarks, hvilket EY er i stand til at fastsætte, idet rådgivningskoncernen har global tilstedeværelse og følges op med anbefalinger til konkrete forbedringer, virksomheden bør overveje for at højne sikkerhedsniveauet.

”Sikkerhed er ikke en absolut størrelse, og det er ikke alt i virksomheden, der behøver at blive beskyttet lige godt. Virksomhedens ledelse bør fokusere på, hvad der skal beskyttes, og på hvilket niveau. Det er vigtigt at virksomheden fastlægger sin egen risikoappetit og finder den rette balance mellem hensigtsmæssig operativ drift og sikkerhed. Ellers kan det blive for tungt, for trægt, for dyrt, og i sidste ende kan det føre til tab af konkurrenceevne,” understreger Jonas Halldin.

I rangeringen af vigtigheden af virksomhedens systemer i relation til cybersikkerhed, er der ligheder på tværs af sektorer. F.eks. kan du strengt taget godt overleve uden et opdateret lønsystem, fordi langt hovedparten af medarbejderne blot kan få udbetalt samme beløb i løn som ved sidste lønudbetaling, mens det stiller sig anderledes med forretningshemmeligheder og forretningskritiske data. F.eks. er banker udsat på alt, hvad der vedrører kundeforhold, og life science selskaber kan ikke tåle at miste følsomme forskningsdata.

”Det peger på, at virksomhederne med fordel kan sekventere sikkerhedsniveauerne indenfor organisationen, hvilket alt andet lige vil mindske omkostningerne,” siger Jonas Halldin.

Samtidig skal virksomheden tage hensyn til relevant lovgivning, bl.a. GDPR. EY kigger ind i lovgivning og hjælper med implementering, og her trækker Cybersecurity-delen af EY på andre søjler i koncernen, bl.a. jura.

”I vores indledende dialog med kunden vil vi gerne afklare virksomhedens ambitionsniveau: Sigter I højt, og vil være best in class, eller vil I være compliant med gældende lovgivning? Det sidste er der bestemt ikke noget galt med, men det er ganske fundamentalt, at vi forstår virksomhedens aspirationer. Her spiller størrelse givetvis også ind i vurderingen – er der tale om en dominerende aktør eller en mere nichepræget spiller?” siger Jonas Halldin.

Uanset størrelse og branche, har alle virksomheder behov for at forholde sig til truslen fra cyberangreb, og hvordan de vil gardere sig.

Om EY som helhed
EY arbejder med afsæt i formålet ”Building a better working world”. EY hjælper med at skabe langsigtet værdi for kunder, medarbejdere og samfund og skabe tillid til kapitalmarkederne. EY’s services bygger på data og teknologi, og EY-teams i over 150 lande hjælper kunder med vækst, drift og transformation. På tværs af services stiller EY spørgsmål, der kan give nye svar på de komplekse udfordringer, verden står overfor i dag.

Læs mere på www.ey.dk

Alt for mange steder bliver udgifter til cybersikkerhed lagt ind under det overordnede IT-budget i virksomheden. Det, mener jeg, er en fejl, da det kan afstedkomme uhensigtsmæssige prioriteringer af cybersikkerhed sammenholdt med den daglige IT-drift. Cybersikkerhed skal anses som en forsikringsudgift, og den skal stå i forhold til det potentielle tab af virksomhedens forretningskritiske data

Mest læste på BusinessReview.dk

2N Pharma gruppebillede redigeret
”Hvis vi har ret, vil det forandre verden”
SKO_billede
Change of Control-klausulers betydning i ejendomstransaktioner
1 Thorbjørn og Slaven
Et nyt liv efter fedmeoperation og plastikkirurgi
ejd 130624
Ejendomme Epaper
Mette Abildgaard--
Kvindelig intuition kan aflæses på bundlinjen

Hvad dækker begrebet cybersikkerhed over?
Når vi taler om cybersikkerhed kan vi være tilbøjelige til kun at tænke på hardware, software og tekniske løsninger. Men det er mere end det.

”Cybersikkerhed omfatter alt, hvad der handler om information og informationsbeskyttelse. Det kan være visuelt, analogt og ikke bare digitalt. Det kan også være en samtale eller anden form for mundtlig overlevering,” understreger Jonas Halldin.

Langt de fleste hændelser skyldes menneskelige fejl såsom at klikke på et link i en ondsindet mail. Derfor er awareness træning af medarbejderne i en virksomhed eller organisation en vigtig komponent i EY’s rådgivende arbejde med cybersikkerhed.

Forrester: EY er best in class til cybersikkerhed
Forrester Research har i en rapport fra 4. kvartal 2021, The Forrester Wave: Global Cybersecurity Consulting Providers, Q4 2021, udpeget EY som best in class i et felt af verdens 12 førende rådgivningsfirmaer i relation til cybersikkerhed. Resten af feltet tæller prominente navne som Accenture, Booz Allen Hamilton, Capgemini, Deloitte, IBM Security, KPMG, McKinsey & Company, PwC, Secureworks, Trustwave og Wipro. I rapporten er de 12 rådgivere rangeret ud fra hele 21 kriterier og EY scorer højest mulige point i kategorierne alignment with client, Chief Information Security Officer needs og executive engagement.

På globalt plan arbejder ikke færre end 13.000 ansatte i EY med forskellige aspekter af cybersikkerhed. EY har centres of excellence indenfor en række lande. Der er 100 ansatte beskæftiget i Danmark, Sverige og Norge. I Norden har EY cyber teams i København, Helsinki, Stockholm, Gøteborg og Oslo. Alene i Danmark er EY’s forretning for cybersikkerhed vokset med 600 pct. de seneste år.

Læs også

Datacenter interiør
Kunstig intelligens stiller store krav til fremtidens datacentre
At drive et datacenter handler om meget mere end blot at putte en masse servere ind i en bygning. Stigende krav til applikationer og...
Natasha Saxberg, Sep 2021, IT, IT-branchen
AI bliver anderledes end alle andre revolutioner
Hvor den industrielle revolution omkring 1800-tallet og automatiseringsbølgen i starten af 1900-tallet i høj grad påvirkede medarbejdere...
Chatbot chat AI concept, artificial intelligence Businessman usi
Standardbrugerflader mindsker frygten for kunstig intelligens
I it-virksomheden itm8 arbejder man blandt andet med at implementere kunstig intelligens i mellemstore virksomheder. Ifølge partner...