Spørgsmålet om cybersikkerhed bør helt ind på den strategiske dagsorden i bestyrelseslokalerne, lyder det fra EY, der peger på, at hver virksomhed må tage stilling til niveauet for sikkerhed. Det er ikke alle data, der kræver samme grad af beskyttelse.
Generelt er der i samfundet og blandt virksomhederne voksende opmærksomhed om cybersikkerhed, men i mange henseender bliver risikoen anset for blot at være et IT-spørgsmål. Det er forkert, mener Jonas Halldin, der er ansvarlig for EY’s nordiske cybersikkerhedsteam.
”Virksomhedernes bestyrelser og topchefer er generelt stadig for langt væk fra spørgsmålet om cybersikkerhed. Det kan synes paradoksalt i og med at selskabernes CEO og CFO kan holdes personligt ansvarlige. At beskytte virksomhedens forretningskritiske data bør være et strategisk anliggende og indgå som en meget vigtig komponent i virksomhedens overordnede risikovurdering, og det bør dermed også være et centralt emne på bestyrelsens dagsorden,” siger EY-chefen.
Han noterer sig, at cybersikkerhedsspørgsmål så småt er begyndt at vinde indpas i de ledsagende bemærkninger til de større selskabers årsrapporter. Han fremhæver i den forbindelse Garmin som et godt eksempel. Netop Garmin blev ramt af ransomware og selskabet valgte, ifølge det oplyste, at betale 100 mio. kr. i løsesum for at få vitale data tilbage efter et stort cyberangreb.
Skal vi betale eller ej?
Det er en svær diskussion, hvorvidt en virksomhed skal betale eller ej, når først uheldet er ude, og de cyberkriminelle har fat i den lange ende, og har kontrol over virksomhedens data i en grad, så virksomheden ikke kan fungere. Det er et meget håndgribeligt dilemma.
”Helt grundlæggende er man med til at understøtte et kriminelt virke, hvis man indvilger i at betale løsepengene. Samtidig kan man ikke være sikker på, at de cyberkriminelle rent faktisk leverer de lovede data tilbage,” siger Jonas Halldin.
De cyberkriminelle betjener sig i stigende grad af specialisering og som med anden organiseret kriminalitet, har hackerindustrien fangarme ind i det åbne samfund. Det indebærer, at nærmest hvem som helst kan bestille et angreb på en given virksomhed. Der er sågar prislister på forskellige typer angreb, og man kan specificere ”ordren” helt ned til, om den angrebne virksomhed skal få lov til at få sine data tilbage. Når den angrebne virksomhed kontakter de kriminelle, er der tilmed en ”kundeservice”, der belevent svarer på spørgsmål og opfører sig venligt og imødekommende, så længe der sker en eller anden form for betaling, typisk i krypto-valuta.
”Det er uhyggeligt, og da hackerne ofte er inde og snuse rundt i den angrebne virksomheds systemer i månedsvis, før de aktiverer selve angrebet, kender de virksomheden særdeles godt, fordi det næste led i specialiseringen indebærer eksperter, der hyres ind til at forstå og analysere virksomhedens data og informationsflow for at lokalisere de største svagheder, siger Jonas Halldin.
Han peger på, at vi har set eksempler på virksomheder, der er gået konkurs efter et cyberangreb. Virksomheder kan få store bøder på grund af brud på persondata, og så er den store risiko spørgsmålet om mangel på tillid.
”Det tager år at opbygge tillid, men et enkelt stort angreb kan ryste kundernes tillid til din virksomhed fra den ene dag til den anden. Derfor er der så meget på spil i bestræbelserne på at galvanisere virksomhedernes cyberforsvar,” siger Jonas Halldin.
Sikkerhed er ikke en absolut størrelse
EY foretager såkaldt maturity assessments af en given kunde. Vurderingen tager udgangspunkt i NIST standarden plus supplerende EY-kriterier og munder ud i en score af virksomheden på nøgleparametre som identify, protect, detect, respond og recover. I en maturity assessment evalueres bl.a. virksomhedens modenhed i forhold til bruger- og adgangsstyring, governance, risk management & mitigation og business continuity. Scoren kan sættes i relation til sektorspecifikke benchmarks, hvilket EY er i stand til at fastsætte, idet rådgivningskoncernen har global tilstedeværelse og følges op med anbefalinger til konkrete forbedringer, virksomheden bør overveje for at højne sikkerhedsniveauet.
”Sikkerhed er ikke en absolut størrelse, og det er ikke alt i virksomheden, der behøver at blive beskyttet lige godt. Virksomhedens ledelse bør fokusere på, hvad der skal beskyttes, og på hvilket niveau. Det er vigtigt at virksomheden fastlægger sin egen risikoappetit og finder den rette balance mellem hensigtsmæssig operativ drift og sikkerhed. Ellers kan det blive for tungt, for trægt, for dyrt, og i sidste ende kan det føre til tab af konkurrenceevne,” understreger Jonas Halldin.
I rangeringen af vigtigheden af virksomhedens systemer i relation til cybersikkerhed, er der ligheder på tværs af sektorer. F.eks. kan du strengt taget godt overleve uden et opdateret lønsystem, fordi langt hovedparten af medarbejderne blot kan få udbetalt samme beløb i løn som ved sidste lønudbetaling, mens det stiller sig anderledes med forretningshemmeligheder og forretningskritiske data. F.eks. er banker udsat på alt, hvad der vedrører kundeforhold, og life science selskaber kan ikke tåle at miste følsomme forskningsdata.
”Det peger på, at virksomhederne med fordel kan sekventere sikkerhedsniveauerne indenfor organisationen, hvilket alt andet lige vil mindske omkostningerne,” siger Jonas Halldin.
Samtidig skal virksomheden tage hensyn til relevant lovgivning, bl.a. GDPR. EY kigger ind i lovgivning og hjælper med implementering, og her trækker Cybersecurity-delen af EY på andre søjler i koncernen, bl.a. jura.
”I vores indledende dialog med kunden vil vi gerne afklare virksomhedens ambitionsniveau: Sigter I højt, og vil være best in class, eller vil I være compliant med gældende lovgivning? Det sidste er der bestemt ikke noget galt med, men det er ganske fundamentalt, at vi forstår virksomhedens aspirationer. Her spiller størrelse givetvis også ind i vurderingen – er der tale om en dominerende aktør eller en mere nichepræget spiller?” siger Jonas Halldin.
Uanset størrelse og branche, har alle virksomheder behov for at forholde sig til truslen fra cyberangreb, og hvordan de vil gardere sig.
