I takt med øget digitalisering stiger risikoen for hackerangreb og anden IT-kriminalitet, som derfor bliver et fortsat vigtigere indsatsområde for danske virksomheder. Mange glemmer dog, at informationssikkerhed ikke kun handler om beskyttelse mod udefrakommende angreb – og det kan ifølge eksperter på området få alvorlige konsekvenser.
I de seneste år har der været stor fokus på cybersikkerhed og beskyttelse af informationer. Dels på grund af indførelsen af Persondataforordningen (GDPR) og dels fordi de kriminelle i takt med digitaliseringen er fulgt med over i cyberspace. Det er virksomhederne klar over, og informationssikkerhed og databeskyttelse fylder derfor langt mere på direktionsgangen end før. I PWC’s ”CEO Survey 2020” svarer 88 pct. af de danske topledere således, at deres største bekymring er cybertrusler.
Og bekymringen er desværre meget ofte reel. Det vurderer Rasmus Theede, Partner i sikkerhedsfirmaet CyberNordic, som har været sikkerhedsansvarlig hos b.la. A.P. Møller-Mærsk, NNIT og KMD, samt formand for Rådet for Digital Sikkerhed.
”Det bekymrer mig meget, at en så stor del af topledelsen, ser cybertruslen som deres største bekymring. Cybersikkerhed er uhyre vigtig, men god sikkerhed skal støtte, aldrig stå over, den øvrige forretning. Ledelsens bekymring vidner desværre om, at topledelsen stadig har meget svært ved at forstå de reelle cybertrusler, og samtidig er i tvivl om deres egen virksomheds evne til at beskytte sig selv effektivt. Man glemmer ofte, at informationssikkerhed handler om langt mere end hackerandgreb og computervirus, som vi konstant hører om. Informationssikkerhed handler både om gode procedurer, den rette teknologi og de rette menneskelige kompetencer, i lige fordeling”, siger han.
Tvivlen blandt lederne er ifølge Rasmus Theede helt forståelig. Cybersikkerhed er kommet højt på agendaen, helt på regeringsniveau, og har fundet sin faste plads i aviser, nyhedsudsendelser, sociale medier, m.m. Budskaberne er dog meget ofte forskelligartede, forvirrende og svære og forstå. Især for topledelsen, hvor cyberverdenen ligger meget langt fra de daglige forretningsaktiviteter.
”Dette gør desværre, at mange virksomheder helt giver op med at prøve at forsvare sig, eller sætter ind de forkerte steder. Vi ser derfor, at et stort flertal af danske virksomheder, i alle størrelser, mangler de helt grundlæggende sikkerhedskontroller. Sikkerhedskontroller som har været kendt i mange år, og som er relative nemme at implementere. Især for små og mellemstore virksomheder”, siger Rasmus Theede.
Kend jeres cyberrisici, og reducer jeres bekymring væsentlig
Vi hører ofte at cybertruslen er ny, men det er den ifølge Rasmus Theede absolut ikke.:
”Med få undtagelser er de trusler og sårbarheder, vi ser i dag, ikke meget forskellige fra dem vi så for to årtier siden, da jeg selv startede i sikkerhedsbranchen. Angrebene er selvfølgelig intensiveret og blevet mere avancerede hen ad vejen, men vores evne til at forsvare os er også blevet markant bedre. Vi har i dag rigtig gode gennemarbejdede sikkerhedsstandarder, gode vejledninger og smart teknologi, som vi kun kunne drømme om i starten af 00’erne”.
Så, der er ingen grund til at frygte cybersikkerheden. Det kræver blot, at man udarbejder en grundig risikovurdering for sin informationssikkerhed, så man kender sine cyberrisici og har en plan for, hvad man skal gøre ved dem.
”Forstår ledelsen deres reelle cyberrisici, er jeg sikker på at bekymringen for cybertruslen vil falde drastisk”, understreger Rasmus Theede.
Risikostyring er et afgørende skridt
Dansk Standard, som står for udviklingen af standarder og også rådgiver virksomheder om arbejdet med bl.a. standarder for informationssikkerhed, oplever ligesom Rasmus Theede, at risikostyring er en stor udfordring for mange virksomheder.
”For fem år siden var udfordringen at få organisationer til at forstå vigtigheden af informationssikkerhed, men i dag er udfordringen snarere at forstå, hvordan man i praksis sikrer informationer. Her er risikostyring et afgørende skridt,” siger Anders Linde, der er chefkonsulent i Dansk Standard, og uddyber:
”Risikovurderingen skal koble informationssikkerhed til forretningen. Det er en cost-benefit-analyse, som tydeliggør hvor, der skal sættes ind. Derfor er det vigtigt at involvere hele forretningen i processen og løbende følge op på risikobilledet. Det kræver tid og ressourcer, men det er godt givet ud, når resultatet er informationssikkerhed tilpasset organisationens forretning.”
Standarder strukturerer og prioriterer indsatsen
Standarder kan hjælpe virksomheder med at få styr på informationssikkerheden, fordi de giver redskaber til at strukturere, prioritere og dokumentere arbejdet med risikostyring, it-sikkerhed og databeskyttelse.
”Risici er et grundvilkår og derfor handler det om at få klarlagt, hvor det for organisationen giver bedst mening at sætte ind. Det er vigtigt at få kvalificeret, hvad der kan ramme virksomheden – og som kunne medføre, at informationer kompromitteres, ødelægges eller går tabt” siger Anders Linde, der anbefaler virksomheder indledningsvis at spørge sig selv: Hvad er vi sat i verden for at lave? Hvordan ser vores kerneprocesser ud, hvilke informationer trækker vi på og – set i det lys – hvad bekymrer os så mest? Og det kan standarder hjælpe med.
Det er særligt standarden ISO/IEC 27001, der kan hjælpe virksomheder med at strukturere og dokumentere deres informationssikkerhedsindsats. Hele den offentlige sektor er underlagt denne standard, men den er også relevant for både små og store, offentlige og private organisationer.
”Formålet med standarden er at opnå effektiv styring af informationssikkerhed indrettet efter virksomhedens behov, samt sikre at denne effektivitet fastholdes gennem en proces for løbende forbedring. Det betyder, at arbejdet med informationssikkerhed regelmæssigt opdateres, så virksomheden er i stand til at håndtere udfordringerne i en forretningsverden under konstant forandring. Og man kan sagtens bruge standarden som værktøj til at beskytte sine data og prioritere sin indsats uden at lade sig certificere”, understreger Anders Linde.
Håndtering af risici bliver derfor ikke en ”one size fits all”
Trusselsbilledet og behandlingen af data i forhold til omfang og kategorier varierer med de services og produkter, som en organisation leverer. For en tøjbutik er det måske kunders data og leverandøraftaler, det er vigtigst at beskytte. For en kommune er der særligt fokus på borgernes følsomme persondata, som indgår i forskellige offentlige services.
”En stor del af opgaven handler også om at lære sine medarbejdere at tage et medansvar i det daglige, f.eks. ved ikke at klikke på alle links i tilfældige mails eller have fortrolige data liggende frit tilgængeligt. Derfor handler ISO/IEC 27001 heller ikke kun om it, men også om noget så lavpraktisk som lås på døren og regler for medarbejderadfærd på arbejdspladsen,” slutter Anders Linde.