Behovet for robuste cybersikkerhedstiltag er selvfølgelig ikke nyt. Alle ledere uanset branche og virksomhedsstørrelse har været nødt til at forholde sig til de voldsomt stigende antal hackerangreb – ofte i form af ransomware. Men i den nye situation vil behovet for operationel risikohåndtering blive sidestillet et behov for compliance: leverandører, som ikke kan dokumentere en tilfredsstillende cyberrisikohåndtering, vil tabe kunder og forretningsmuligheder. Derfor er det ikke længere et spørgsmål om, hvorvidt styrket cybersikkerhed kan være en konkurrenceparameter. Det er en kendsgerning.
Cybersikkerhed er ikke kun it-afdelingens problem.
Ledere står således nu over for en vigtig opgave: at forstå og handle i lyset af de nye krav, og udgangspunktet for denne opgave er anerkendelsen af tre fundamentale sandheder.
1. Den første er, at cybersikkerhed er et ledelsesansvar, som ikke kan uddelegeres til it-afdelingen. Cybersikkerhed skal forstås som et strategisk satsningsområde, som berører hele virksomheden. Ledelsen har til opgave både at udvikle strategier og skabe en tilsvarende virksomhedskultur.
2. Den anden sandhed er, at dette ikke kan udskydes. Der er en reel risiko for at genskabe kaosset i ugerne før gdpr trådte i kraft i maj 2018. Virksomheder skal vise over for deres kunder, at de er et ansvarligt medlem af deres forsyningskæder, og det er en tidskrævende proces, som kræver et helt nyt overblik over virksomhedens organisationsstruktur. Det indebærer, at ledelsen skaffer sig et detaljeret overblik over deres it-infrastruktur, hvem der har adgang, og hvordan tilsvarende risici er håndhævet.
3. Den tredje sandhed er, at cybersikkerhed i høj grad er et forsyningskædespørgsmål, og denne sandhed er gældende for både samfundskritiske og øvrige virksomheder. Ledere må derfor se grundigt på deres egne leverandører, især dem med direkte adgang til deres netværk eller data. Ransomwareangrebet imod hostingudbyderen Azerocloud i august er et blandt mange eksempler, som viser, hvordan utilstrækkelige cybersikkerhedstiltag blandt leverandører kan være livstruende for virksomheder, specielt smv’er som i dette tilfælde Chili Klaus.
Hvad skal der så gøres? Den største udfordring er at opgradere cybersikkerheden på ofte ganske begrænsede budgetter. Det kræver smarte beslutninger og prioritering. Ledere skal derfor tilegne sig en minimumsforståelse for cybersikkerhed. Bestyrelsesforeningens etablering af et center for cyberkompetencer er et vigtigt skridt på vejen og kan blive til en værdifuld ressource for danske ledere.
Behov for retningslinjer
Imidlertid forbliver det et stort problem, at eksisterende cybersikkerhedsstandarder og -retningslinjer typisk er målrettet store virksomheder, som ikke afspejler realiteterne i smv’er. Det er således ikke forundrende, at en undersøgelse fra Aalborg Universitets Torben Elgaard Jensen og Laura Kocksch viser, at smv’ers arbejde med cybersikkerhed ofte er karakteriseret ved pragmatisme, manglende viden og lappeløsninger.