Bestyrelsens ansvar

 

Alt for mange bestyrelser lukker som øverste ansvarlige øjnene og håber, at lige præcis deres virksomhed er heldig og styrer udenom cyberkriminalitet. Men det gør den nok ikke. For som Misha Glenny, forfatter til flere bøger om cyberkriminalitet, siger: ”Der findes to slags virksomheder. Dem der ved, de er blevet hacket, og dem, der endnu ikke ved det”.

Medierne bliver ofte beskyldt for at overdrive og male en vis person på væggen, når virkeligheden skal beskrives. Det skal nok være rigtigt i nogle tilfælde. Men ikke når det gælder cyberkriminalitet. Da er der nærmest tale om det omvendte. Vi kan kun se toppen af isbjerget. Vi kender simpelthen ikke omfanget, men ved bare, at det er enormt, og at virksomheden på et tidspunkt støder ind i det.

 

Tavse virksomheder            

Ingen ved i virkeligheden hvor stort problemet med cyberkriminalitet er. Det skyldes, at mange virksomheder bliver hacket, men få er villige til at fortælle om det. I store træk ser vi derfor kun de eksempler, som det lykkes pressen at hive frem. Som den store hackersag, der har været imod CSC, der håndterer Rigspolitiets oplysninger blandt andet kørekortregistreret, men også cpr-registeret. Eller da Novozymes, Søfartsstyrelsen og Erhvervs- og Værksministeriet sidste år blev udsat for angreb.

 

Strategisk trussel

Alle virksomheder, private eller offentlige, risikerer tab som følge af cyberkriminalitet. Det er ved at udvikle sig til en strategisk trussel for danske virksomheder og skyldes ikke mindst, at hacking er en nem, billig og relativ risikofri karrierevej at vælge. Faktisk er det muligt på nettet at købe en ”hackerværktøjskasse” for ti dollar. Derefter er hackeren i stand til at lægge de fleste virksomheders hjemmeside ned – eller lade være Ganske som vi for nylig så det hos Nordfyns og Gribskov kommuner, der begge blev udsat for pengeafpresning, altså at ”nogen udefra” truede med at frigive personoplysninger i cyberspace, hvis ikke der blev udbetalt ”løsepenge” mod betaling.

 

Hvad koster et angreb?

Den ringe fokus på IT-sikkerhed bunder ikke sjældent i, at bestyrelsen i mange virksomheder mangler erkendelse af, at en meget stor del af forretningen hviler på det digitale. Som konsekvens undervurderes den digitale eksponering. Det er formentlig også en af grundene til, at vi ikke ved ret meget om, hvor meget cyberkriminalitet rent faktisk koster virksomhederne. Tabet ved et angreb er svært at gøre op. Hvordan prissætter man det f.eks. hvis nogen stjæler firmaets opfindelser, og man mister en fremtidig indtjening? Eller driftstab, undersøgelsesomkostninger, omkostninger til at genetablere data, udgifter til løsesum, der betales i forbindelse med cyberafpresning eller sags- og forligsomkostninger, hvis der bliver rejst sag mod virksomheden med påstand om brud på persondataloven el. lign?

 

Bestyrelsens ansvar

Én ting ved vi dog med sikkerhed om cyberkriminalitet: Det er bestyrelsens ansvar, hvordan virksomheden vælger at sikre sig mod følgerne af det.

At slås mod cyberkriminalitet er et kapløb, hvor det gælder om hele tiden at være foran de kriminelle. Og vi må erkende, at på den lange bane er den enkelte virksomhed simpelthen ikke i stand til at matche de stadigt mere kompetente hackere. Det er med andre ord ikke et spørgsmål om vi bliver angrebet, men alene om, hvordan vi forholder os, når vi bliver angrebet.

Hvordan en virksomhed vælger at sikre sig, er i sidste ende bestyrelsens ansvar og beslutning, baseret på bestyrelsens oplevelse af det risikobillede virksomheden befinder sig i. Derfor kan det også undre, at der øjensynligt mangler strategisk fokus og opmærksomhed om cyberkriminalitet i mange bestyrelser.

Bestyrelserne er nødt til at erkende, at de virksomheder, de har fået ansvar for, ikke er 100 procent sikre og aldrig vil blive det. Følgerne af et angreb kan være uoverskuelige. Danske bestyrelser bør derfor være sig sit ansvar langt mere bevidst og overveje hvordan man bedst sikrer sig mod følgerne af et angreb. For angrebet, det bliver man.

 

Af Lars Steen Nielsen, Group CEO, Contea.