2022-02-10

Cybersikkerhet er ledelsens ansvar

Vi har sett et taktskifte innen digital risiko. Det er lederens og styrets ansvar å redusere risikoen for økonomiske tap for selskapet som følge av cyberangrep. Likevel er svært mange virksomheter ikke godt nok forberedt.

En rapport fra PwC viser at ni av ti toppledere ser på datainnbrudd som den største trusselen mot fremtidig vekst. Men ifølge PwC er kun halvparten av norske styrer bekymret for cyberangrep, til tross for at dette er trusler som har potensiale til å sette virksomheter ut av spill – med enorme økonomiske konsekvenser.

Gjennom aksjeloven har styrene i norske virksomheter en forpliktelse til å sette seg inn i og følge opp mulige risikoer for selskapets overlevelse. Derfor er det overraskende at det ifølge PwCs styreundersøkelse kun er 34 prosent av styrene som opplever at de mottar nyttig rapportering om cyber-sikkerhet i virksomheten.

PwC skriver at det virker som det er en forskjell mellom trusselforståelsen hos virksomhetens ledere og det norske styrer opplever. Så mange som 91 prosent av topplederne er bekymret for cybertrusler, og dermed er det mye som tyder på at ledelsen i praksis ikke rapporterer på trusler eller det risiko-bildet de bekymrer seg for. Det er viktig at slik rapportering blir gjort, og at styrene forstår hva som kan gjøres for å redusere risikoen. I Norge kan et styre gjøres ansvarlige av eiere ved økonomiske tap. Hvis styret mangler kompetansen som trengs for å forstå risikoen ved cybertrusler, må de sørge for å skaffe seg denne
kompetansen utenfra.

”Økt bevissthet om digital risiko har ofte ikke blitt omsatt til handling. Dette bør være et tema i alle styrerom og ledergrupper”

— NSM/Nasjonalt digitalt risikobilde 2021

 

Flere og mer alvorlige sikkerhetstrusler

– Vi har sett et taktskifte innen digital risiko. Antall alvorlige hendelser vi har registrert i 2020 er tre ganger så høyt som i 2019. Samtidig utføres komplekse spionasjeaksjoner mot norske mål, og der våre viktigste verdier forvaltes, sa Sofie Nystrøm, direktør i NSM, i forbindelse med fremleggelsen av rapporten «Nasjonalt digitalt risikobilde 2021».

I rapporten går det frem at det ble gjennomført flere internasjonale cyber operasjoner mot norske virksom-heter, blant annet i mars 2021 da angripere utnyttet sårbarheter i epost- tjenester. NSM anslo at svært mange virksomheter kunne være berørt av sårbarhetene. Spesielt krypteringsvirus og økonomisk motivert kriminalitet har økt mye det siste året, ifølge Nasjonalt cyber-sikkerhetssenter (NCSC) ved NSM.

NSM påpeker i sin rapport at selv om digitalisering gir både økt effektivi-sering og innovasjon, betyr digitali-seringen også at det introduseres nye sårbarheter, avhengigheter og risikoer som kan utnyttes og som må håndteres. Tekniske sikkerhetstiltak er ikke nok til å stoppe trusselaktørene. Det kreves gode interne prosesser i virksomheten, og en god sikkerhetskultur både blant ansatte og brukerne av ulike systemer.

Også NSM peker på styrets og ledelsens ansvar, og mener mange virksomheter ikke har et forsvarlig sikkerhetsnivå for å beskytte viktige verdier. "Økt bevissthet om digital risiko har ofte ikke blitt omsatt til handling. Dette bør være et tema i alle styrerom og ledergrupper", heter det i rapporten. Med stadig mer alvorlige konsekvenser av cyberangrep, haster det med å få på plass tiltak for å redusere risikoen, konkluderer sikkerhetsmyndigheten.

roar storm.foto 
Roar Storm - National Information Security Manager, Atea

– Ikke flaut å kjøpe kompetansen man mangler selv

Roar Storm er National Information Security Manager i Atea, og har ansvaret for SOC+. Dette er en løsning som lar virksomheter kjøpe sikkerhets-overvåkning som hjelper kundene hele døgnet – hele året. Han forteller at det er viktig at styrer og ledelser er bevisst på hva som er «gullet» deres og hvilke økonomiske konsekvenser et cyber-angrep kan få for virksomheten. Man bør ha en skriftlig og øvet plan for å være forberedt på et angrep og slik at man reduserer risikoen og virkningen av eventuell nedetid. – Det er ikke flaut å kjøpe den kompetansen man mangler selv, faktisk så er det jo det sikkerhetsmyndigheter anbefaler at man gjør.

Nasjonal Sikkerhetsmyndighet (NSM) anbefaler en rekke tiltak for å redusere sikkerhetsrisikoen i virksomheter. Ateas SOC+ kombinerer flere av disse tiltakene i én digital, døgnbemannet vakttjeneste.

– Vi ser at våre kunder setter pris på å ha noen som passer på døgnet rundt, i tilfelle noe skulle skje. Vårt hendelses-håndteringsteam har håndtert eller vært involvert i fem ganger så mange alvorlige ransomwareangrep i 2021 som i 2020. Da er det viktigere enn noensinne å oppdage angrepene så fort som mulig for å begrense skade-omfanget, sier Storm.

 

Atea IRT er godkjent av NSM.

Elementene i SOC+ inneholder til enhver tid de gjeldende sertifiseringer, som blant annet ISO 27001 og ISO 9001, og Ateas ledelsessystem for miljøer sertifisert i henhold til ISO 14001:2015. Atea jobber bevisst med miljørettede tiltak for kontinuerlig å redusere vårt eget CO2-utslipp. Vi kjøper opprinnelsesgaranti for all energi som forbrukes på våre datarom i Norge.