Cybersikkerhet er et lederansvar

Cybersikkerhet er et lederansvar

Datakriminalitet er blitt en del av hverdagen. Det er ikke lenger lov å være uforberedt.

Tenk deg at noen bryter seg inn i en bank, gjemmer seg i et skap og kikker de ansatte over skulderen i flere måneder. Til slutt har de lært seg hvordan systemene fungerer og overfører penger til seg selv. Usannsynlig?

Mellom 2013 og 2015 var det nettopp dette som skjedde, ifølge en analyse av det anerkjente cybersikkerhetsselskapet Kaspersky Labs. De infiltrerte it-systemene i rundt 100 banker og finansvirksomheter i 30 land. Samlet tap kan være opp mot én milliard dollar. Hvordan kan noe slikt skje?

Cybersikkerhet er i ferd med å bli et viktig tema i styrerommet, viser årets utgave av Deloittes globale undersøkelse blant styremedlemmer. Men vi ser sjelden at noen i styret eller toppledelsen har et tydelig ansvar for cybersikkerhet. Det skyldes primært manglende forståelse for:

  • hvordan kjent cyberrisiko bør håndteres
  • den virkelige kostnaden ved en sikkerhetshendelse.

Et av flere rammeverk med god praksis for cybersikkerhet er utgitt av Center for Internet Security. De har kommet frem til 20 tekniske områder alle bør jobbe med, og de fem viktigste områdene reduserer risikoen for uønskede hendelser med omtrent 85 prosent. Hvorfor har ikke alle implementert disse tiltakene?

It-leverandørene er opptatt av å oppfylle kontrakten, brukerne er opptatt av å få gjort jobben sin og lederne er opptatt av å nå sine suksesskriterier.

Men hvem har ansvaret når alle vinduene står åpne, kameraene er slått av og noen har glemt å låse hvelvet? For dette er den digitale virkeligheten i mange virksomheter. Det er en manglende forståelse for den mulige effekten av en hendelse, og hvem som har ansvaret for de underliggende årsakene.

Deloitte gjennomførte nylig studien «Beneath the surface of a cyberattack», som undersøkte konsekvensen av en sikkerhetshendelse fra et finansielt perspektiv. Har ledere god nok oversikt over de økonomiske konsekvensene?

I den første fasen får vi en del direkte utgifter knyttet til hendelsen. De virkelige kostnadene kommer derimot senere, i form av omdømmetap, økte låne- og forsikringskostnader og tap av immaterielle rettigheter.

Butikkjeden Target opplevde rekkevidden av de økonomiske konsekvensene, da den ble rammet av en stor sikkerhetshendelse i 2013. Millioner av kunders kredittkort ble stjålet. Dette var en viktig årsak til at nettoresultatet ble nesten halvert for fjerde kvartal året etter.

Den digital verdenen består av ettall og nuller, og en god porsjon matematikk. I denne verdenen er det lite rom for det statistikeren Nassim Taleb kaller en sort svane, eller en stor hendelser som oppstår uten ledelse eller forutsigbarhet. Men inntil vi får autonome plattformer som reparerer seg selv og rapporterer om svakheter, så har den digitale verdenen én alvorlig svakhet: mennesker. Vi glemmer å oppdatere systemer, vi ser ikke sammenhenger, og, hvis det er mulig, så gjør noen av oss feil.

I World Economic Forums undersøkelse om globale risikoer oppfattet åtte land, blant annet USA og Tyskland, cyberangrep som risikoen man var mest bekymret for. Man er kanskje bekymret fordi man har hørt om noe som minner om en sort svane. Bare i løpet av det siste året har vi hørt om noen hundre tusen som mistet strømmen i Ukraina, virtuelt bankran av sentralbanken i Bangladesh og angrep mot amerikanske sykehus. Alle cyberangrepene var mulige fordi noen utnyttet kjente sårbarheter på kreative måter.

I dag er det et stort gap mellom det ansvaret ledere ser de har for å sikre seg mot cyberangrep, og verktøyene de har for å få oversikt og ta gode beslutninger. Et område flere jobber med i dag, er å utvikle gode risikomodeller for cybersikkerhet, ved å se til andre, mer modne områder, som finans.

Cybersikkerhet er i ferd med å bli modent. Det nytter ikke lenger å skylde på en «sort svane» når alle de små problemene materialiserer seg på likt.

Knut Håkon Tollersrud Mørch, direktør i Deloitte

Dette innlegget ble opprinnelig publisert i Dagens Næringsliv, 05.12.16.

Skrevet av Deloitte Se alle poster fra denne forfatteren →

Deloitte AS er DTTLs medlemsfirma i Norge. Deloitte er verdens største leverandør av profesjonelle tjenester innen revisjon, rådgivning og advokattjenester.