Cybersikkerhed er ledelsens ansvar: Vi har set et temposkift inden for digital risiko
Det er ledelsens og bestyrelsens ansvar at reducere risikoen for økonomiske tab hos virksomheden som følge af cyberangreb. Alligevel er mange virksomheder ikke godt nok forberedte.
”Øget bevidsthed om digital risiko er ofte ikke blevet omsat til handling. Det burde være et tema i alle bestyrelseslokaler og ledelsesteams”
En rapport fra PwC viser, at ni ud af ti topledere ser brud på datasikkerhed som den største trussel. Men ifølge PwC er kun halvdelen af bestyrelses medlemmer bekymrede for cyberangreb, til trods for, at der er tale om trusler, som har potentiale til at sætte virksomheder ud af spil – med enorme økonomiske konsekvenser.
Bestyrelserne har pligt til at sætte sig ind i og følge op på mulige risici i forhold til virk- somhedens overlevelse. Derfor er det overraskende, at det ifølge PwCs undersøgelse kun er 34 procent af bestyrelserne, som oplever, at de modtager nyttig rapportering om cybersikkerhed i virksomheden.
PwC skriver, at det ser ud til, at der er forskel på trusselsforståelsen hos virksomhe- dens ledere og bestyrelserne. Hele 91 procent af toplederne er bekymrede for cyber- trusler, og dermed tyder meget på, at ledelsen i praksis ikke rapporterer om trusler eller risici, den bekymrer sig om.
Det er vigtigt, at en sådan rapportering finder sted, og at bestyrelserne forstår, hvad der kan gøres for at reducere risikoen. En bestyrelse kan gøres ansvarlig af ejerne i tilfælde af økonomisk tab. Hvis bestyrelsen mangler den ekspertise, som er nødvendig for at forstå risikoen ved cybertrusler, skal den sørge for at skaffe sig denne eksperti- se udefra.
Flere og mere alvorlige sikkerhedstrusler
Trusselsvurdering: Kriminelle spænder den digitale tommelskrue.
Center For Cybersikkerhed(CFCS) udtaler i ny rapport:
Målrettede ransomware-angreb er en alvorlig trussel mod danske virksomheder og myndigheder. Den generelle trussel fra cyberkriminalitet er MEGET HØJ. Hackere, der udfører målrettede ransomware-angreb, misbruger bl.a. kompromitterede fjernad- gange i deres angreb. I løbet af 2021 har hackere, der bruger Ransomware-as-a-Ser- vice (RaaS)-platforme som Darkside, Egregor, LockBit og REvil, eksempelvis udnyttet kompromitterede fjernadgange i flere af deres angreb. CFCS vurderer, at der er flere underliggende faktorer, som har bidraget til, at nogle af de mest aktive kriminelle hackergrupper i øjeblikket bruger fjernadgange i deres ransomware-angreb.
Nedlukning og distancearbejde har øget angrebsfladen for hackerne Nedlukningen af det danske samfund i foråret og vinteren 2020 skabte et akut behov for at opretholde produktion og serviceniveau hjemmefra i de fleste myndigheder og virksomheder. Dén omstilling krævede for mange organisationer hurtige beslutninger om etablering eller udvidelse af fjernadgange og digitale løsninger til online samarbejde. Når arbejdsplad- serne flytter hjem i stuen, kan det skabe udfordringer for it-sikkerheden. Når compu- tere uden for organisationens digitale perimeter får adgang til dens it-netværk, kan de blive en genvej ind for hackere og øger derved organisationens angrebsflade. Det kan for eksempel ske, hvis fjernadgange ikke opdateres eller er sat op uden tilstrækkeligt hensyn til sikkerhed eller monitering.
Især ransomware og økonomisk motiveret kriminalitet er steget markant i det seneste år, ifølge Center For Cybersikkerhed(CFCS).
CFCS peger i sin rapport på, at selvom digitalisering både giver øget effektivitet og innovation, indebærer digitalisering også, at der introduceres nye sårbarheder, afhæn- gigheder og risici, som kan misbruges, og som skal håndteres. Tekniske sikkerheds- foranstaltninger er ikke nok til at stoppe truslen. Der kræves gode interne processer i forretningen og en god sikkerhedskultur både blandt medarbejderne og brugerne af de forskellige systemer.
CFCS peger også på bestyrelsens og ledelsens ansvar og mener, at mange virksom- heder ikke har et forsvarligt sikkerhedsniveau i forhold til at beskytte vigtige værdier.
”Øget bevidsthed om digital risiko er ofte ikke blevet omsat til handling. Det burde være et tema i alle bestyrelseslokaler og ledelsesteams”, fastslår CFCS.
Med de stadig mere alvorlige konsekvenser af cyberangreb er der et presserende be- hov for at få sat foranstaltninger i gang for at mindske risikoen, konkluderer CFCS.
Lars Kryger, Manager I Managed Services - Security i Atea
Det er ikke flovt at købe sig til de kompetencer, man selv mangler
Lars Kryger er leder for Managed Security Services hos Atea og dermed ansvarlig for SOC+. Det er en løsning, som giver virksomheder mulighed for at købe sikkerheds- overvågning, der hjælper kunderne døgnet rundt – hele året. Han fortæller, at det
er vigtigt, at bestyrelsen og ledelsen er bevidste om, hvad deres ”guld” er, og hvilke økonomiske konsekvenser et cyberangreb kan have for virksomheden. Man bør have en beskrevet og gennemøvet plan liggende, så man er forberedt på et angreb og kan reducere risikoen og konsekvenserne af en eventuel nedetid.
– Det er ikke flovt at købe sig til den kompetence, man selv mangler. Det er faktisk det, sikkerhedsmyndighederne anbefaler, at man gør.
Center For Cybersikkerhed(CFCS) anbefaler en række tiltag for at mindske sikker- hedsrisikoen i virksomheder. Atea’s SOC+ kombinerer flere af disse tiltag i en samlet digital, døgnbemandet sikkerhedsvagttjeneste.
– Vi oplever, at vores kunder sætter pris på at have nogen, der passer på døgnet rundt, i tilfælde af, at der skulle ske noget. Statistikken fra vores Incident Response Team (IRT) viser, at der var en firedobling i antallet af sikkerhedshændelser i 2021, så det er vigtigere end nogensinde at opdage angrebene så hurtigt som muligt for at begrænse omfanget af skader, siger Lars Kryger.