It-sikkerhed i en virksomhed er en strategisk opgave, som bestyrelsen har både moralsk og lovgivningsmæssigt ansvar for. Men mange danske virksomheder mangler fokus på truslen. Det fortæller en af landets mest erfarne eksperter på området, direktør i CSIS, der rådgiver om cyberkriminalitet, Peter Kruse.
“Der sker dagligt op til 1.000 forsøg på it-indbrud i danske virksomheder, og lykkes et angreb, kan det ganske enkelt betyde, at virksomheden må dreje nøglen om. Desværre har mange virksomheder skyklapper på i forhold til cyberkriminalitet, og der har bestyrelsen et stort ansvar for at sikre det rette fokus”, siger Peter Kruse, der understreger, at it-sikkerhed skal håndteres langsigtet og strategisk.
“Derfor skal bestyrelsen på banen”, siger Peter Kruse.
De rigtige spørgsmål
Samme holdning lyder fra det hurtigt voksende netværk af professionelle bestyrelsesmedlemmer i danske virksomheder, ASNET Board, hvor direktør Henrik Nielsen netop understreger vigtigheden af, at medlemmerne rustes til fremtidens it- virkelighed.
“It-sikkerhed en af de markante udfordringer som danske virksomheder står overfor nu og i fremtiden. Derfor er det selvfølgelig også noget, der optager vores medlemmer og de næsten 500 virksomheder, hvor de er aktive som bestyrelsesformænd eller bestyrelsesmedlemmer”, siger Henrik Nielsen og fortsætter:
“Det handler i sidste ende om at sikre grundlaget for at drive forretning, og med den udvikling, der sker i kriminelle it-miljøer, hvor selv helt små virksomheder udsættes for angreb, stiller det krav om proaktiv stillingtagen. Her vil det ofte være bestyrelsen, der har det nødvendige overblik til at stille direktionen de rigtige spørgsmål”.
Nyt EU-fokus betyder store bøder
Peter Kruse fortæller, at bestyrelsens ansvar fremover bliver endnu mere tydeligt med et nyt EU-direktiv, der træder i kraft I 2017. Her risikerer både direktion og bestyrelse bøder baseret på virksomhedens årsomsætning, hvis der sjuskes med it- sikkerheden.
“Først og fremmest er der tale om et professionelt ansvar over for den ydelse, du leverer til dine kunder. Men samtidigt betyder de nye regler, at bestyrelsen faktisk kan drages til ansvar for manglende tilsyn med direktionen på området”. siger Peter Kruse.
“Derfor er det både rimeligt og forventeligt, at man som en del af bestyrelsesarbejdet stiller krav til, at virksomheden lever op til de forskellige certificeringer, der er på området”, siger han og understreger, at mange virksomheder relativt enkelt vil kunne øge deres it-sikkerhed markant ved at sikre ledelsesmæssigt fokus på certificering af virksomhedens sikkerhed, på uddannelse af medarbejderne samt en generel gennemgang af it-infrastrukturen. Et arbejde, som ASNET samtidigt ønsker at ruste
deres medlemmer bedst muligt til.
“It skaber konstant nye muligheder for danske virksomheder, men der følger udfordringer og ansvar med”. siger Henrik Nielsen.
Fakta og råd
Peter Kruses tre gode råd til bestyrelser i danske virksomheder
1: Lav en langsigtet cybersikkerhedsstrategi, der tager højde for virksomhedens mest værdifulde data, og hvordan de beskyttes
2: Vær opmærksom på hvilke certificeringer, der findes på området og stil krav til, at virksomheden lever op til dem.
3: Understøt udviklingen af en virksomhedskultur med fokus på it-sikkerhed og stil krav til at medarbejdere på alle niveauer uddannes til at være opmærksomme på trusler forbundet med alt fra håndtering af e-mails til personfølsomme oplysninger.
Hackere hærger mere end nogensinde
Mange mindre virksomheder er et let bytte for cyberkriminelle, fordi de tror, at de er for ubetydelige til at være interessante for hackere. Men hackere skyder med spredehagl, og selv mindre virksomheder er sårbare.
Der sker mellem 500 og 1000 målrettede hackerangreb dagligt blot i Danmark, og det vurderes, at omkring 100.000 danske maskiner i skrivende stund er inficeret med potentielt skadelige vira.
Kilde: CSIS
