Styr på bankboksen betyder også styr på cybersikkerheden

Bestyrelsen har ansvar for at passe godt på virksomhedens penge, både når det gælder om at skabe værdi og bevare værdierne. Digitaliseringen og kunstig intelligens rummer mange nye muligheder, men også store risici forstærket af teknologiudviklingen og den geopolitiske udvikling – og det kræver en vis indsigt og ressourcer at udøve sit bestyrelsesansvar for at finde den rette balance mellem muligheder og risici. Cyberrisici handler ikke kun om IT, men en beredskabsplan for hele forretningen inkl. produkter, kunder, samarbejdspartnere, medarbejdere, kultur, etik, aktionærer og samfund. 

Der kommer jo i løbet af 2025 regulering og lovkrav som NIS2, DORA m.v. for de større og samfundskritiske virksomheder. Men cyberviden er relevant for alle SMV:er, regulering eller ej. Dels fordi ingen virksomheder går ram forbi, og dels fordi alle virksomheder er del i en leverancekæde, hvor der vil blive stille større sikkerhedskrav, hvad enten der er fra kunder eller leverandører.

Personligt har jeg skruet op for min vidensopsamling på cyber security, bl.a. ved deltagelse for anden gang i Cyber Risk Simulator træningen hos Bestyrelsesforeningens Center for Cyberkompetencer. Meget værdifuld, interaktiv og praksisnær træning, som jeg kan anbefale, sammen med brug af Bestyrelsesforeningens vejledning og anbefalinger om Cyber Security for bestyrelser og direktioner. Her er den væsentligste anbefaling, at bestyrelsen så ofte som relevant og mindst én gang årligt drøfter ledelsens cyberrisikovurdering – så giver resten næsten sig selv ift. risikoappetit, politikker, beredskabsplaner, uddannelse og IT sikkerhedskultur.

Her lidt af hvad jeg har samlet op den seneste tid fra diverse kilder:

Cybercrime trenden

Cyberangreb er big business og ofte organiseret som enhver anden virksomhed med ledelse, produktion, personaleafdeling, marketing og salg af RaaS (Ransom as a Service) og hackerne udfører altså ofte angrebet på vegne af deres "kunder".

Der registreres worldwide 500.000 nye virusvarianter hver dag. Fishing angreb er den mest udbredte angrebsform, som udnytter menneskelig fejl og ikke tekniske sårbarheder. 30% af alle angreb i 2023 startede med en fishing mail – hackere "bryder ikke ind", de logger ind".Angrebet udvikler sig så til malware (ødelægge), ransomware (stjæle/låse data mod løsesum). DDoS angreb skaber trafikkaos og servicenedbrud på virksomhedens server eller webshop.

Bestyrelsesforeningens Cyber Security Simulator, 29/1 2025

60% af virksomhederne er mere bekymrede for cybertrusler end for 12 måneder siden.

41% har cyberberedskab som højest prioriteret investering.

61% planlægger eller anvender kunstig intelligens (AI) i arbejdet med cybersikkerhed.

78% ser organiserede kriminelle som den største trussel ift. cybersikkerheden.

54% ser ansattes ubevidste handlinger som den næststørste trussel, men heldigvis faldende.

PwC Cyber Crime Survey 2024

Cyber angreb har flere formål og alle virksomheder kan rammes

• Finansiel gevinst via løsepenge
• Aktivisme, politisk og ideologisk
• Krig og destruktion af infrastruktur
• Spionage og tyveri af patenteret viden

Hackerne, eller deres kunder, kan være alt fra kriminelle, aktivister, fremmede stater og konkurrenter til interne medarbejdere, der ønsker at skade arbejdsgiveren eller er i ledtog med eksterne hackere. Der findes heldigvis også hackere med gode intentioner om at hjælpe virksomheder med at passe bedre på, som man sågar kan engagere til at teste virksomhedens systemer.

Hackerne finder de svage punkter i teknikken og hos medarbejderne

Hvis der er et svagt punkt i virksomhedens system, så finder hackerne det før eller senere. Derfor bør der sættes fokus på:

• Adgangs-ID og system login med multifaktor autentifikation
• Lukke sikkerhedshuller i alle adgangspunkter, pc, mobiler, tablets og internet of things, fx printeren eller kaffemaskinen m.m.
• Beskytte digitale systemer og data med antivirus og brug af AI
• Både kompetencer, ressourcer og AI-værktøjer
• Husk også fysisk adgangskontrol, da en hacker udklædt som servicetekniker får ukontrolleret adgang til noget "uskyldigt" elektronik er en klassiker

Bestyrelsesforeningen 5/11 2024 om AI, NIS2 og Cybersecurity

Med AI stiger cyberangreb eksponentielt

Kunstig intelligens løfter hackernes evne til at øge antallet af angreb, gøre dem mere målrettede, mere effektive og sværere at opdage. Hertil hurtigere udvikling og forbedring af eksisterende metoder, men også nye metoder fx deep fake. Trusselsaktører kan analysere stjålne data hurtigere og bruge dem til at træne AI-modeller. Endelig sænker AI barrieren og gør det muligt for selv uerfarne hackere at udføre effektive og skadelige angreb.

Store konsekvenser og omkostninger

Angreb kan gå efter både at låse og lække fortrolige forretningsdata og følsomme persondata. Der er her og nu omkostninger til teknisk håndtering af cyberangreb og evt. løsesum. Hertil kommer tabt omsætning og produktivitet og i værste fald lukning og konkurs. På den korte bane kan det betyde mistede kunder og indtjening, mistede data og stjålne personoplysninger, bøder og erstatninger. På længere sigt kan det koste på virksomhedens omdømme, brand og mistet tillid, mistede intellektuelle værdier/patenter og spredning af falske oplysninger.

Det gode arbejde med cybersikkerhed har 5 lige vigtige faser

At få styr på cybersikkerheden er ikke et engangsfix, men en løbende proces, som man kender det fra andre beredskabsaktiviteter, fx brand, bombetrusler, strejker, demonstrationer m.m. Det handler om både forebyggelse, håndtering og genopretning.

Baseret på Bestyrelsesforeningens Cyber Security Simulator, 29/1 2025

Man skal konstant holde øje og forudse trusler og opbygge forsvar mod disse. Man skal gøre det svært for hackerne, så de går videre til næste potentielle offer. Man skal være på vagt og hurtigt opdage, når et angreb er begyndt, og det skal håndteres både teknisk og forretningsmæssigt.

Den tekniske akuthåndtering vil ofte kræve ekstern eksperthjælp, så det er værd at have en ekspertpartneraftale på planen, så man er klar når det skulle ske. Der skal være en plan for intern kommunikation til medarbejdere, så de kan holde driften så godt i gang som muligt, og selvfølgelig ekstern kommunikation overfor kunder, samarbejdspartnere, aktionærer m.fl.

Endelig skal systemer/data genoprettes efter en prioriteret plan, så tid og omkostninger minimeres. Det tager gennemsnitligt 258 dage at identificere, håndtere og genoprette systemer og data efter et cyberangreb, og den gennemsnitlige omkostning er 35 DKKm.

Cost of Data Breach Report 2024, IBM, (3500 virksomheder i 17 industrier og 16 lande).

I en angrebssituation skal der træffes mange kritiske beslutninger på kort tid, så det er godt at være forberedt på forskellige scenarier og de svære valg. Her er det vigtigt, at der er klare rollefordelinger mellem bestyrelse, direktion og de beredskabsgrupper, der skal gennemføre os koordinere de mange både tekniske og kommercielle aktiviteter.

Løsesummens dilemma

Betaling af løsesum er ofte det store dilemma. Man kan komme i tvivl, fordi de kriminelle måske ikke indfrier deres løfte, eller de blot vender tilbage med flere angreb, eller pengene går til andre kriminelle eller terrorformål. Uden at det som sådan er en anbefaling, kan det være værd at vide, at løsesummen faktisk bliver betalt i 90% af tilfældene for at afkorte/begrænse skaderne ud fra en logik om, at hackerne driver forretning på vegne af deres kunder og derfor ikke vil underminere deres egen forretning ved ikke at levere modydelsen til løsesummen. En anden måde at se det på er, at der er "alt at vinde" ved at betale og "meget at tabe" ved ikke at betale, så det er jo et klassisk risikospil.

Bestyrelsesforeningens Cyber Security Simulator, 29/1 2025

NIS2, er et EU direktiv som stiller krav til risikostyring og rapportering af sikkerhedshændelser til kunder, samarbejdspartnere og myndigheder, og som giver myndighederne tilsynsbeføjelser og mulighed for sanktioner, fx personligt bestyrelses-/direktionsansvar, bøder til virksomheden på op til 75 DKKm eller 2% af virksomhedens omsætning – lidt som vi så det med indførelsen af GDPR.

Uanset om man er omfattet af NIS2 eller ej, så er det et godt rammeværktøj for at arbejde struktureret og effektivt med cybersikkerheden. Oprindelig deadline for ikrafttrædelse af den danske udgave var 17/10 2024, men det bedste gæt p.t. er omkring juni 2025, og det er ikke for tidligt at komme i gang.

Skal du også investere i cybersikkerhed?

Her er de 5 højest prioriterede investeringer indenfor cyber- og informationssikkerhed de kommende 12 måneder:

• Kendskabstræning 49% (både bestyrelse, direktion og medarbejdere)
• Beredskabsplaner 41% (både digitale og fysiske, så de er tilgængelige under angreb)
• Metodeforankring fx ISO 2700x 41%
• Identitet og login styring 30% (multifaktor autentifikation)
• Segmentering af netværk 27% (redundans)

PwC Cyber Crime Survey 2024 og Bestyrelsesforeningens Cyber Security Simulator, 29/1 2025

Og så er der lige den om, at backup i skyen også bør suppleres med offline backup på et afsides og sikkert sted.

Hvad er risikoen og er det investeringerne værd?

Som SMV ejerleder kan det være en udfordring med de mange udviklingsopgaver på toppen af den daglige drift, og det kan også synes unødvendigt dyrt at investere både kroner og timer i cybersikkerheden. 

Men cybersikkerhed er nok den "udviklingsopgave", som ligger allertættest på "driften", og de fleste virksomheder kan vel næppe forestille sig ikke at have en beredskabsplan i tilfælde af brand – og ej heller ikke at have en brandforsikring. Sagen er, at sandsynligheden for et cyberangreb nok er større end for brand – det er med andre ord ikke længere et spørgsmål om, men hvornår, virksomheden oplever et cyberangreb. Men en traditionel skadesforsikring til cyberangreb er ikke nok, og det er derfor pengene værd med bestyrelsesfokus og en velafbalanceret cyber security beredskabsplan.

God fornøjelse med cybe security arbejdet.