Cybercrime Survey 2020 viser, at der i år har været rekordmange phishingangreb. Heldigvis har mange virksomheder de seneste år forbedret deres cyber- og informationssikkerhed – og timingen for disse forbedringer kunne ikke have været bedre. COVID-19-pandemien har nemlig gjort det nødvendigt for mange virksomheder at lade medarbejderne arbejde fleksibelt eller hjemmefra, hvilket skaber udfordringer på grund af den øgede mængde digitale kommunikation. Under COVID-19 accelererer virksomhederne også digitalt på andre områder med en overraskende høj fart og rykker flere digitaliseringsår frem på ganske få måneder. Men cyberkriminelle udnytter kriser som COVID-19 – hvilket undersøgelsen bekræfter, ved at ét ud af tre phishingangreb i 2020 har været relateret hertil.
Cybercrime Survey 2020 viser desuden, at 58 % (51 % i 2019) af de danske virksomheder har været ramt af en sikkerhedshændelse. Vi oplever, at virksomhederne har været ramt af ransomware-hændelser, som har haft en signifikant økonomisk konsekvens. Medierne har fx belyst hændelser, hvor virksomheder har oplyst om økonomiske tab på 500- 700 mio kr.1 som følge af ransomware.
Virksomhedens CISO skal være tæt på ledelsen
Cybersikkerhed er mere end nogensinde før blevet et vigtigt tema for topledere. Der er behov for nye metoder, hvorpå cybersikkerhed kan integreres på tværs af forretningens områder som del af en robust cybersikkerhedsmodel, der skal sikre virksomhedens “kronjuveler”. Det er derfor vigtigt, at virksomhedens Chief Information Security Officer (CISO) er tæt på ledelsen, så der kan kommunikeres et klart trusselsbillede og løbende skabes enighed om virksomhedens risikoprofil. Indsigten i det aktuelle trusselsbillede samt det rigtige niveau for risikovillighed og generel cybersikkerhedsledelse skal drøftes i virksomhedens ledelse. Til gengæld skal virksomhederne passe på med at gå for detaljeret til værks i risikostyringen. Det er vores erfaring, at de få virksomheder, som er påbegyndt rejsen, er druknet i et kæmpe detaljeringsarbejde. Her kan man med fordel skabe et hurtigt overblik ved at se på de store trusler først.
Cyberinvesteringer vs. value at risk
Undersøgelsen indikerer også, at topledelsen har fået bedre styr på sikkerheden. Der er dog stadig tydelige udfordringer mellem topledelsen og sikkerhedsfagfolkene, hvilket er nemmest illustreret ved budgetteringsøvelsen. Hvis en virksomhed har 100 kr. eller 100 % til it- og sikkerhedsbudgettet, så vil en almindelig fordeling se således ud:
Virksomhedens it- og sikkerhedsbudget
It-drift
98%
Sikkerhed
1 %
Produktion/Fabrikker
1 %
Denne fordeling gør det svært at indføre store forandringer, da CISO’en først og fremmest skal trænge igennem mange ledelseslag, men også skal forsøge at forsvare, at flere økonomiske midler bliver afsat til sikkerhed. Det gab, der findes mellem det nuværende (og oftest manglende) sikkerhedsbudget og de reelle forandringer, der skal til, kan være svært at balancere. En virksomhed, der har haft en sikkerhedshændelse, er klar over de store omkostninger. Dette skulle vi dog alle helst undgå at opleve, og derfor kan “beregningsøvelsen” om, hvilken værdi/omkostning der er på spil, være relevant at inddrage i denne dialog.
Det er langt nemmere at have en effektiv dialog, hvis emnet omhandler risici, hvor investeringer kan reducere risikoen for et angreb og/eller minimere tabet ved en hændelse. Derfor er der brug for, at topledelsen og bestyrelsen stiller krav om bedre cyberrisikostyring, men også får koblet den eventuelt eksisterende Enterprise Risk Management-funktion tættere på sikkerhed, så virksomheden får et transparent perspektiv. Når dette er gjort, skal man blive bedre til at måle effekten af sine investeringer. Det er vores erfaring, at der stadig er for mange tilfældige investeringer, hvor man ikke altid får fulgt op på værdien. Stærk rapportering, risikobaseret styring og fælles beslutninger binder det hele sammen og skaber de bedste rammer for et vellykket cyberprogram.
Kontakt os
