Hvordan kan din bestyrelse være effektiv i håndteringen af cyberrisici?

Truslen fra cyberkriminalitet

Truslen fra cyberkriminalitet er i stigende grad en udfordring, og cyberhændelser af forskellig karakter omtales ofte i medierne. Hændelser, der både koster virksomhederne penge og omdømme. Og truslen fra cyberkriminelle er ifølge PwC’s 21st Global CEO Survey også blandt de top-4 risici, der bekymrer globale topledere mest. 

Frekvensen, hvormed hændelser indtræffer, stiger ufortrødent. I flere sammenhænge er vi bagud og gør det for let for angriberne. Men hvorfor er det egentlig sådan? Virksomhedens medarbejdere udsættes og falder for sofistikerede phishingangreb, hvor der ofte er tildelt for brede brugeradgange, og hvor netværket ikke er tilstrækkeligt sikret ved segmentering. Desværre reagerer mange virksomheder ikke hensigtsmæssigt, når problemer opdages, og hændelsen er indtruffet.

Desuden tager cyber-relaterede angreb kontinuerligt nye former. WannaCry-angrebet sidste år bredte sig fx, uden at en bruger aktivt skulle trykke på et link. 2017 var i det hele taget et år præget af såkaldte ransomware-angreb, hvor virksomheders computersystemer blev låst af krypto-software, der lammede dem i ugevis. Fx målrettede NotPetya-angrebet en sårbarhed i et ukrainsk regnskabsprodukt, og følgevirkningerne var bl.a. hårde for organisationer som FedEx, Mondelez, Merck og Maersk1.

På trods af at truslerne bliver mere og mere omsiggribende, så har 44 % af
9.500 ledere i PwC’s 2018 Global State of Information Security® Survey svaret, at de ikke har en overordnet strategi for cyber- og informationssikkerhed. Det giver et indtryk af, hvor meget arbejde, der udestår på dette område.

Vi giver her en række anbefalinger til, hvordan bestyrelsen kan gribe denne svære udfordring an.
 

Kort opsummering

  • Mange virksomheder er i dag under kontinuerlige angreb, hvilket gør det kritisk at få cybersikkerheden på plads
  • Bestyrelsen bør tilføre værdi i virksomhedens kamp mod cyberrisici. Denne artikel sætter trusselsbilledet i kontekst og opsummerer de største udfordringer, som virksomheder står overfor. Vi identificerer også konkrete tiltag, som bestyrelsen kan sætte i værk for at bidrage til en hensigtsmæssig styring af dette risikoområde.

Udfordring 1

Hvordan kan bestyrelsen få tillid til, at virksomhedens cyber­ og informationssikkerhedsprogram i tilstrækkelig grad har fokus på risikoen for et omfattende angreb eller tab af data?

Mange bestyrelsesmedlemmer er utrygge, når det gælder ledelsens forståelse for og behandling af cyberrisikoen. PwC’s 2017 Annual Corporate Directors Survey viste bl.a., at kun 39 % af respondenterne var meget trygge ved, at virksomheden havde identificeret de mest kritiske og værdifulde informationsaktiver. Og 25 % havde lille eller ingen tiltro til, at deres virksomhed ville vide, hvem der kunne finde på at angribe dem.

Der er mange udfordringer, som virksomhedsledelsen skal håndtere, og risici som den skal forholde sig til. Mange virksomheder vælger derfor at læne sig op af en anerkendt standard eller et rammeværk for at styre cyber- og informationssikkerheden.

For at bestyrelsen effektivt kan føre tilsyn med risikoen fra cyberkriminalitet, skal den præsenteres for den rette information om, hvordan virksomheden håndterer risikoen. Men 63 % af bestyrelsesrespondenterne svarer, at de ikke modtager tilstrækkelig og tillidsskabende information på området3.

PwC’s erfaring er, at bestyrelser i stigende grad afsætter tid på bestyrelsesagendaen til drøftelse af risikobilledet. Men det er en udfordring, at kun få bestyrelser har medlemmer med erfaring og konkret viden inden for cybersikkerhed og en god forståelse for teknologianvendelsen. Denne mangel gør det svært for bestyrelsen at sparre med og udfordre ledelsen tilstrækkeligt i dets tilsyn.

PwC’s anbefaling til bestyrelsen

Fokusér på at få de rette oplysninger og at opdyrke et forhold til virksomhedens teknik­ og sikkerhedschefer,
så du får større indblik i, hvorvidt ledelsen gør nok på området.

Cyber er et svært område at føre tilsyn med. Få her indsigt i de områder, bestyrelsesmedlemmer bør forholde dig til:

1.

Set i lyset af at cybersikkerhed er et forretningsanliggende, betyder det så, at hele bestyrelsen bør føre tilsyn med det? Halvdelen af bestyrelsesmedlemmerne siger, at deres revisionskomite er ansvarlig for cyberrisici, og 16 % har tildelt dette område til en separat risikokomite eller en separat it-komite. Kun 30 % svarer, at det er den samlede bestyrelses ansvar7. Hvis ikke den samlede bestyrelse skal føre tilsyn med dette område, bør man som minimum sørge for, at den ansvarlige komite regelmæssigt aflægger en fyldestgørende rapportering til bestyrelsen. Overvej desuden at flytte dette område fra den ofte overbebyrdede revisionskomite til en anden bestyrelseskomite.

2.

Er der behov for større ekspertise på teknologi- og cyberområdet i bestyrelsen? For nogle virksomheder vil svaret være at udnævne ét bestyrelsesmedlem med cybersikkerhedsekspertise. Og for andre vil man ikke kunne løse en eventuel manglende indsigt med en decideret nyudnævnelse. Både bestyrelsesmedlemmer og specialister med disse kompetencer er svære at finde, især fordi teknologilandskabet, og dermed risikobilledet, er under kontinuerlig og hastig udvikling. Nogle bestyrelser har ikke plads til endnu et medlem. Andre ønsker ikke at udnævne et medlem med så specifikke kompetencer, medmindre de kan forventes at løse andre af bestyrelsens opgaver. Derfor vælger de fleste at udfylde dette kompetencegab med uddannelse og anvendelse af eksterne rådgivere.

Hvordan kan virksomhedens håndtering af cybersikkerhed forbedres?

Overblik over de vigtigste informationsaktiver
 
Virksomheder kan ikke beskytte aktiver, som de ikke kender til. Ledelsen bør kunne identificere, hvilke informationer og data der understøtter forretningen, hvad de bruges til, og hvor de opbevares (i egne systemer eller hos tredjepart), samt om de er tilstrækkeligt beskyttet. Ledelsen bør også vide, hvilke data der er de mest kriti­ske for virksomhedens fortsatte drift (kronjuvelerne).
Overblik over virksomhedens digitale økosystem En virksomhed kan have samarbejde – og dele data med – tusind­ vis af leverandører og samarbejdspartnere. Hackere målretter ofte deres angreb mod disse tredjepartsvirksomheder – der måske har et lavere sikkerhedsniveau – for at tilgå virksomhedens data eller netværk. Mere end 50 % af virksomheder har ikke et overblik over, hvilke parter de deler kritiske data med, eller om disse parter har en tilstrækkelig sikkerhed4.
Kendskabet til mulige angribere Ledelsen bør overveje, hvem de mulige angribere er og forberede sig på, hvordan disse vil kunne angribe. Hermed bliver det muligt at etablere et passende forsvar.
Et tilstrækkeligt grundniveau Systemer, der ikke er korrekt konfigureret, er sårbare over for angreb. Virksomheder bør anvende god praksis, såsom multi­ faktor­autentificering i beskyttelsen af kritiske informationsaktiver. Virksomheden bør beskytte sig mod udbredelsen af ondsindet kode ved at segmentere netværket og fjerne adgangsrettigheder for med­ arbejdere og kontrahenter, der ikke længere har et arbejdsbetinget behov for at tilgå systemer og data. Der bør være en overvågning af netværkstrafikken såvel som adgangen til kritiske data, bl.a. af privilegerede brugere.
 
Medarbejderne er en sikkerhedsrisiko og ikke kun et sikkerhedsaktiv Medarbejdere er pt. den største risiko5, da eksterne angribere relativt nemt kan lokke dem til at klikke på ondsindede links og efterfølgende udnytte medarbejderens interne adgangsrettigheder. Kun halvdelen (52 %) af ledelsesrespondenterne har svaret, at deres virksomhed har et program for at uddanne medarbejdere og skabe opmærksomhed om sikkerhed5.
Cybersikkerhed opfattes som værende sikkerhedschefens ansvar Sikkerhed er ikke én persons ansvar. Sikkerhedschefen har en koordinerende rolle og skal skabe transparens for det aktuelle risiko­ billede ved at etablere et effektivt proces­ og kontrolmiljø sammen med it og forretningen. Det er ledelsens ansvar, at sikkerhedschefen har et mandat til dette arbejde, og at risikoen ejes af forretningen.
Virksomheden har ikke etableret et tilstrækkeligt beredskab Et mangelfuldt beredskab kan have omfattende konsekvenser,
når hændelsen indtræffer. Virksomheder bør have etableret bered­ skabsplaner, der dækker den tekniske genetablering af it­driften, forretningens nødplaner ved manglende it­understøttelse, såvel som håndtering og kommunikation i en krisesituation. Planerne bør testes og øves, for at beredskabet kan være effektivt den dag hændelsen indtræffer.
 

3.

Er alle repræsenteret? Cybersikkerheds-dialogen bør involvere ledelsesmedlemmer fra forretningen, it og digitalisering samt risk management, udover selve CEO og CFO. Hvorfor? Først og fremmest så underbygger det, at cyber er en tværgående udfordring, og at bestyrelsen bør kunne forvente, at alle har et medansvar for at håndtere denne risiko.

Den tværgående dialog kan også medvirke til at afdække, om der er sikkerhedssvagheder inden for andre områder. Fx har de fleste virksomheder et primært fokus på at sikre det administrative miljø (it). Derimod kan der for nogle industrivirksomheder være en høj risiko ved ikke at sikre den teknologi, der understøtter de industrielle processer. Disse systemer har historisk set været driftet på separate netværk og ligger ofte uden for it-afdelingens ansvar. Desuden kan der for andre virksomheder være teknologi i de produkter eller ydelser, som virksomheden tilbyder kunderne. Hvem er ansvarlig for sikkerheden i denne teknologi? Hvis sikkerhedschefen ikke dækker disse områder, så er det væsentligt, at bestyrelsen også hører fra og fører tilsyn med de ansvarlige

4.

Modtager vi den nødvendige rapportering til at kunne føre tilsyn med denne risiko? Og har bestyrelsesmedlemmerne det fornødne grundlag for at forstå virksomhedens it-infrastruktur og systemlandskab? Uden dette overblik kan det være svært at forstå, hvilke trusler og afledte risici der er relevante.

Virksomhedens systemlandskab

  • Er systemer udviklet internt, købt udefra eller købt som tjenester i skyen (cloud)?
  • Er der kritiske systemer, der ikke længere er supporteret af producenten?
  • I hvilken grad har virksomheden integreret opkøbte/fusionerede parters systemer?

Virksomhedens sikkerhedsressourcer

  • Til hvem rapporterer sikkerhedsfunktionen?
  • Hvor stort er budgettet for informations- og cybersikkerhed? Hvordan er dette sammenlignet med andre virksomheder i sektoren?
  • Har virksomheden adopteret en standard eller ramme for styring af informationssikkerhed (fx ISO27001, ISF, NIST CSF, CIS20 eller lign.)? Og hvor moden er implementeringen?

Disse oplysninger er relativt statiske, og bestyrelsen vil derfor kun have behov for at få en opdatering fra tid til anden.

Omvendt så bør bestyrelsen have mere regelmæssig rapportering på de områder, der er dynamiske. Hver virksomhed bør definere, hvad der er mest relevant.

En god rapportering giver bestyrelsen en hurtig forståelse for virksomhedens cyberrisici, og hvordan virksomheden håndterer disse. Én tilgang kan være at skabe et enkelt dashboard, fordelt på eksterne og interne faktorer, som eksemplet viser.

 

I tillæg til at modtage og forstå dashboard-oversigten bør bestyrelsen udfordre ledelsen på, hvordan oversigten skal tolkes og deres anbefalinger på baggrund heraf.

Det kan også være værdifuldt at modtage en rapportering, der viser, hvordan virksomheden måles i sammenligning med andre virksomheder. Fx kan en årlig rapportering, der viser virksomhedens modenhed i forhold til en anerkendt standard for informationssikkerhed8, være grundlag for et benchmark til andre virksomheder i sektoren. Mange førende virksomheder bruger en sådan rapportering til at skabe tillid i bestyrelsen eller få accept for ekstraordinære sikkerhedstiltag.

5.

Har vi bygget en relation, hvor it og informations- sikkerhedschefen er trygge ved at være åbne over for os? Sikkerhedschefen har et stort ansvar, men har sjældent et mandat og en autorisation til at insistere på, at it-ledelsen og forretningsledelsen følger anvisninger. En stærk relation til bestyrelsen hjælper sikkerhedschefen til at rapportere det sande billede, inklusive hans/hendes vurdering af, om der bliver gjort en tilstrækkelig indsats. Eventuelle private møder med sikkerhedschefen kan skabe den nødvendige forståelse for, om virksomhedens indsats er tilstrækkelig i forhold til risikoen.

6.

Hvordan vurderes det om kontrolmiljøet og styringen af informationssikkerhedsområdet er effektivt? Dialog med objektive parter, fx intern revision eller eksternt tilsyn, kan give bestyrelsen en bredere forståelse. Bestyrelsen kan tilmed vælge at hyre egne uvildige rådgivere til at teste eller evaluere, om virksomhedens indsats tilstrækkeligt imødegår relevante risici.

Hvordan kan bestyrelsen forbedre dens indsigt i cybersikkerhed?

  • Afhold deep-dives om virksomhedens aktuelle situation. Dette kan dreje sig om virksomhedens cybersikkerhedsstrategi, typen af trusler,som virksomheden er eksponeret for, eller hvordan virksomhedens kronjuveler er beskyttet.
  • Deltag i eksterne arrangementer. Der findes en række konferencer og seminarer, der sætter fokus på den aktuelle risiko fra cyber.
  • Diskutér med medlemmerne af ledelsen, hvad de har lært fra andre virksomheder i deres professionelle netværk.
  • Spørg eksperter, om de vil give en præsentation af det aktuelle trusselsbillede, angribertrends og de mest almindelige svagheder. Diskutér efterfølgende med ledelsen om, hvordan de håndterer disse områder.


Udfordring 2

Mange virksomheder er under kontinuerlige angreb.
Hvordan kan bestyrelsen få tillid til, at den enkelte virksomhed er forberedt på at kunne håndtere en alvorlig hændelse uden et unødigt tab for forretningen?

Kilde: PwC, Consumer Intelligence Series: Protect.me, 2017.

Ingen virksomhed er immun over for et cyberangreb, og eksperter er i dag enige om, at det ikke er et spørgsmål om, man bliver ramt, men hvornår. Der bør derfor etableres et passende beredskab. Et skræmmende aspekt af cybersikkerhed er, at den enkelte virksomhed ikke nødvendigvis er den første til at opdage, at den er blevet kompromitteret.

Flere danske virksomheder er blevet kontaktet af CFCS9 eller andre internationale myndigheder, der har opdaget mistænkelig netværkstrafik, inden virksomheden selv har opdaget det.

Uanset hvordan hændelsen opdages, så er det næste spørgsmål: Hvad skal der gøres? Selvsagt så skal skaden begrænses, der skal ryddes op, og præventive tiltag skal forbedres. Men der skal gøres meget mere.

Den nye Databeskyttelseslov stiller fx krav om, at virksomheden uden unødigt ophold og inden for 72 timer skal notificere Datatilsynet, såvel som de individuelle registrerede personer, i tilfælde af et alvorligt brud på persondatasikkerheden. Et brud på Databeskyttelsesloven kan desuden medføre bøder og/eller krav om, at virksomheden indstiller en given brug af persondata, indtil disse er tilstrækkeligt sikret. Et brud kan have alvorlige konsekvenser for virksomhedens omdømme og i værste tilfælde betyde tab af kunder og koste medlemmer af ledelsen deres position.

Alvorlige cyberhændelser kan altså medføre store omkostninger for virksomheden. Omkostningerne forbundet med efterforskning og udbedring af hændelsen, såvel som kompensation til kunder og samarbejdspartnere, kan løbe op i store summer, som Maersk oplevede i sommeren 2017, hvor omkostningerne forbundet med et cyberangreb blev gjort op til mellem 250 og 300 millioner dollars – eller mellem 1,6 og 1,9 milliarder kroner11

Sandsynligheden for et cyberangreb er meget høj. Virksomheder, der har reageret effektivt i tilfælde af et angreb, lægger meget vægt på værdien af en god plan og løbende træning i denne. Derfor er det overraskende, at 54 % af respondenterne svarer, at deres virksomhed ikke har en plan for håndteringen af hændelser12.

Det er vigtigt, at bestyrelsen spørger ind til virksomhedens cyberberedskab, og om hvorvidt der foreligger planer for at håndtere cyberhændelser. Hvis virksomheden ikke har etableret sådanne planer og tester dem regelmæssigt, bør bestyrelsen presse på for at få et beredskab etableret og/eller afprøvet. Hvis der findes planer, så bør bestyrelsen spørge ind til, hvad de omfatter. Der bør være planer, der dækker den tekniske genetablering af systemer og data (Disaster Recovery Plans), samt planer for hvordan forretningen kan fortsætte i tilfælde af manglende it-understøttelse eller adgang til data (Business Continuity Plans).

Planerne bør beskrive, hvem der skal involveres i en krisesituation, herunder kommunikation, økonomi, forretningsledelsen, jura såvel som selve responsteamet og it-specialister. Planerne bør også fokusere på, hvilke eksterne ressourcer og specialister, der er tegnet aftale med, og som kan tilkaldes for at støtte de interne teams.

Truslen fra cyberangreb er i vækst, og bestyrelser bør derfor forholde sig til dette område mere end nogensinde før. Det begynder med, at bestyrelsen erkender, at ansvaret for håndtering af cyberrisici ikke alene er et it­anliggende, eller noget som sikkerhedschefen i virksomheden skal løse alene.

Et nøgleelement i beredskabsplanerne er procedurer for notificering og eskalering. Hvornår skal bestyrelsen notificeres? Hvad er procedurerne for at kommunikere med myndighederne? Hvornår og hvordan vil man notificere andre interessenter – herunder individer, hvis personoplysninger er blevet kompromitteret?

Spørg desuden ledelsen om beredskabsøvelser og -test, samt resultaterne af de senest gennemførte test, og hvilke forbedringstiltag disse har medført. Nogle bestyrelsesmedlemmer kan fx bede om at observere eller deltage i skrivebordsøvelser for dermed at få en bedre forståelse for ledelsens tiltag til at håndtere en kritisk hændelse.

Endelig bør bestyrelsen spørge ledelsen, om hvorvidt de har opdateret planer
og implementeret præventive tiltag på baggrund af erfaringer fra offentligt kendte hændelser, der har ramt andre virksomheder.

Bestyrelsen bør insistere på, at cybersikkerhed håndteres som en tværorganisatorisk udfordring, og at de rette repræsentanter fra ledelsen og forretningen deltager i diskussionen.

1 - Kilde: wsj.com/articles/one-year-after-notpetya-companies-still-wrestle-with-financial-impacts-1530095906
2 - Kilde: PwC, 2017 Annual Corporate Directors Survey, October 2017
3 - Kilde: PwC, 2017 Annual Corporate Directors Survey, October 2017
4. Kilde: Ponemon Institute, Data Risk in the Third-Party Ecosystem, September 28, 2017.
5. Kilde: PwC, Global State of Information Security® Survey 2018, October 2017.
6. Kilde: PwC, 2017 Annual Corporate Directors Survey, October 2017
7. Kilde: Source: PwC, 2017 Annual Corporate Directors Survey, October 2017.
8. Der findes en række anerkendte standarder. Informationssikkerhed: IEC/ISO27001:2013 er den standard, der er mest udbredt blandt europæiske virksomheder og beskriver god praksis for at etablere et ledelsessystem for informationssikkerhed. Standarden er understøttet af kontrolmål, hvor NIST 800-34 primært anvendes af nordamerikansk-ejede virksomheder, mens NIST CSF-standarden og CIS20-tandarderne har et mere teknisk snit og finder voksende udbredelse i at håndtere cyberrelateret risici. ISF Standard of Good Practice forudsætter medlemskab af Information Security Forum og anvendes primært af de største globale organisationer.
9. Center for Cybersikkerhed, der er en enhed under Forsvarets Efterretningstjeneste, overvåger den nationale infrastruktur.
10. Kilde: PwC, Consumer Intelligence Series: Protect.me, 2017.
11. Kilde: A.P. Møller – Mærsk A/S, 2017 Annual Report, February 9, 2018
12. Kilde: PwC, Global State of Information Security® Survey 2018, October 2017

Kontakt os

Følg PwC