Leder fra PwC's Cybercrime Survey 2019

Teknologi forandrer konstant vores hverdag. Den teknologiske it-udvikling sker i forskellige sprints og har skabt store ændringer i vores samfund, siden man indførte den første edb-maskine i 1960 til enkelte centrale opgaver. Senere bevægede man sig mod en bredere teknisk it-anvendelse, og udbredelsen tog for alvor fart med personlige computere og mobile enheder. I dag lever vi i et samfund, hvor næsten al teknologi er forbundet over internettet.

Hver gang der sker et ”teknologiskifte”, er der også behov for et ændret fokus på sikkerhed. Således har sikkerhed udviklet sig fra at være fysisk sikkerhed, i form af fx en aflåst dør til mainframen i kælderen, til it-sikkerhed med fokus på driftssikkerhed og adskillelse af kritiske server-applikationer over til en udbredt anvendelse af pc’er og mobiler i det daglige arbejde. I dag skal vi håndtere cybersikkerhed af høj kompleksitet, og risikoen for cybertrusler er større end nogensinde før . De gamle sikkerhedsprincipper er derfor ikke længere tilstrækkelige.

Øget fokus fra topledelsen

Cybercrime Survey har de seneste fem år vist en udvikling inden for sikkerhedsområdet, der er blevet påvirket gennem øgede krav fra bl.a. GDPR, men også af alvorlige cybersikkerhedshændelser, der har fået store konsekvenser for danske og udenlandske virksomheder. Undersøgelsen viser i år, at 51 % har været ramt af en sikkerhedshændelse. Det er en stigning på syv procentpoint siden sidste år (44 % i 2018). Forøgelsen i sikkerhedshændelser kan være medvirkende til, at topledelsen har fået et større fokus på cybersikkerhed. 76 % af respondenterne angiver således i 2019, at topledelsen i nogen eller i høj grad har fokus på balancen mellem cybertrusler og investeringer i cybersikkerhed. Undersøgelsen viser også, at det særligt er ledelsen, der bekymrer sig om cybertruslen, hvilket kan være med til at forklare, at der i dag investeres mere i cybersikkerhed. Undersøgelsen viser også, at de større virksomheder har et gennemsnitligt cybersikkerhedsbudget på 19 mio. kr., mens de mindre virksomheders tilsvarende budget er 700.000 kr.

Fra styring og compliance til forebyggelse og opdagelse

Men selvom topledelsen har fået et større fokus på cybersikkerhed, kan flere virksomheder med fordel sætte øget fokus på netop de forbedringstiltag, der reelt øger cybersikkerheden. Det er tiltag, der på længere sigt skaber styring og lever op til mange compliancekrav, samt giver et godt grundlag for en stabil sikkerhed. Udfordringen er dog, at virksomhederne er sårbare nu. Derfor er det vores anbefaling, at virksomhederne skalrette fokus mod de sikkerhedstiltag, der mindsker risikoen for cyberangreb på kort sigt. Det betyder, at der skal skærpet fokus på implementering af tekniske sikkerhedsløsninger, der forebygger og opdager sikkerhedshændelser. Et fokus som også kommer til udtryk i den nationale strategi for cyber- og informationssikkerhed, hvor der lægges vægt på sikkerhedstiltag af mere teknisk karakter.

Fra ”need to know” til “need to protect”

Kompleksiteten og naturen af cybersikkerhed kræver også et opgør med de gamle sikkerhedsprincipper. Mange virksomheder tillader i dag både kunder og leverandører adgang til deres systemer og fortrolige data. Det er derfor ikke tilstrækkeligt blot at fokusere på funktionsadskillelse og ”need-to-know”; der er behov for fokus på ”need-to-protect”, hvilket kræver en større involvering af forretningen og ledelsen. Og her ligger et centralt holdningsskifte. Det kræver nye kompetencer hos sikkerhedsfolkene, der skal kunne oversætte de ofte meget tekniske og komplekse sikkerhedsmæssige udfordringer til et risikobillede, der kan anvendes som beslutningsgrundlag for forretningen og ledelsen. Lige nu er holdningsskiftet nødvendigt for at sikre den langsigtede investering i beskyttelse mod cybertruslerne ud fra en risikovurdering, der fokuserer på beskyttelse af virksomhedens absolut mest kritiske aktiver. Det er derfor tid til en mere forretningsfokuseret tilgang til sikkerhed, hvor fokus er på reel cybersikkerhed med forretnings- og ledelsesinvolvering.

Stor tak til de flere end 300 erhvervsledere og fagfolk, der har svaret på PwC’s Cybercrime Survey 2019, og til undersøgelsens samarbejdspartnere, der har været med til at bakke op om tiltaget.

Læs Cybercrime Survey 2019