Bestyrelsens Ansvar for Cybersikkerhed

Grundlæggende om cyberangreb

Først og fremmest, er det et teknisk emne, som for mange kan være ret abstrakt, derfor vil vi kort løbe igennem de væsentligste typer af cyberangreb, som din virksomhed kan blive udsat for. Derudover er det vigtigt at være opmærksom på, at mange organisationer rammes af cyberangreb før eller siden (Deloitte 2023)

Der er fire hovedtyper af cyberangreb (zscaler 2023):

Phishing:

  • kriminelle bruger social engineering til at udgive sig for at være en betroet medarbejder, i et forsøg på at overtale dig til at udlevere følsomme oplysninger, eller sende penge et sted hen.

Ransomware:

  • Kriminelle sender en skadelig software (virus) på IT-systemer for at låse eller kryptere data, hvilket forhindrer adgang, indtil en løsesum er blevet betalt

 Malware:

  • Skadelig software udviklet til at angribe teknologisystemer, f.eks. Ved at stjæle data eller kreditkortoplysninger.

 Insider-trusler:

  • Databrud forårsaget – ofte ubevidst – af personer internt i en organisation som har adgang til følsomme data

Lad være med at betale en løsesum ved cyberangreb

Et af de mest kontroversielle spørgsmål i Cybersikkerhed er, om virksomheder bør betale en løsesum, hvis de rammes af et cyberangreb. Vores klare anbefaling er, at du ikke bør betale løsesum, og det vil vi gerne begrunde:

Først og fremmest, er det kriminelle du i tilfælde af et cyberangreb er i “forhandlinger” med, og derfor er der ingen garanti for, at du ikke bliver snydt, og stor risiko for, at de kriminelle løber med pengene, så snart du har betalt uden at gendanne dine data. Det er selvfølgelig ikke blot af moralske årsager, at vi mener det er en dårlig idé at betale løsesum, men en yderligere pointe er, at du ved ikke at betale løsesum, undlader at belønne kriminelle for deres handlinger.

Bestyrelser bør derfor fastlægge en klar politik om ikke at betale løsepenge og i stedet fokusere på den potentielt altafgørende forberedelse og forebyggelse vi kommer omkring i de følgende punkter.

Hav en handlings- og kriseplan klar for håndtering af cyberangreb

Udvikling og implementering af en omfattende handlings- og kriseplan er afgørende for effektiv håndtering af cyberangreb. Først bør i fokusere på at få kortlagt de eventuelle trusler og risici der kan opstå for forretningen – og identificere om nogle områder af forretningen skulle være særligt udsatte. Derefter bør i analysere de sikkerhedsbehov I har i jeres organisation, og derpå arbejde proaktivt med at implementere forebyggende tiltag på risiko-områder.
Det er dog svært at gardere sig fuldstændigt, og hvis uheldet skulle være ude, er det også vigtigt at kunne handle på det:

  • Sørg for at danne et overblik over hvilke data der kan reddes og hvad der er tabt. Evaluer derefter på, om det tabte, kan reetableres og ved hvilken omkostning.
  • Sørg for at kommunikere proaktivt til forretningspartnere og andre, som kan kompromitteres af det angreb din virksomhed er blevet udsat for.

Planen bør indeholde trinvise procedurer for, hvordan organisationen reagerer på et angreb. Dette inkluderer kommunikation med interessenter, juridiske aspekter og tekniske trin for at inddæmme og håndtere angrebet. Bestyrelsen skal arbejde tæt sammen med ledelsen for at sikre, at planen er robust og at denne opdateres regelmæssigt.

Sørg for regelmæssige backups af alt vigtigt data

Cyberangreb kan som nævnt ovenfor forårsage tab af data, og derfor kan det være afgørende at have en solid backup-strategi på plads. Vores råd skal derfor lyde: sørg for at foretage regelmæssige og pålidelige backups, således at et tab af data ikke skyder dig tilbage til start, men måske kun et par dage eller uger. Her bør bestyrelsen sørge for, at organisationen har procedurerne på plads, for at tage backups og lige så vigtigt sørge for at gendannelsensprocessen sikrer at data nemt og hurtigt kan reetableres.

Sørg for at alle interne IT-systemer er sikre

Cybersikkerhed handler ikke kun om teknologi; det handler i høj grad også om mennesker, og langt de fleste cyberangreb, starter ved menneskelige fejl (KnowBe4 2020).

At benytte sig af Zero-Trust-Architecture (ZTA), er derfor en af de lavest hængende frugter, hvad angår Cybersikkerhed. Første skridt på vejen mod Cybersikkerhed, er at identificere hvad der skal beskyttes. ZTA indebærer at konstant sikre, at alle der tilgår virksomhedens systemer autoriseres (Crowdstrike 2023).

Et andet vigtigt element er uddannelse og opmærksomhed. Bestyrelsen skal arbejde på at sikre, at medarbejdere på tværs af organisationen forstår de grundlæggende principper i Cybersikkerhed, såsom stærke adgangskoder og opmærksomhed på phishing-forsøg.

Overvåg og evaluer jævnligt Cybersikkerhedsstrategien

Cybertrusler udvikler sig konstant, og det samme bør din organisations cybersikkerhedsstrategi. Bestyrelsen skal sørge for, at der er en regelmæssig evaluering af strategien og dens effektivitet. Bestyrelser bør derfor have – eller tilegne sig –  en dybere forståelse af de tekniske og organisatoriske udfordringer, der er involveret i Cybersikkerhed, og aktivt stille spørgsmål og opfordre til innovation og tilpasning i organisationen (Diligent 2023).

Samarbejd med eksterne eksperter og myndigheder

At arbejde proaktivt med Cybersikkerhed indebærer at være forberedt på det ukendte. Samarbejde med eksterne eksperter og myndigheder kan være en afgørende ressource i tilfælde af et alvorligt angreb. Derfor opfordrer vi bestyrelser til at etablere forbindelser til cybersikkerhedsorganisationer og myndigheder, der kan bistå med håndtering af eventuelle cyberangreb (Digitaliseringsstyrelsen 2022).

Konklusion

Cybersikkerhed er ikke længere blot en sjælden teknisk bekymring, det er en forretningsmæssig nødvendighed. Bestyrelser bør forstå, at de har en central rolle i beskyttelsen af organisationens digitale aktiver. Vi opfordrer dig til at tage dette emne alvorligt og arbejde tæt sammen med din organisations ledelse for at styrke jeres Cybersikkerhedsstrategi.

Hos Board Institute arbejder vi dedikeret på at ruste bestyrelsesmedlemmer med de nødvendige værktøjer og kompetencer til at tackle de udfordringer og problemstillinger man møder som bestyrelsesmedlem. Derfor håber vi, at dette indlæg har gjort dig lidt klogere. Hvis en bestyrelsesuddannelse kunne være det næste skridt på din karrierestige, så ræk ud til CEO Marius Sangild på ms@jackie-phillip.dk

Tak fordi du læser med, og vi ser frem til at dele mere indsigt med dig i fremtiden.