Debatt: Styrer må forstå at cyber-sikkerhet er deres ansvar – også i SMB-er
Norske styrer – særlig i SMB-er – er ikke godt nok rustet til å kunne rådgi og sikre bedriftenes dataverdier. Det er et massivt problem, og vi ser alt for ofte bedrifter bli rammet unødvendig av IT-kriminelle.
Det norske næringslivet er et av de mest digitaliserte i verden. Det kan vi være stolte av, for det – sammen med det mest digitaliserte offentlige systemet – betyder at vi som samfunn og næringsliv er omstillingsklare og effektive som få andre.
Men mens vi høster fordelene ved et digitalt system – bare spør tyskerne eller amerikanerne om hvordan skatteinnbetalinger med fysiske papirer føles i 2022 – så har det en bakside, nemlig markant flere kritiske angrepsvinkler for IT-kriminelle.
For det er nå engang lettere for utenlandske aktører å tvinge til seg tilgang til en server, enn et fysisk arkivskap i Oslo.
Derfor er Norge også et yndet mål for hackere – ikke fordi vi er mer hatet enn andre nasjoner, men ganske enkelt fordi det er flere muligheter for profitt. Og på tross av at spaltene oftest fylles med store angrep mot 7-Eleven, William Demant eller Maersk, så betyr demokratiseringen av ransomware – altså at man kan kjøpe ferdigutviklet ransomware som hyllevare – at også små og mellomstore norske bedrifter rammes.
Og hvem har ansvaret? I min verden er det styrene.
Her har man ikke det samme fokuset på IT-sikkerhet – og ikke minst IT-sikkerhetstrening, og derfor rammer et ransomware-angrep hardere. Ifølge de seneste tallene fra SMV Danmark, så opplevde hver fjerde danske SMB et brudd på deres IT-sikkerhet i 2021 – et tall som forventes å stige i 2022.
Og hvem har ansvaret? I min verden er det styrene.
Regnskap, jus og altså også IT-sikkerhet
Selv om det kan høres sprøtt ut, er det ofte de mest banale sikkerhetsforanstaltningene som det ikke er orden på. For eksempel bruker 24 prosent av nordiske SMB-er ikke de to mest basale IT-sikkerhetsforanstaltningene: nemlig oppdatering av operativsystemer og sikkerhetskopiering.
Vi sier det en gang til: 24 prosent av SMB-er oppdaterer ikke Windows-PC-ene eller tar sikkerhetskopi av forretningskritiske data.
Man kan kanskje argumentere for at en SMB er unnskyldt: De færreste, særlig de små av de små og mellomstore bedriftene, har neppe sin egen IT-avdeling, men i stedet en altmuligmannsdirektør som både er CEO, CIO, CMO og CFO, mens han/hun samtidig også vanner blomster, fikser kaffemaskinen når den går i stykker, og setter opp nye PC-er.
Av samme grunn søker styrene hjelp utenfra på kritiske områder: Det hentes inn revisorer når regnskapsåret er over, og man har advokathjelp når kontraktene skal gjennomgås. De følger regnskaps- og bedriftslover, og følger tilhørende sjekkpunkter.
Men hva gjør styrene når det kommer til cyber-sikkerhet? De fleste gjør ingenting, og har i stedet fokus på drift, bunnlinje og resultater – for det finnes ikke sjekkpunkter når det kommer til cyber-sikkerhet.
Styre – lag deres egne sjekkpunkter
Det er styrets plikt å støtte bedriften på best mulig måte, og i 2022 handler det altså også om IT-sikkerhet. Mens en større IT-sikkerhetsstrategi krever enten dedikerte interne krefter eller eksterne ekspertegenskaper, så kommer man langt ved ganske enkelt å stille krav til bedriften på to områder: banal IT-hygiene og IT-trening.
Banal IT-hygiene handler om de 24 prosentene som ikke oppdaterer arbeidsenhetene sine. IT-kriminelle benytter oftest velkjente sårbarheter i ikke-oppdaterte maskiner til å bryte gjennom, og husker man bare å ha oppdaterte PC-er og enheter, så lukker man mange hull.
Det krever kanskje innkjøp av nye arbeids-PC-er hvis de eksisterende er for gamle, men bruk heller 30.000 på nye PC-er enn å miste all tilgang til bedriftens data for godt. Det samme gjelder sikkerhetskopiering og bruk av end-point-sikkerhetsløsninger: Det er hverken dyrt eller omstendelig, og den benyttede tiden er like nødvendig som den som brukes på å finne gamle kvitteringer til regnskapet.
Til sist kommer IT-trening. Selv om man kun er 5-10 ansatte i den lille SMB-en, så må alle ha den samme forståelsen av hva man gjør når en mistenkelig epost tikker inn. Også her må styrene stille krav og hjelpe bedriftene med de rette tiltakene.
For gjør styrene ingenting, kommer det ikke til å være noen bedrift å styre.