Cybersikkerhet på styrerommet
HVA ANDRE MENER: Det er ingen nyhet at internett utgjør en stadig større trussel for organisasjoner. Det har mange IKT-avdelinger jobbet lenge med. Det begynner også å sige inn at denne trusselen er et topplederansvar som berører hele virksomheten. Men hva skjer på styrerommene?
I min første kronikk som styreleder i DND har jeg mange tema å velge mellom med basis i foreningens allsidige virksomhet og mange faggrupper. Jeg velger likevel å starte med det som ligger mitt hjerte nærmest, nemlig cyber security - eller cybersikkerhet på halvveis norsk.
La meg ta det siste først: Hva er det norske ordet for “cyber security”? Det naturlige stedet å starte er Språkrådet, men et søk her ga ingen treff. Jeg prøvde ulike varianter, og ordet “cybersikkerhet” ga følgende forslag til språkartikkel: Skråsikkerhet. Ikke helt i riktig gate da cybersikkerhet er det stikk motsatte for mange. Jeg ringte også Språkrådet uten at det ga en avklaring.
Et søk på norske nettsider viste at ordet “cybersikkerhet” ser ut til å råde grunnen. Det understøttes av tiltak nr. 27 i rapporten Sikkerhetsfaglig råd som Nasjonal sikkerhetsmyndighet (NSM) overleverte regjeringen i fjor høst: “IKT-sikkerhet bør erstattes av cybersikkerhet som begrep i politiske og strategiske dokumenter. Dette kan implementeres gjennom revisjon av nasjonal strategi for informasjonssikkerhet”. NTNU CCIS har for øvrig publisert innlegget “Informasjonssikkerhet, cybersikkerhet, datasikkerhet - hva er forskjellen?” som er verdt å lese.
Internett er en uunnværlig ressurs som gjennomsyrer samfunnet. Hvordan klarte vi oss uten for en generasjon siden? Samtidig truer det våre verdier på ulike områder, og den samfunnsmessige risikoen har økt betydelig. Alt dette vet vi, og for mange startet denne erkjennelsen med avsløringene til Edward Snowden i 2013. Media melder om stadig flere og høyprofilerte cyberangrep.
Norske myndigheter har skrevet mange rapporter om utviklingen, antall hendelser øker dramatisk her i landet, og det internasjonale bildet forsterker det hele. På Sikkerhetskonferansen til NSM i år ble rapporten Risiko 2016 presentert med en entydig melding: “Det er stor risiko forbundet med IKT-angrep og annen spionasje i 2016 og årene fremover”. Der står det også at “svakheter i lederforankring og styring av sikkerhetsarbeidet i et stort antall virksomheter kan få konsekvenser for virksomhetene og for nasjonal sikkerhet”. Sterke ord.Det bringer meg over på ledelsens ansvar for sikkerhet. Mange ser på det som et teknisk område underlagt IKT-sjefen med svak integrasjon til resten av virksomheten. Trusselbildet er stort, mangfoldig og ofte teknisk orientert, noe som understøtter dette synet. Dette er i ferd med å snu, og mange bedrifter løfter ansvaret opp til toppledelsen.
Basert på en internasjonal undersøkelse meldte Norsis i juni at ni av ti toppledere i mellomstore norske bedrifter forventer datasikkerhetsbrudd. 90 prosent altså. I den globale topplederundersøkelsen til KPMG sier en av tre at cybertrusselen er den største utfordringen for selskapet, mens en av fem sier at cybersikkerhet er risikoen som bekymrer aller mest. Andre melder om tilsvarende tendens. Dette er en strategisk risiko for hele virksomheten - og dermed for toppledelsen.
I kjølvannet av dette melder det seg et viktig spørsmål: Hva skjer på styrerommene? Det finnes ikke like mye empiri her, men det er likevel en klar trend at styrene skjønner alvoret, ser konsekvensene og tar ansvar - spesielt i større selskaper. Det som startet som kun teknologi er i ferd med å bli en integrert del av styrets arbeid i takt med økt risiko, større mediefokus, nye lover, investorkrav og andre presserende forhold. For mye står på spill. Det finnes litteratur her, men det meste ligger foran oss. «Cyber Risk Oversight Handbook for Corporate Boards» fra The National Association of Corporate Directors i USA er et eksempel. De har lagd fem prinsipper for styrets arbeid:
- Forstå at cybersikkerhet er et risikoområde for hele virksomheten.
- Forstå de juridiske implikasjonene av sikkerhetsrisikoen for selskapet.
- Ha aksess til ekspertise og sett jevnlig av tid på agendaen.
- Ledelsen må etablere et rammeverk for risikohåndtering.
- Ledelsen må ha en metode for å vurdere skadene av sikkerhetshendelser.
Dette kan understrekes med et sitat fra EU-rapporten ENISA Threat Landscape 2015:
“The biggest vulnerability remediation rates have been achieved when board of directors and executive management have been accountable for breaches. Interestingly, when breach accountability was with security department, the lowest remediation rates have been achieved”.
Cybersikkerhet er et stort område i DND med faggrupper, kurs og eventer. Mange kjenner den årlige konferansen Sikkerhet & Sårbarhet i Trondheim, og i oktober arrangeres nok en gang Sikkerhetssymposiet i Bergen som i år har tittelen “Alltid beredt!”. Det er et godt motto for alle som jobber med sikkerhet. Oktober er dessuten Nasjonal Sikkerhetsmåned. Bruk den vel. I 2012 deltok jeg på den store RSA-konferansen i San Francisco der daværende FBI-sjef Robert Mueller sa følgende i sin keynote:
“There are only two types of companies: those that have been hacked and those that will be. And even they are converging into one category: companies that have been hacked and will be hacked again”.
En klar melding til alle styrerom.
Terje Wold er styreleder i DND.