Cybersikkerhed for bestyrelser

Cybersikkerhed er ikke længere "nice to have" men "need to have". På trods af at cybersikkerhed har en tendens til at være et område, som mange bestyrelser og virksomhedsledere har svært ved at få reelt fat om, har man dog ikke længere et valg om at tage stilling til IT-sikkerhed, da en ny lovgivning og et øget trusselsbillede er en realitet. Cyberkriminalitet rammer bredt på tværs af alle brancher og virksomhedsstørrelser. Herunder cyberspionage og cyberaktivisme, som fortsat er stigende - og i sidste ende er det alle dele af et samfund, der bliver ramt.

Introduktion

Cyberkriminalitet er i dag på størrelse med verdens største industrier, og senest har Ruslands krig i Ukraine øget trusselsbilledet mod danske og den vestlige verdens virksomheder. Center for Cybersikkerhed (CFCS), der er en del af FE, vurderer at trusselsniveauet mod danske virksomheder generelt er meget højt i forhold til cyberkriminalitet og cyberspionage. Yderligere vurderer man at cyberkriminalitet udføres af professionelle og velorganiserede grupper, der er robuste i forhold til myndighedernes indgriben. 

På trods af at cybersikkerhed har en tendens til at være et område, som mange bestyrelser og virksomhedsledere har svært ved at få reelt fat om, har man dog ikke længere et valg om at tage stilling til IT-sikkerhed, da en ny lovgivning og et øget trusselsbillede er en realitet. Cyberkriminalitet rammer bredt på tværs af alle brancher og virksomhedsstørrelser. Herunder cyberspionage og cyberaktivisme, som fortsat er stigende - og i sidste ende er det alle dele af et samfund, der bliver ramt.

I dette nyhedsbrev vil vi give en introduktion til den trussel cyberangreb udgør i 2023. Dertil vil vi se nærmere på hvordan den nye lovgivning NIS2 vil øge kravene til virksomheders sikkerhedstiltag i forbindelse med forebyggelse af mulige angreb og dykke ned i enkelte cases. Afslutningsvis vil vi præsentere dig for muligheder for at få opdateret din værktøjer indenfor cybersikkerhed

Læse mere her

"Cyberangreb er blandt de største forretningsrisici, virksomheder står overfor, og koster på både bundlinje, kundeforhold og omdømme mm. Derfor bør der stilles skarpet på cyber- og informationssikkerhed i bestyrelseslokalet.”
Kirsten Hede, Projektdirektør for Bestyrelsesforeningens Center for Cyberkompetencer

Hvordan ser lovgivningen ud?
Selskabslovens ledelseselementer er den styrende lovgivning i forhold til cyberangreb. Det betyder, at bestyrelsesmedlemmer og ledelsesmedlemmer også i forhold til cybersikkerhed har ansvar for at lede virksomheden forsvarligt, i god tro og på oplyst grundlag. Dette personlige og solidariske ansvar udbygges, når alle virksomheder fra oktober 2024 skal forberede sig på, at en ny og omfattende lovgivning ved navn NIS2 bliver til en realitet. NIS2-kravene skal blandt andre gode målsætninger være med til at løfte virksomhedernes og borgernes digitale sikkerhed, øge konkurrenceevnen, beskytte aktiver og samtidig forhåbentlig understøtte den grønne omstilling.

Hvordan forbereder man sig på NIS2 og den generelle udvikling?
Alt efter hvilken sektor og organisation virksomheden opererer i, vil NIS2 lovgivningens regler variere. Dog vil en række generelle temaer være relevante for alle virksomheder og organisationer. Dertil vil det være en fordel, at man på ledelsesgangene forbereder sig på NIS2 allerede nu. Blandt de gode råd er at udarbejde en analyse, der bl.a. omfatter følgende:

  • En gennemgang af organisationens styring af cyberrisici.

  • En modenheds- og GAP analyse mellem organisationens nuværende tiltag og kommende krav.

  • Identifikation af organisationens nuværende digitale økosystem og væsentlige leverandører (primært digitale).

  • Identifikation af hvilke af organisationens kunder, der også måtte blive omfattet af lovgivningen.

  • Undersøge på hvilket grundlag, organisationens direktion og bestyrelse har sammensat risikostyringen indenfor cybersikkerhed

Kilde: De 6 H’er for NIS2 - Af Christel Teglers og Søren Skibsted, advokater og partnere i Kromann Reumert

“Der sker mange målrettede hackerangreb dagligt blot i Danmark, og hele 58% af danske virksomheder har været udsat for én eller flere sikkerhedshændelser indenfor de seneste 12 måneder."
PwC,

Aalborg Teater ramt af mystisk phising angreb
Cyberangreb sker på mange niveauer, og selvom det typisk er de store cyberangreb der bliver nævnt i medierne, foregår der hver dag cyberkriminalitet, hvor virksomheder, forbrugere og privatpersoner bliver ramt.

For nyligt blev Aalborg Teater ramt af et phishingangreb, hvor flere end 100 falske Facebook profiler forsøgte at få gæsterne til at deltage i en gratis forestilling, hvis blot de indtastede deres kontooplysninger. Det blev for pressechef Thomas Villefrance her tydeligt, at alle virksomheder bør være på forkant med deres IT-sikkerhed, så de ved hvordan de skal agere i sådan en situation.

“Kunstens verden er normalt et magisk sted for kreativ udfoldelse, men ingen branche kan vide sig sikker, når hackere er på jagt efter løsesummer eller personfølsomme oplysninger”.

Det lykkedes dog Aalborg Teater at komme mere eller mindre helskindet ud af angrebet, som i dag har sat dybe spor i virksomheden, som nu handler så proaktivt som muligt på IT-sikkerheden.

“Når Thomas Villefrance tænker tilbage på angrebet, bliver han både mindet om den sårbarhed, der pludselig bliver meget tydelig, men også om den erfaring, som hændelsen har bragt med sig”.

Kilde: https://sikkerdigital.dk/virksomhed/virksomhedscases/aalborg-teater

"Alle bliver angrebet hver eneste dag, uanset om du er Mærsk, Demant eller den mindre lokale virksomhed. Det er ikke et spørgsmål om det sker, men hvornår det sker og hvor godt du er forberedt.”
Jens Stener, Direktør for Bestyrelsesforeningens Center for Cyberkompetencer
Mangler du en værktøjskasse?

Cybersikkerhed kan være uhåndgribeligt og svært at forholde sig til, hvis man ikke er ekspert på området. Her er det essentielt at få skabt en god struktur og skabt overblik. Derudover kan det være uvurderligt at øve sig og få en tæt-på-livet oplevelse, som kan sætte en potentiel hændelse i perspektiv.

Bestyrelsesforeningens Center for Cyberkompetencer har udviklet en specielt designet cybersimulator, hvor bestyrelsesmedlemmer og ledelsesmedlemmer kan opleve et fiktivt cyberangreb på en virksomhed. Der simuleres ud fra et bestyrelses- og ledelsesperspektiv et cyberangreb på en virksomheds IT- og datainfrastruktur. Læring sker med baggrund i genkendelige ledelsesdilemmaer og gode debatter om afvejningerne i virksomhedens ledelse.

Ambitionen med denne cybersimulator er netop at give et håndgribeligt og virkelighedsnært billede af hvor alvorlig en cyberhændelse er, og hvordan man agerer i sådan en situation. Her får du altså ikke bare rådgivning og tunge dokumenter, men bliver sat ind i en virkelighed, som ruster dig til at imødegå den øgede cyberrisiko og styrke konkurrenceevnen med digitale strategier.

Bestyrelsesforeningens Center for Cyberkompetencer er lokaliseret på Frederiksberg, hvor de i tæt samarbejde med CBS, erhvervslivet og Industriens Fond, tilbyder træningsdage til bestyrelsesmedlemmer og ledelsesmedlemmer, der ønsker konkret rådgivning og værktøjer.

Find uddannelsesdagene på hjemmesiden for Bestyrelsesforeningens Center for Cyberkompetencer.

“Bestyrelserne kan have en vis berøringsangst pga. den kompleksitet, specialistsproget og uforudsigeligheden, der ligger icybersikkerhed.  Rigtig mange vil gerne, men savner måske værktøjskassen og har svært ved at finde ud af, hvordan de skal rammesætte og tage hånd om emnet og opgaven i deres rolle som bestyrelse.”
Kirsten Hede, Projektdirektør for Bestyrelsesforeningens Center for Cyberkompetencer
Vil du lære mere?

Anbefalet artikel

Bestyrelsesforeningens Center for Cyberkompetencer har i samarbejde med ledende eksperter udarbejdet vejledningen ”Cybersikkerhed for Bestyrelse og Direktion” , der kan findes via dette  Link.


Brug for mere inspiration?

Tilmeld dig vores nyhedsbrev og få Inspiration, viden og perspektiver på din lederudvikling - og hold dig opdateret på seneste forskning, trends og tendenser inden for leadership