Redaksjonelt

Cybersikkerheten i norsk næringsliv er for dårlig!

av Caroline Hordvik
15.08.2024

Cybersikkerhet er ikke bare er en teknisk utfordring, men en strategisk prioritet som krever samarbeid og engasjement på tvers av alle nivåer i samfunnet. Vi må gi norske SMB «hjelm og vernesko» mot trusler. Vi trenger konkrete handlingsplaner, og vi trenger særnorske regler. Les mine forslag her.

Det er for sent å prioritere risikoanalyse når hackere har fått kontroll over selskapet ditt. Får du alvorlige problemer, kan disse fort smitte til leverandører, kunder og andre kontaktpunkter.

Jeg vet av erfaring - både som tidligere revisor, , som tidligere økonomisjef, konsulent og nå som selskapsleder at både små, mellomstore og store virksomheter er for dårlige på risikovurdering og risikostyring. For mange behandler risiko som et engangsarbeid, og det er ikke godt nok! Risikostyring er et kontinuerlig arbeid.

En samfunnskritisk utfordring

Cybersikkerhet er av de mest kritiske utfordringene for bedrifter og offentlige organisasjoner. Et angrep kan føre til kostbare sikkerhetshendelser som leder til driftsavbrudd, tap av data og omdømmetap. Å unngå dette handler også om langsiktig verdiskaping ved å opprettholde kundetillit og sikre kontinuerlig drift.

På samfunnsnivå er det tre sentrale aspekter som er viktig:

1) Hvordan kan og bør virksomheter jobbe systematisk med risikostyring?
2) Hvordan vi kan sikre bedre informasjonsdeling om cybersikkerhet på tvers av bedrifter?
3) Er regelverket godt nok til å sikre at Norge som samfunn er forberedt på å takle stadig sterkere digitale trusler?

Manglende kunnskap og bevissthet

Svarene på det første punktet vet vi. Det finnes etablerte rutiner og analysemetodikk som kan overføres. Jeg og mine kolleger i Azets Consulting har risikostyring som en prioritert del av alle prosjekter vi gjør for alle kunder, og vår «best practice» kan overføres til andre.

Informasjonsdeling om cybersikkerhet på tvers av selskaper og bransjer er også interessant. Her er det mange gode tanker. Utfordringen for svært mange små og mellomstore bedrifter er at de i tillegg til å være for dårlig på risikovurdering og risikostyring, også har begrenset med ressurser.

Jeg mener vi må «back to basics»: Vi kan ikke begynne med informasjonsdeling, fokus og trening når store deler av SMB-segmentet ikke har et bevisst forhold til cybersikkerhet. Første steg i å løse et problem er som kjent å erkjenne at problemet er til stede.

Sammenligning: HMS-løftet

Norsk arbeidsliv er blant de beste i verden innen helse, miljø og sikkerhet (HMS). Det tok likevel lang tid før bygg- og anleggsbransjen tok HMS på alvor, og et godt regelverk måtte til.

Vi må nå gi norske SMB «hjelm og vernesko» hva angår cybersikkerhet. Det betyr at vi trenger konkrete handlingsplaner, og vi trenger særnorske regler for små og mellomstore bedrifter.

Design uten navn (23).png

Under Arendalsuka deltok Caroline Hordvik i en topplederdiskusjon rundt cybersikkerhet i regi av Abelia, med digitaliseringsminister Karianne Tung.

 

Dagens regler favner ikke SMB godt nok

Det finnes compliance-regler for selskaper som er definert som kritiske for samfunnssikkerhet. Etter min mening favner ikke disse reglene bredt nok, med tanke på at SMB er definert som kritisk å få kontroll på. De mindre selskapene inngår i verdikjedene til store virksomheter og offentlig sektor, samt andre samfunnskritiske virksomheter.

Med begrensede ressurser prioriteres naturlig nok det mest nødvendige. Eksempelvis er det store bøter hvis man er i brudd med GDPR-regelverket (personvern). Da er det selvsagt at det er dette som får oppmerksomhet når et lite selskap skal prioritere innsatsen. Derfor må vi få et regelverk som favner bredere om vi skal styrke cybersikkerheten på samfunnsnivå.

Vi trenger nye, særnorske regler for SMB

  1. Det må være pliktig for SMB å utføre risikoanalyser, for eksempel gjennom presisering i aksjeloven. Styret og ledelse må ansvarliggjøres!

  2. Kontroll og vurdering av risikoanalysene og kvaliteten på disse gjennom revisjon, kan komme som et lovkrav gjennom revisorloven og revisors plikter ved revisjon.

  3. Systemleverandørene må involveres og krav til disse må på plass. Vi vet at mange bedrifter kjører med systemer som har utdaterte versjoner, men som bevisst velger å ikke oppdatere fordi det er et kostnadsspørsmål. Det er høyrisiko. Det burde ikke være tillatt for systemleverandører å tilby systemer hvor utdaterte versjoner faktisk fungerer.

  4. Opplysningsarbeid rettet mot SMB fra myndighetene må forenkles, gjøres forståelig og med et språk som er slik at den gjengse bedriftseier som inngår i verdikjeden forstår hva dette betyr i praksis: «Hva er cybersikkerhet, hvorfor er det viktig for min bedrift å ha fokus på dette, hva er konsekvensene for min bedrift, hva er gevinstene for min bedrift og hvor kan jeg finne lett tilgjengelig informasjon?»

  5. Malverk og veiledninger fra myndighetene må tilpasses SMB-bedriftene. Det finnes god informasjon i dag, men denne må forenkles og det må lages konkrete veiledninger som gjør at tiltak kan iverksettes med liten tidsbruk og små ressurser.

  6. Etablere nettverk for informasjonsdeling hvor større virksomheter, myndigheter og andre aktører deler relevant informasjon og beste praksiser. Dette kan være alt fra å dele trusselvurderinger til konkrete råd om hvordan en bedrift kan forbedre sin sikkerhet. NSM (Nasjonal sikkerhetsmyndighet) bidrar med mye materiale og innsikt, men dette er for små og mellomstore virksomheter ofte krevende å forholde seg til.

Slik tar styret og ledelsen aktivt ansvar

«Hva kan og bør vi gjøre for å redusere risikoen for vårt selskap og for samfunnet?».
Dette er et viktig spørsmål alle styremedlemmer og ledere bør stille seg jevnlig.

Ledelsen må:

  1. Etablerer klare ansvarsområder for sikkerhet
  2. Sikre at cybersikkerhet er en integrert del av virksomhetens strategiske prioriteringer.
  3. Gjennomføre regelmessige risiko- og sårbarhetsanalyser for å avdekke potensielle trusler og svakheter i bedriftens systemer

Risiko- og sårbarhetsanalyse med tiltaksliste gir ledelsen innsikt i hvilke områder som krever mest oppmerksomhet, og gjør det mulig å iverksette målrettede sikkerhetstiltak. Deretter må ledelsen faktisk prioritere iverksettelse.

Cybersikkerhet og gevinstrealisering

Vi i Azets Consulting blir gjerne hentet inn for å sikre at endringsprosjekter gir gevinster. Slike gevinster kan være høyere inntekter og lavere kostnader, men også bedre leveranser til kundene og en bedre arbeidsdag for de ansatte.

God gevinstrealisering-metodikk innebærer at man tar hensyn til alle interessenter - altså ikke bare eiere som skal tjene mer penger, men at også kunder, ansatte og samfunnet skal realisere gevinster fra endringene.

Risikostyring er en sentral del av lønnsomme prosjekter, og god cybersikkerhet er viktigere enn noen gang tidligere. Dårlig cybersikkerhet øker risikoen for alle, mens styrket cybersikkerhet skaper verdier for alle.

Holdning og handling

Cybersikkerhet er ikke bare er en teknisk utfordring, men en strategisk prioritet som krever samarbeid og engasjement på tvers av alle nivåer i samfunnet.

For myndighetene vil tiltakene alltid være en kombinasjon av pisk og gulrot.

For den enkelte bedrift og leder, handler det om å styre sin egen organisasjon best mulig til lavest mulig risiko. Ved å investere i god risikostyring og effektiv informasjonsdeling, kan vi ikke bare beskytte våre egne virksomheter, men også bidra til samfunnets samlede sikkerhet og økonomiske vekst.

Dette er gevinstrealisering på sitt beste – for både bedriften og samfunnet som helhet.

Lyst til å lage gode løsninger med oss? Ta kontakt for en hyggelig prat.

Ja, Azets kan håndtere min forespørsel. Jeg aksepterer at Azets mottar og lagrer mine kontaktopplysninger i overenstemmelse med Azets Privacy Statement

Ja, jeg vil at Azets sender meg innsikt, informasjon om tjenester og invitasjoner til arrangementer. Jeg kan når som helst redigere mine preferanser eller trekke tilbake mitt samtykke.

post author

Om Caroline Hordvik

Caroline har vært leder siden hun var 24 år. Hun har ledet større endrings-og omstillingsprosesser, vært prosjektleder for implementering av nye ERP-systemer og rutiner i både Kirkens Nødhjelp og på NERSC. I Amesto ledet hun et større endringsarbeid med samlokalisering av to kontor, samt endringsreise i forhold til omstilling til ny arbeidsmetodikk, og med behov for endret kompetanse. Caroline har ledet en større omorganisering og fusjon i Azets Consulting AS med tilhørende prosessforbedring. Caroline har fått flere utmerkelser for sine lederegenskaper. Hun var på på topp 10 listen til E24s ledertalent i kategorien Årets selskapsutvikler i 2016, nominert i Assesits Unge Ledere i 2016, finalist til Sunnivaprisen 2017 samt nominert til Bergens unge leder i 2018 og 2020. Hun har en bachelorgrad i utviklingsstudier, er siviløkonom med master i økonomisk analyse, har en mastergrad i arbeids-og organisasjonspsykologi og en master i regnskap og revisjon.