Cybersikkerhet er ikke bare er en teknisk utfordring, men en strategisk prioritet som krever samarbeid og engasjement på tvers av alle nivåer i samfunnet. Vi må gi norske SMB «hjelm og vernesko» mot trusler. Vi trenger konkrete handlingsplaner, og vi trenger særnorske regler. Les mine forslag her.
Det er for sent å prioritere risikoanalyse når hackere har fått kontroll over selskapet ditt. Får du alvorlige problemer, kan disse fort smitte til leverandører, kunder og andre kontaktpunkter.
Jeg vet av erfaring - både som tidligere revisor, , som tidligere økonomisjef, konsulent og nå som selskapsleder at både små, mellomstore og store virksomheter er for dårlige på risikovurdering og risikostyring. For mange behandler risiko som et engangsarbeid, og det er ikke godt nok! Risikostyring er et kontinuerlig arbeid.
En samfunnskritisk utfordring
Cybersikkerhet er av de mest kritiske utfordringene for bedrifter og offentlige organisasjoner. Et angrep kan føre til kostbare sikkerhetshendelser som leder til driftsavbrudd, tap av data og omdømmetap. Å unngå dette handler også om langsiktig verdiskaping ved å opprettholde kundetillit og sikre kontinuerlig drift.
På samfunnsnivå er det tre sentrale aspekter som er viktig:
1) Hvordan kan og bør virksomheter jobbe systematisk med risikostyring?
2) Hvordan vi kan sikre bedre informasjonsdeling om cybersikkerhet på tvers av bedrifter?
3) Er regelverket godt nok til å sikre at Norge som samfunn er forberedt på å takle stadig sterkere digitale trusler?
Manglende kunnskap og bevissthet
Svarene på det første punktet vet vi. Det finnes etablerte rutiner og analysemetodikk som kan overføres. Jeg og mine kolleger i Azets Consulting har risikostyring som en prioritert del av alle prosjekter vi gjør for alle kunder, og vår «best practice» kan overføres til andre.
Informasjonsdeling om cybersikkerhet på tvers av selskaper og bransjer er også interessant. Her er det mange gode tanker. Utfordringen for svært mange små og mellomstore bedrifter er at de i tillegg til å være for dårlig på risikovurdering og risikostyring, også har begrenset med ressurser.
Jeg mener vi må «back to basics»: Vi kan ikke begynne med informasjonsdeling, fokus og trening når store deler av SMB-segmentet ikke har et bevisst forhold til cybersikkerhet. Første steg i å løse et problem er som kjent å erkjenne at problemet er til stede.
Sammenligning: HMS-løftet
Norsk arbeidsliv er blant de beste i verden innen helse, miljø og sikkerhet (HMS). Det tok likevel lang tid før bygg- og anleggsbransjen tok HMS på alvor, og et godt regelverk måtte til.
Vi må nå gi norske SMB «hjelm og vernesko» hva angår cybersikkerhet. Det betyr at vi trenger konkrete handlingsplaner, og vi trenger særnorske regler for små og mellomstore bedrifter.
Under Arendalsuka deltok Caroline Hordvik i en topplederdiskusjon rundt cybersikkerhet i regi av Abelia, med digitaliseringsminister Karianne Tung.
Dagens regler favner ikke SMB godt nok
Det finnes compliance-regler for selskaper som er definert som kritiske for samfunnssikkerhet. Etter min mening favner ikke disse reglene bredt nok, med tanke på at SMB er definert som kritisk å få kontroll på. De mindre selskapene inngår i verdikjedene til store virksomheter og offentlig sektor, samt andre samfunnskritiske virksomheter.
Med begrensede ressurser prioriteres naturlig nok det mest nødvendige. Eksempelvis er det store bøter hvis man er i brudd med GDPR-regelverket (personvern). Da er det selvsagt at det er dette som får oppmerksomhet når et lite selskap skal prioritere innsatsen. Derfor må vi få et regelverk som favner bredere om vi skal styrke cybersikkerheten på samfunnsnivå.
Vi trenger nye, særnorske regler for SMB
- Det må være pliktig for SMB å utføre risikoanalyser, for eksempel gjennom presisering i aksjeloven. Styret og ledelse må ansvarliggjøres!
- Kontroll og vurdering av risikoanalysene og kvaliteten på disse gjennom revisjon, kan komme som et lovkrav gjennom revisorloven og revisors plikter ved revisjon.
- Systemleverandørene må involveres og krav til disse må på plass. Vi vet at mange bedrifter kjører med systemer som har utdaterte versjoner, men som bevisst velger å ikke oppdatere fordi det er et kostnadsspørsmål. Det er høyrisiko. Det burde ikke være tillatt for systemleverandører å tilby systemer hvor utdaterte versjoner faktisk fungerer.
- Opplysningsarbeid rettet mot SMB fra myndighetene må forenkles, gjøres forståelig og med et språk som er slik at den gjengse bedriftseier som inngår i verdikjeden forstår hva dette betyr i praksis: «Hva er cybersikkerhet, hvorfor er det viktig for min bedrift å ha fokus på dette, hva er konsekvensene for min bedrift, hva er gevinstene for min bedrift og hvor kan jeg finne lett tilgjengelig informasjon?»
- Malverk og veiledninger fra myndighetene må tilpasses SMB-bedriftene. Det finnes god informasjon i dag, men denne må forenkles og det må lages konkrete veiledninger som gjør at tiltak kan iverksettes med liten tidsbruk og små ressurser.
- Etablere nettverk for informasjonsdeling hvor større virksomheter, myndigheter og andre aktører deler relevant informasjon og beste praksiser. Dette kan være alt fra å dele trusselvurderinger til konkrete råd om hvordan en bedrift kan forbedre sin sikkerhet. NSM (Nasjonal sikkerhetsmyndighet) bidrar med mye materiale og innsikt, men dette er for små og mellomstore virksomheter ofte krevende å forholde seg til.
Slik tar styret og ledelsen aktivt ansvar
«Hva kan og bør vi gjøre for å redusere risikoen for vårt selskap og for samfunnet?».
Dette er et viktig spørsmål alle styremedlemmer og ledere bør stille seg jevnlig.
Ledelsen må:
- Etablerer klare ansvarsområder for sikkerhet
- Sikre at cybersikkerhet er en integrert del av virksomhetens strategiske prioriteringer.
- Gjennomføre regelmessige risiko- og sårbarhetsanalyser for å avdekke potensielle trusler og svakheter i bedriftens systemer
Risiko- og sårbarhetsanalyse med tiltaksliste gir ledelsen innsikt i hvilke områder som krever mest oppmerksomhet, og gjør det mulig å iverksette målrettede sikkerhetstiltak. Deretter må ledelsen faktisk prioritere iverksettelse.
Cybersikkerhet og gevinstrealisering
Vi i Azets Consulting blir gjerne hentet inn for å sikre at endringsprosjekter gir gevinster. Slike gevinster kan være høyere inntekter og lavere kostnader, men også bedre leveranser til kundene og en bedre arbeidsdag for de ansatte.
God gevinstrealisering-metodikk innebærer at man tar hensyn til alle interessenter - altså ikke bare eiere som skal tjene mer penger, men at også kunder, ansatte og samfunnet skal realisere gevinster fra endringene.
Risikostyring er en sentral del av lønnsomme prosjekter, og god cybersikkerhet er viktigere enn noen gang tidligere. Dårlig cybersikkerhet øker risikoen for alle, mens styrket cybersikkerhet skaper verdier for alle.
Holdning og handling
Cybersikkerhet er ikke bare er en teknisk utfordring, men en strategisk prioritet som krever samarbeid og engasjement på tvers av alle nivåer i samfunnet.
For myndighetene vil tiltakene alltid være en kombinasjon av pisk og gulrot.
For den enkelte bedrift og leder, handler det om å styre sin egen organisasjon best mulig til lavest mulig risiko. Ved å investere i god risikostyring og effektiv informasjonsdeling, kan vi ikke bare beskytte våre egne virksomheter, men også bidra til samfunnets samlede sikkerhet og økonomiske vekst.
Dette er gevinstrealisering på sitt beste – for både bedriften og samfunnet som helhet.