av Bente Hoff

Innlegget ble publisert som kronikk i Computerworld 5. september 2018.

Trusselbildet forverrer seg, digitaliseringstakten øker, nye lover blir vedtatt og forbrukerne krever sikrere produkter og tjenester. Temaet cybertrusler får stadig mer oppmerksomhet hos myndigheter og i media, men krever også ledelsesfokus og en plass i norske styrerom. Sikkerhetsansvaret er ikke forbeholdt it-avdelingen. 

Manglende cybersikkerhet kan føre til betydelige finansielle tap. Danske Maersk rapporterte i 2017 om et tap på flere hundre millioner dollar fra ett løsepengevirus og i Norge har beslutninger om tjenesteutsetting blitt reversert som følge av nye sikkerhetsvurderinger.

I løpet av det siste året har NSM håndtert større og mer alvorlige digitale hendelser enn tidligere. Omfanget av datainnbrudd øker og trusselaktørene blir flere og dyktigere samtidig som norske virksomheter digitaliserer sentrale forretningsprosesser. Norske styrerom må være bevisste på at forretningsrisikoen øker og velge både riktig risikoappetitt og investeringsvilje i beskyttelsestiltak. Klarer virksomheten å beskytte seg? Har de tilgang på nødvendig kompetanse? Følger de gjeldende lovgiving?

I motsetning til tradisjonell sikkerhetstenkning dreier cybersikkerhet seg ikke først og fremst om å beskytte organisasjonen og ansatte mot seg selv, men mot eksterne trusler. En del av forretningsstrategien må derfor være å bygge motstandsevne til å beskytte virksomhetens verdier. Eksempler på beslutninger som sterkt påvirker motstandsdyktigheten er moderniseringstakt, strategi for tjenesteutsetting og beredskap.

Alle virksomheter må leve med risiko, men uten tilstrekkelig kompetanse i styret og ledelsen, og uten tilgang til et korrekt virkelighetsbilde fra de ansatte er det umulig å kjenne risikonivået.  Framover blir det viktigere at styre og ledelse forstår, håndterer og styrer risiko i cyberdomenet. Sikkerhetskompetanse er ofte en mangelvare og det må arbeides strategisk med å bygge kompetanse på alle nivå i virksomheten.

Med digitaliseringen innføres også ny lovgiving og regulering som styrene må forholde seg til. Sentrale nye reguleringer er personvernregler og ny lov om nasjonal sikkerhet. I tillegg arbeider flere sektorer med egne regelverk for å holde tritt med samfunnsutviklingen og det nye trusselbildet. Med nye lover vil det også stilles nye krav som virksomhetene må tilpasse seg. Virksomheter som ikke etterlever disse kan få store bøter og pålegg om å endre tidligere beslutninger.

Styremedlemmer bør også være oppmerksomme på at god cybersikkerhet kan gi store konkurransemessige fordeler. Forbrukere legger stadig mer vekt på tillit til produkter og leverandører. Norge ligger langt framme på både digitalisering og cybersikkerhet og virksomheter bør her kunne bruke cybersikkerhet som konkurransefortrinn.  La oss håpe at akkurat det blir en diskusjon på mange styrerom i årene som kommer!