IT-sikkerhed

Dårlig IT-sikkerhed fører til dårlig forretning

De gode nyheder: De nordiske lande er blandt de bedste i verden til at udnytte digitaliseringens muligheder. De dårlige: Vi er langt bagefter andre dele af verden, når det kommer til at håndtere de risici, der følger med.

Termen information technology, eller ”IT”, blev oprindeligt opfundet i en artikel fra 1958 i tidsskriftet Harvard Business Review. Under overskriften ”Management in the 1980’s”, fortæller forskerne Harold J. Leavitt og Thomas L. Whisler enthousiastisk om et spirende område inden for teknologi. Et område, der efter deres mening havde potentiale til at blive ”revolutionerende”.

Det er interessant læsning. Men ikke fordi artiklen på mange områder er charmerende naiv (forfatterne forestillede sig, at virksomheders ledelser i fremtiden ville træffe forretningsmæssige beslutninger ved hjælp af computerspil), men fordi de med knivskarp præcision forudsiger hele den digitaliseringsrejse, som verden har gennemgået i de seneste årtier.

Men enhver, der i dag kigger i den 63-årige vision, ser også noget alarmerende. Nemlig at vores kollektive forståelse for IT-området ikke ser ud til at have udviklet sig meget siden da. Vi er stadig besat af de umiddelbare forretningsmæssige fordele ved teknologi.

44%

mener, at man investerer for lidt i IT-sikkerhed.

- ifølge analysevirksomheden Radars undersøgelser.

God digitalisering – dålig cyber-sikkerhed

Vores syn på IT og digitaliseringsprojekter som en transformativ, nærmest magisk kraft har naturligvis skabt enorme værdier. Det har banet vejen for en udvikling, der i dag har placeret de nordiske lande i en førende position, hvad angår digitalisering.

Tag Sverige som eksempel. Ifølge Portulans Institute’s årlige Network Readiness Index sammenligning, er landet det bedste i verden til at gribe digitaliseringens muligheder. Ifølge analysebureauet Radars målinger investerede svenske virksomheder sidste år 207 milliarder svenske kroner i IT. Samtidig viser deres undersøgelser, at investeringer i digitalisering udgør den vigtigste IT-strategiske prioritet i dag.

Men det er nok at kaste et blik på en anden rangliste for at indse, at den hurtige udvikling har haft en pris. Den Internationale Teleunions Global Cyber Security Index rangordner de lande, der er kommet længst med deres cyber-sikkerhed. Her ligger Sverige helt nede på en 26.-plads. Samtidig viser Radars undersøgelser, at 44 procent af de svenske beslutningstagere inden for IT mener, at der investeres for lidt på området.

Portræt af Dennis Karlsson, Group CISO, Dustin

Vi ser cyber-sikkerhed og digital udvikling som to ting, der står i kontrast til hinanden.

Dennie Karlsson, Group CISO hos Dustin.

Det bliver dyrt med så dålig IT-sikkerhed

En lignende kløft mellem digital udvikling og haltende cyber-sikkerhed kan findes i hele Norden. Vi har simpelthen investeret kraftigt i initiativer, der har ført til kortsigtede, digitale gevinster – og ikke nær så meget i langsigtet digital sikkerhed.

Nu risikerer kløften at føre os i retning af en negativ udvikling.
– Denne forskel sætter os i dag i en forværret position overfor angreb. Vi er nødt til at regne med den øgede sårbarhed, som digitaliseringen medfører. Ellers vil omkostningerne i sidste ende overstige fordelene, uanset hvor fantastiske, digitale funktioner vi skaber, siger Dennie Karlsson, Group CISO (Chief Information Security Officer) hos Dustin.

Han mener, at nutidens tilgang fører til digitale funktioner, der fungerer fantastisk på dag ét. Men i takt med at vi flytter stadig større værdier over på digitale platforme, bliver vores samfund også mere sårbart.

– Årsagen til, at vi befinder os i denne situation, tror jeg, er, at vi ikke ser cyber-sikkerhed og digital udvikling som lige selvfølgelige dele af digitaliseringen, men som to ting, der står i kontrast til hinanden. Vi er nødt til at ændre det perspektiv.

Portræt af Freddie Rinderud, Senior Advisor, Radar.

Jo mere afhængige vi bliver af digitale værktøjer, for at vores samfund kan fungere, jo større værdier står på spil.

Freddie Rinderud, senior rådgiver hos Radar.

Svært at sætte en pris på sikkerhed

En anden vigtig forklaring på, at vi befinder os i denne situation, er omkostningerne. Det har helt enkelt været for svært at sætte en pris på udviklingen.

– I de senere år har vi set højt profilerede cyber-angreb mod blandt andet Gunnebo, Mærsk, Synsam og Coop. Svenske lufthavne har været nødt til at stoppe deres flytrafik, fordi systemerne ”ikke fungerer”. På trods af alle disse tegn forstår vi stadig ikke alvoren. Vi er ude af stand til at kigge indad og se på, hvilke digitale forretningsrisici vi har.

– Der er en udbredt manglende evne i samfundet til at forstå, hvad det vil sige at have den akkumulerede digitale risiko, som vi har i dag, og ikke at være i stand til at håndtere den på en seriøs måde, siger Freddie Rinderud, seniorrådgiver i analysefirmaet Radar.

Han mener, at situationen bliver mere problematisk for hvert år, der går.
– Forskellen mellem trusselsaktørernes evne til at angribe os og vores evne til at beskytte os bliver hele tiden større og større. Jo mere afhængige vi bliver af digitale værktøjer til at få samfundet til at fungere, jo større værdier bliver dermed sat på spil. Det har vi som samfund ikke helt forstået endnu.

IT-sikkerhed og forretning er samme sag

Analytikere hos Radar får medhold fra andre eksperter. De mener, at vores mangel på cyber-sikkerhed er baseret på en grundlæggende misforståelse af, hvad IT er. Mange virksomheder lever videre i den antikverede forestilling om, at det er en separat disciplin.

– Al menneskelig aktivitet kræver på den ene eller anden måde IT-understøttelse i dag. Det betyder, at den digitale risiko er lige så til meget stede som enhver anden risiko, uanset hvad du har med at gøre.

– Alle virksomheder forstår at kvantificere den økonomiske risiko for at bruge det som grundlag, når de træffer forretningsstrategiske beslutninger. Det, mange stadig ikke forstår, er, i hvor høj grad vi er udsat for digitale risici – og hvordan det igen påvirker forretningen, siger Mats Hultgren, der er chef for IT-sikkerhedsfirmaet Truesecs Cybersecurity Incident Response Team.
– Vi må lære at forstå, at IT-sikkerhed og forretning i praksis er det samme.

Virksomheden og IT-afdelingen taler ikke samme sprog

Mange med ansvar for IT-sikkerhed har svært ved at retfærdiggøre investeringer. De har svært ved at forklare risiciene på en måde, som virksomhedens ledelse kan forholde sig til. Det beskriver Radar i sin nye rapport ”Fra it-sikkerhed til digital forretningsrisiko".

Portræt af Mats Hultgren, Head of Cybersecurity Incident Response Team, Truesec.

Det, som mange ikke forstår, er i hvor høj grad, vi er eksponerede for digitale risici, og hvordan de påvirker forretningen.

Mats Hultgren, Head of Cybersecurity Incident Response Team hos Truesec

Virksomhedernes ledelser beskriver til gengæld, at de ikke rigtig forstår, hvad det er, IT-området forsøger at sige.
– Grunden til, at vi endte i denne situation, er, at IT historisk set har fungeret som sin egen organisation. Fra et ledelsesmæssigt synspunkt har man set på IT som noget unikt og specielt. Med sine egne spilleregler. Det er en beskrivelse, som IT-området længe har haft det fint med, måske fordi det er taknemmeligt at have sine egne spilleregler. Det er vi stadig ikke rigtig sluppet af med, siger Freddie Rinderud, og fortsætter:

– Inden for IT arbejder vi med IT-specifikke rammer, der aldrig benyttes nogen andre steder. I virksomhedernes ledelse håndterer vi IT, som om det var noget adskilt fra virksomheden. Det er det ikke. For at fastholde vores førerposition – og lukke de voksende huller i vores digitale forsvar – er der brug for nye perspektiver.

– Nutidens ledelser ser ofte de forventede gevinster ved digitalisering. Det samme skal ske i forbindelse med sikkerhed. Vi er nødt til at give sikkerhedsområdet de værktøjer, der gør det muligt for os at påvise konsekvenserne af ikke at investere i cyber-sikkerhed. Der er meget få CIOs eller CISOs, der kan forklare dette på en tilfredsstillende måde i dag.

Nærbillede af en mobil på den ene halvdel og en mand med en hættetrøje, hvor man ikke kan se ansigtet, i den anden halvdel.

Vi er nødt til at give sikkerhedsområdet værktøjer, så de kan påvise effekten af ikke at investere i cyber-sikkerhed.

Freddie Rinderud, senior rådgiver hos Radar.

Værktøj til at beregne den digitale forretningsrisiko

Radar rapport lancerer et muligt sådant værktøj. En ny model til at beregne, hvad digital forretningsrisiko egentlig koster. Den kombinerer traditionelle investeringskalkuler for eksempel den økonomisk risiko med IT-områdets mere tekniske risikobeskrivelser.

– Vi er nødt til at opbygge en fælles forståelse for, at sikkerhed og forretning hænger sammen, ellers vil vi aldrig nå en højere grad af digital modenhed. Sikkerhed skal inddrages på en anden måde, når der træffes strategiske beslutninger i ledelsen. Det skal ikke kun være en kontrolfunktion, men noget, der driver forretningen, siger Dennie Karlsson.

Hos Radar er det håbet, at modellen vil fungere som en slags fælles sprog, der gør det muligt for IT og ledelsen for alvor at kommunikere med hinanden. For det er først, når vi forstår digitaliseringsrisikoen, at vi for alvor kan begynde at tale om at drage nytte af mulighederne.

– Når man i dag beder sin CISO eller CIO (Chief Information Officer) komme til møde med ledelsesteamet for at få dem til at forklare, hvilken risiko man skal håndtere, så får man en virkelighedsbeskrivelse baseret på IT-rammer. Det kan ledelsen ikke forholde sig til. Ledelsen forstår derimod de etablerede rammer for styring af andre former for risiko, såsom den økonomiske risiko. Det, vi gør med vores model, er at vise, hvordan vi kan tage udgangspunkt i de traditionelle rammer, men udvikle dem, så de også kan håndtere de digitale forretningsrisici, siger Freddie Rinderud.

CISO er nødt til at tænke forretning

Ansvaret for at bygge bro over kløften i dialogen ligger ikke kun hos ledelsen. Ansvaret hviler præcis lige så tungt, hvis ikke tungere, på IT. De skal blive bedre til at forklare.

– Mange mennesker ser ikke forretning og sikkerhed som to brikker i puslespillet, der hører sammen, men som to ”strømme”, hvor du kan satse på den ene eller den anden. I fremtiden skal vi finde en balance, hvor man kan opbygge et digitalt forsvar, samtidig med at man planlægger at tage nye markedsandele. Fordi de ting hænger sammen.

Vi måste vi hitta en balans där man kan bygga upp ett digitalt försvar samtidigt som man planerar för att ta nya marknadsandelar. Det hänger ihop.

Dennie Karlsson, Group CISO på Dustin.

– Din CISO skal i højere grad tænke forretning, samtidig med at virksomheden er nødt til at forstå, at investering i digitale initiativer sandsynligvis koster mere, end man i første omgang tror, siger Dennie Karlsson fra Dustin.

Mellem 20 og 40 mio. svenske kroner. Så meget, vurderer eksperter, at den gennemsnitlige pris er for den virksomhed, der rammes af et vellykket cyber-angreb. Men præcis hvor meget et angreb koster afhænger af, hvem du er, og hvilken slags virksomhed du driver.

– Hos et byggefirma med fem ansatte er der ingen digital risiko, der kan komme til at koste helt op til 20 millioner kroner. En større virksomhed har til gengæld ikke en digital risiko, der kan koste helt ned til 20 millioner svenske kroner, siger Freddie Rinderud.

Hjemmekontor med computer og monitor.

Digitale risici baseret på rigtige analyser

Vi har ikke kun brug for nye værktøjer for at undgå dyre angreb. Værktøjerne er også nødvendige for at gøre os mere komfortable med at acceptere den risiko, der eksisterer. Dette fører nemlig til bedre forretning.

– Det er på den måde vi kommer frem til det faktum, at mange virksomheder i dag ser IT-sikkerhed som en bremse for de digitale investeringer. Med et ordentligt beslutningsgrundlag kan vi beregne den digital forretningsrisiko og beslutte, om den er værd at acceptere. I nogle tilfælde giver det os mulighed for at gennemføre projekter, der ellers ville være blevet afvist som for risikable. Sådan arbejder virksomheder allerede med alle andre typer af risici, og det er på høje tid, at vi tackler den digitale forretningsrisiko på samme måde.

Sådan arbejder virksomheder allerede med andre typer af risici, og det er på høje tid, at vi behandler digitale forretningsrisici på samme måde.

Freddie Rinderud, senior rådgiver hos Radar.

Hvis vi ikke gør det, er det ligegyldigt, om vi fortsætter med at være de bedste i verden til digitalisering. Den akkumulerede forretningsrisiko vil i sidste ende bide os i halen.

– Vi skal fortsætte med at digitalisere hurtigt. Den slags initiativer er en god ting. Men vi må ikke gøre det ukontrolleret. Vi skal turde tage digitale forretningsrisici, men vi skal gøre det på baggrund af reelle analyser.

30 december 2021

Tags