Topledere mangler fokus på cyber-sikkerhed

Antallet af stadigt dygtigere globale hackere stiger dag for dag, og Danmark er ét af de mest truede lande i verden grundet vores høje grad af digitalisering. Samtidig ses der flere og flere eksempler på, at det kan tage lang tid og være ekstremt forretningskritisk for en virksomhed at komme sig oven på et cyberangreb. 

Alligevel når cybersikkerhed sjældent frem til topledelsens og bestyrelsens dagsorden i de danske virksomheder. Det viser en ny undersøgelse fra Deloitte blandt 118 danske topchefer samt ledere med ansvar for cybersikkerhed.

Mere end hver fjerde svarer, at topledelsen aldrig eller kun en gang om året briefes om organisationens nuværende trusselsbillede. Og selvom hele 79 procent af virksomhederne har fået udnævnt en leder med særligt ansvar for virksomhedens cybersikkerhed (f.eks. en CISO dvs. Chief Information Security Officer eller IT Security Manager) så har kun 47 procent af disse en plads i topledelsen, viser undersøgelsen.

Risiko for falsk tryghed
Det er en bekymrende mangel på fokus på cybersikkerhed blandt danske topledere og IT-ledere, mener Serdar Cabuk, der er Cyber Risk leder for Deloitte i Norden.

”Ledelsen er nødt til at være bedre orienteret om den aktuelle cybertrussel for at kunne beskytte virksomheden og allokere de rette ressourcer. Det gælder særligt virksomheder, der består af kritisk national infrastruktur. Desværre bekræfter undersøgelsen vores erfaringer om, at topledelsen og bestyrelserne i mange danske virksomheder endnu ikke har indset, hvad der reelt er på spil. Hackerne bliver stadigt flere og stadigt dygtigere, og vi ser flere og flere eksempler på, at det kan tage lang tid for en virksomhed at komme sig oven på et cyberangreb,” siger Serdar Cabuk og fortsætter:

”Virksomheder, der er i stand til at opfange en cybertrussel i et tidligt stadie, har langt bedre forudsætninger for at modstå et angreb hurtigt og effektivt. Vi anbefaler derfor som minimum, at topledelsen briefes om den aktuelle cybertrussel hvert kvartal, og at virksomheder laver årlige tests af deres cyberforsvar og en kvalificeret og prioriteret cyberstategi. På den måde kan det sikres at topledelsen ikke lever med en falsk tryghed i forhold til den reelle risiko-appetit,” siger Serdar Cabuk.

For optimistiske
Danske erhvervsledere synes at have et lidt for optimistisk syn på, hvor hurtigt deres organisation kan komme sig efter et betydeligt cyberangreb. Ifølge undersøgelsen tror halvdelen af lederne, at deres virksomhed kan vende tilbage til ’business as usual’ i løbet af et par dage. Mere end en tredjedel mener, at det kun vil tage en dag. Særligt de mindre virksomheder er mest optimistiske.

“De nyere erfaringer fra succesfulde cyberangreb fortæller en anden historie. Skaderne fra de store angreb såsom NotPetya og WannaCry de sidste par år viser, at det er helt usandsynligt at vende tilbage til normal drift indenfor få døgn. Tværtimod kan det tage måneder for større virksomheder at genvinde den normale drift,” siger Serdar Cabuk.

NB: Hele rapporten "Cyber Risk Landscape Report 2019" kan downloades nedenfor.