Det er ikke let at være it-sikkerhedsansvarlig – eller Chief Information Security Officer, CISO – som funktionen hedder i de fleste organisationer.
Sådan skrev Dan Turèll ikke helt i sin tid, da han skrev om den enlige mor, der ikke altid havde det let. Men det har CISO’en heller ikke, og det burde personen i den funktion have. For alle virksomheder og organisationer i Danmark og generelt i verden er i konstant risiko for at blive udsat for cyberkriminalitet. Eller er for den sags skyld ved at blive angrebet, mens du læser dette. Ifølge Center for Cybersikkerhed er truslen fra cyberkriminalitet vurderet til at være i kategorien MEGET HØJ for alle myndigheder og virksomheder. Det fremgik af den seneste udgave af ”Cybertruslen mod Danmark”. Derfor burde man tro, at alle virksomheder og organisationer er i højeste beredskab.
Men det er desværre ikke tilfældet. For it-sikkerhed er besværligt, og man giver derfor ikke sin CISO det råderum, der er nødvendigt for at beskytte virksomheden godt nok. Gang på gang oplever virksomheder i Danmark og resten af verden angreb fra cyberkriminelle med enorme omkostninger til følge. AP Møller Mærsk er en af flere store danske virksomheder, der har været ramt, hvilket ifølge virksomheden har kostet dem 350 millioner dollars, og det er kun ét eksempel af mange. De virksomheder, der har oplevet angreb, har uden tvivl lært af det, men mange tænker stadig, at et cyberangreb kun sker for naboen, eller de tror fejlagtigt at de har styr på det.
Uenighed om prioritering
Problemet med at -it-sikkerheden ikke prioriteres højt nok kan tydeligt ses i World Economic Forums Global Cybersecurity Outlook 2022. Her svarede 92 % af virksomhedslederne i undersøgelsen, at prioriteringen af cybersikkerheden er integreret i virksomhedens risk-managementstrategi. Men det står i skærende kontrast til, at kun 55 % af de it-sikkerhedsansvarlige var enige i det udsagn. Der er mange forklaringer på, hvorfor det er sådan i mange organisationer. I praksis har CISO-funktionen ansvaret for it-sikkerheden. Men CISO’en er sjældent en del af topledelsen og har derfor ikke det reelle ansvar og budget til de beslutninger, der træffes på sikkerhedsområdet. På den måde ender CISO’en med at blive en rådgivningsfunktion, hvis råd ikke altid bliver fulgt.
It-sikkerhed er ubekvemt
En anden udfordring er, at it-sikkerhed og bekvemmelighed ikke går hånd i hånd. Komplekse passwords på alle systemer er besværligt for medarbejderne, og derfor beklager de sig til it-medarbejderne, når et password skal skiftes eller bliver glemt, fordi det er svært at huske. Og så er det heller ikke nemt at være it-medarbejder, som skal hjælpe medarbejderne i dagligdagen og høre på, at det da er virkelig irriterende med de passwords.
Beskytter sig med sværd mod droner
De cyberkriminelle opererer ofte på et andet niveau med systemer og teknologier, der som udgangspunkt kan være svært at hamle op med. Statsfinansierede russiske hackervirksomheder arbejder dagligt på at kompromittere virksomheder, og der er mange andre fraktioner af organiserede cyberkriminelle, som er fremmede for de fleste virksomhedsledere. For nylig blev blandt andre Microsoft ramt af hackerangreb fra hackergruppen Lapsus$. En gruppe af unge mellem 16 og 21 år, som skaffede sig adgang til kildekoderne til flere af Microsofts projekter. Mange virksomheder benytter systemer og ressourcer, der ikke kan holde stand mod de ukendte modstandere. Der er helt åbenlyst et kæmpe gab mellem dem, der betaler for at beskytte sig mod angreb og dem, der angriber. Man beskytter populært sagt sin organisation med sværd, når det er droner, der angriber.
Indfør it-sikkerhedsøvelse som brandøvelse
Der er et område, hvor alle virksomheder løbende tester deres sikkerhedsniveau. Den årlige brandøvelse, som er lovpligtig. Alarmen lyder, og alle skal ud af bygningen i en fart. Irriterende, er der mange der synes, og ressourcekrævende. Men det er lovpligtigt og derfor noget, som alle skal igennem. Måske var det en idé at gøre it-sikkerhedsøvelser lovpligtige. Men indtil det måtte ske, bør alle virksomheder tage ved lære af brandøvelsen. De kunne indføre jævnlige beredskabsøvelser, hvor it-systemerne bliver testet.
Har man brug for hjælp til at sætte rammerne for it-sikkerheden, er der er hjælp at hente hos den uafhængige organisation Center for Internet Security®. Organisationen har udarbejdet rammebeskrivelser for området, som virksomheder kan benytte sig af. Det kan altså blive det lettere at være CISO, og det bliver lettere at være virksomhed, hvis man tager de rigtige greb om opgaven. Og det kan betale sig, for at blive udsat for et veludført cyberangreb er langt dyrere og mere besværligt end at undgå det.