I erhvervslivet er cyberangreb blevet en del af virkeligheden og er ikke længere noget, der sker ”derude”. De fleste sikkerhedsbrud bliver ikke offentligt kendt, men mange virksomheder har allerede oplevet produktionsafbrydelser, kompromitteret fortrolige / følsomme data og stjålne eller afpressede midler samt stået over for andre katastrofale konsekvenser af et cyberangreb. Vi skal ikke kun tage disse udfordringer op teknisk, men også ud fra andre aspekter.
Hvordan skal ledelsen agere i den nye cybervirkelighed?
Ledelse af en virksomhed kræver et højere niveau af omhu, nemlig due diligence. Lederen skal være bekendt med og forstå cyberrisici og deres ledelse, selvom de måske ikke har den specifikke tekniske knowhow. Det er prisværdigt, at informationssikkerhedsrisici (fx et cyberangreb) allerede er udpeget som de mest kritiske i mange virksomheder.
Er identifikation/bevidsthed nok?
Due diligence demonstreres af ledelsen, der ikke kun realistisk vurderer risikoen for et cyberangreb, men også indfører passende foranstaltninger og overvåger deres gennemførelse. I forbindelse med planlægningen er det afgørende at overveje følgende: Hvordan vil vi måle disse foranstaltningers succes? “Vi vil ikke blive angrebet” er ikke den bedste tilgang, da risici og sårbarheder er uforudsigelige. Det er mere hensigtsmæssigt at overveje, om informationssikkerhedsniveauet er blevet tilstrækkeligt forøget. På trods af enhver indsats kan ikke alle hændelser forhindres, da der ikke er noget, der hedder absolut sikkerhed. Men med nøje planlagte tiltag er det dog muligt at hæve informationssikkerheden til et niveau, der bør udelukke kritiske hændelser og de værste konsekvenser.
Formålet med risikovurderinger og implementering af sikkerhedspolitikker og -foranstaltninger er ikke at oprette dokumenter, men at være praktisk:
- at forbinde nøgleaktører i virksomheden (IT, ledelse, DPO, HR, PR og andre kritiske interessenter)
- at give dem tilstrækkelige ressourcer.
Cybersikkerhed kan ikke være it-teamets ansvar alene, men snarere alle medarbejderes pligt, da det svageste led ofte er uinformerede brugere. I tilfælde af et angreb kan kun samordnet handling og koordineret reaktion med succes forhindre kritiske hændelser og begrænse negative konsekvenser.
“Analysen af cyberangreb afslører ofte utilstrækkeligt identificerede risici, manglende implementering af passende politikker, dårlig koordinering af nøgleaktører og mangel på knowhow og ressourcer. Hvis ledelsen kan påvise, at de faktisk har gjort alt, hvad en omhyggelig og forsigtig forretningsmand ville gøre, kan de være meget mindre bekymrede over de juridiske konsekvenser. “
Jure Planinšek, M.Sc., Head of Compliance and Legal, NIL (en del af Conscia Group)
Hvad er de potentielle juridiske konsekvenser af utilstrækkelig due diligence af ledelsen?
a) Indvirkning på ansvar for forretningsmæssige og kontraktlige skader: Kontrakter med kunder eller leverandører fastsætter normalt de juridiske konsekvenser af forsinkelser og udvider ansvaret for skader i kontraktforhold. Det betyder, at virksomheden i tilfælde af kontraktbrud er forpligtet til at betale kontraktmæssige bøder og/eller er erstatningsansvarlig over for partneren. Ud over direkte skade forårsager cyberangreb ofte også indirekte skade, hovedsageligt i form af tab af kundetillid og omdømme. Indirekte skader er vanskeligere at måle og overstiger i mange tilfælde direkte skade.
b) Bøder: På grund af den stadig mere komplekse lovgivning, der foreskriver due diligence i beskyttelsen af fortrolige-, personlige- og andre typer data, kan en virksomhed få meget høje bøder pålagt som følge af et cyberangreb. Fx betalte et velkendt luftfartsselskab en bøde på 22 mio. EUR for ikke at beskytte kundernes personoplysninger tilstrækkeligt.
c) Tab af licens: I tilfælde af regulerede aktiviteter (bankvirksomhed, forsikring, børsmæglervirksomhed osv.) kan selskabers licenser eller tilladelser til at drive virksomhed tilbagekaldes, og der kan opstå andre konsekvenser som fastsat i særlig lovgivning.
d) Straffesager: Da cyberangreb normalt har karakter af strafbare handlinger, er det også nødvendigt at underrette de retshåndhævende myndigheder om dem. I undtagelsestilfælde er ledelsens strafferetlige ansvar ikke helt udelukket, hvis der var tale om grov uagtsomhed.
(e) Ledelsens erstatningsansvar: Et cyberangreb vil ikke blive overset af virksomhedens tilsynsførende og ejere, der kan beslutte at udskifte ledelsen. I tilfælde af utilstrækkelig due diligence gives der hjemmel til, at erstatningskrav kan indgives direkte mod ledelsen.
Hvordan kan ledelsen forsvare sig selv?
I alle ovenstående eksempler vil det centrale juridiske spørgsmål med hensyn til professionalisme og dermed ledelsens ansvar være, om der blev realiseret et tilstrækkeligt niveau af informationssikkerhed under et cyberangreb. Det sædvanlige forsvar om, at hændelsen ikke kunne have været forhindret, er kun delvist acceptabelt. En leder, der viser sig at have handlet med rettidig omhu og sørget for gennemførelse af konkrete foranstaltninger, vil ikke blive bebrejdet. Analysen af cyberangreb afslører ofte utilstrækkeligt identificerede risici, manglende gennemførelse af passende politikker, dårlig koordinering af nøgleaktører og mangel på knowhow og ressourcer. Hvis ledelsen kan påvise, at de faktisk har gjort alt, hvad en flittig og omhyggelig forretningsmand ville gøre, kan de være meget mindre bekymrede over de juridiske konsekvenser.
Best practices?
Omhyggelig planlægning og prioritering gør tilstrækkelig cybersikkerhed mulig. Selvom hackere konstant opfinder nye måder at angribe stadig mere komplekse informationssystemer på, kan erfarne eksperter implementere løsninger, der reducerer sandsynligheden for, at disse angreb lykkes. På grund af mangel på kvalificeret personale og omkostningseffektiviteten af sådanne løsninger engagerer de fleste organisationer erfarne partnere, der har certifikater, referencer og praktisk erfaring med sikkerhedshændelser. På baggrund af deres kompetencer og erfaringer vil sådanne partnere også være i stand til at hjælpe, når en hændelse faktisk opstår, og det er nødvendigt at afbøde de negative konsekvenser og overholde kompleks lovgivning. Gode cybersikkerhedsplaner er ikke begrænset til it-afdelingen, softwareløsninger og / eller forsikring, som ikke kan dække hele skaden (hovedsageligt skadeansvar og tab af omdømme).
Artiklen blev oprindeligt offentliggjort i AmCham YearBook – Power of Relationships 2022/2023.
Vil du vide mere? Så læs om NIS2 her eller CIS-kontrollerne her.