CyberSecurity – risikostyring i en ny digital verden?

Risikovurdering handler om å tenke ‘worst case’ før det inntreffer. I et tidligere prosjekt for noen år siden møtte jeg en datasjef som hadde ansvar for et datarom. Tema var sikkerhet og vi diskuterte muligheten for brann i datarommet, hvorpå vedkommende – han var trønder – raskt repliserte: «Brann– det e worst case, det – vi tørs itj tænk på det.»

Men det er det det handler om. Å våge å tenke tanken og forestille seg hva som skjer dersom den uønskede hendelsen inntreffer.

Sammenlignet med morgendagens cybertrusler er  kanskje brann i et datarom mer ‘best case’ enn ‘worst case’, men hva slags trusler kan det bli snakk om å håndtere i framtiden? En ting virker i hvert fall rimelig sikkert: selv om dagens risikohåndtering blir stadig bedre øker forspranget til de  kriminelle motstanderne hele tiden.

Så hvilke trender ser vi som blir utfordrende å håndtere for eksempel i 2020? Noen eksempler:

  • (Juridisk) Tradisjonelle lovmessige rammer i Cyberspace forsvinner.
    Bekymringer rundt ‘data privacy’ og konkurrerende juridiske og regulatoriske regimer blir større etter hvert som ukontrollerbare ‘cyber-paradis’ dukker opp rundt omkring i verden.
  • (Økonomi) Organisert cyber kriminalitet fokuserer mer på IP tyveri.
    Prisnedgangen på 3D printere, 3d modellverktøy etc. vil gjør IP tyveri enklere tilgjengelig og mer lukrativt for kriminelle.
  • (Sosialt) Den digitale endringstakten i samfunnet drives mer og mer fram av den ikke-vestlige verden.  Fra 2008-2012, økte Kina med 564 million internet brukere dvs. mer enn befolkningen i USA, UK og Frankrike.
  • (Teknologi) Internet of things Innen 2020 vil minst 50 mrd. ‘devicer’ være koblet til internet, inclusive sensorer integrert I alt fra biler og utstyr til dyr, mennesker og alt som man kan hente og analysere data ifra
  • (Økonomi) Samfunnskritisk infrastruktur migrerer opp i skyen. Cloud bruken øker eksponentielt med få virksomheter som styrer/eier sin egen infrastuktur og applikasjoner. Transparens og kontroll på tvers av verdikjeder blir en stor bekymring.
  • (Sosialt/Økonomi) Gråmarkedet eller ‘delingsøkonomien’ vokser kraftig.
    Deling av varer og tjenester uten tradisjonelle (penge)transaksjoner ved hjelp av digitale verktøy øker kraftig og truer (eller redder oss?) deler av den tradisjonelle økonomien.
  • (Politisk) Cyber governance blir global
    I 2020 vil forskjellene mellom globale aktører bli tydeligere og stater kan tvinges til å velge side

Når det gjelder informasjonssikkerhet har det vært vanlig å delegere ansvar for dette til spesialister. Er det tilstrekkelig når CyberSecurity risiko rykker oppover på topp listen over trusler som kan ødelegge milliardverdier og hele virksomheters eksistens? CyberSecurity seiler opp som en av de raskest voksende risiko områdene. I Steria’s nylig publiserte cybersecurity rapport så verden i 2012 en 42% økning i målrettede cyberangrep sammenlignet med 2011 som resulterte i 110 milliarder $ i økonomiske tap på grunn av cyberangrep og mer enn $ 200 mrd. i tap på grunn av online svindel.

Utgangspunkt i teknologitrusler over risikoanalyse
Sterias rapport var basert på intervjuer med 270 sikkerhetsansvarlige fra europeiske virksomheter som til tross for de massive tapene beskrevet over mente de hadde rimelig god kontroll med eksterne trusler:

  1. Mindre enn 15% er redd for å bli utsatt for organisert cyber kriminalitet i dag eller de neste 3 årene. Datatyveri ansees som mer sannsynlig. 60% mener dette er en av de 3 viktigste truslene. De er mest opptatt av interne trusler. Over halvparten mener 80% av truslene kommer fra egen virksomhet.
  2. Når det gjelder egen evne til å håndtere de samme truslene mener 90% at de kan det. Tilgjengelige ressurser , finansiering og egen evne til å håndtere stor risiko er tilstrekkelig.
  3. Det er mer uklart om troen på egne ferdigheter er realistisk i lys av at mange virksomheter fremdeles ser ut til å mangle grunnleggende adhoc tiltak for å håndtere kriser. 24/7 sikkerhet er ennå ikke standard: bare en fjerdedel av selskapene har implementert det og blant de store rundt halvparten.

Sterias undersøkelse viser at virksomhetenes cybersecurity-strategi ofte tar utgangspunkt i teknologitrusler framfor en helhetlig risikoanalyse. Den er mer rettet mot risiko som oppstår ved bruk av ny teknologi, spesielt mobilteknologi og Bring Your Own Device (BYOD) policy.

Ledelsen ønsker å bli involvert
Interessant da med med resultatene fra en studie i regi av IIARF og ISACA fra 2014 som har sett på Cybersecurity i et ledelses- og styreperspektiv. Studien omfatter rundt 2000 styremedlemmer og ikke overraskende kommer det her fram et litt annet bilde enn når man spør de sikkerhetsansvarlige. Kun 14% har i det foregående året vært aktiv involvert i forberedelser knyttet til CyberSecurity, men 58% sier de burde ha vært involvert. Studien viser at styre og ledelse ønsker å bli involvert på et strategisk nivå i forhold cybersecurity risikostyring, men spørsmålet er hvordan? Undersøkelsen peker på 5 forhold:

  • Erkjenne at Cybersecurity ikke er et IT-problem men en del av risikobildet for hele virksomheten (Enterprise Risk management)
  • Forstå de juridiske implikasjonene av cyber-risiko, for eksempel i forhold til 3.parts tjenester som inngår i virksomhetens verdikjede.
  • Sikre tilgang til relevant kompetanse på cybersecurity på ledernivå (CISO) i form av en årlig ‘helsesjekk’ rapport som CISO[3] i virksomheten presenterer for styret.
  • Styret bør sikre at ledelsen etablerer en budsjett- og stillingsramme for helhetlig risikostyring
  • Styre og ledelsesbehandlingen bør omfatte risikoappetitt, mitigeringsstrategi (i.e. forsikring) og konkrete planer på området.

Det er styret og ledelsens ansvar å sikre fremtiden til virksomheten. De har et ansvar for å skaffe seg informasjon og innsikt om forhold som truer virksomheten. Cybersecurity og – trussler er et slikt forhold. Dette ansvaret kan ikke delegeres til IT avdelingen, eller til sikkerhetsansvarlig.

6 kontrollspørsmål som styret burde få tilfredsstillende svar på:

  • Benyttes et rammeverk for informasjonssikkerhet og er dette forankret i en helhetlig risikoforståelse for virksomheten?
  • Hvilke er virksomhetens 5 største cybersecurity-risiki?
  • Hvordan blir de ansatte bevisstgjort sin rolle ift Cybersecurity?
  • Blir både eksterne og interne trusler hensyntatt i planleggingen
  • Hvordan er sikkerhetsstyringen organisert i virksomheten?
  • Hvordan er responsen om en sikkerhetskrise oppstår?

«Det er sannsynlig at noe usannsynlig vil skje. Det eneste som er sikkert, er at det er usikkert.»  Aristoteles (384–322 f.Kr.)

Rune Berggren er seniorrådgiver i Steria Consulting. Han er fagansvarlig for risikostyring og jobber som prosjektleder og rådgiver innen risiko-, virksomhets- og prosjektstyring. 

Legg igjen en kommentar