Energiselskabernes it-sikkerhed er oftest baseret på medarbejdernes intuitive tilgang til opgaven. Det har virket indtil nu, men på langt sigt er det ikke en nødvendigvis en holdbar løsning.
Det fremgår af en ny forundersøgelse, som PricewaterhouseCoopers har udarbejdet for Energistyrelsen, der er på vej med nye krav til branchen.
Undersøgelsen roser det generelle sikkerhedsniveau, men PwC understreger, at virksomheder uden en formaliseret tilgang til it-sikkerhed baseret på "en aktiv stillingstagen til forretningens risiko" har en indbygget risiko for ikke at følge med den løbende udvikling i trusselsbilledet fra kriminelle hackere og fremmede magter.
Læs også: Stor undersøgelse af it-sikkerheden hos forsyningsselskaberne: Sådan står det til
Løsningen ligger hos ledelsen
"Ledelsen skal være sig sit ansvar bevidst. Der er desværre mange bestyrelser, som ikke er bevidste om risikoen ved cyberkriminalitet. Får man regelmæssigt synliggjort risikoniveauet over for ledelsen, kan de tage stilling til sagen og stille de rette spørgsmål ned ad i organisationen. Er de mest kritiske informationsaktiver og systemer identificeret, og er de dækket af passende sikkerhed?," siger director hos PricewaterhouseCoopers Christian Kjær, der står bag rapporten.
Meget tyder på at netop dette råd vil blive taget seriøst.
Efterhånden som sager om it-sikkerhed fylder mere og mere i mainstream medier, bliver folk uden it-faglig baggrund også mere opmærksomme på emnet.
"De hændelser, vi har haft her i Danmark, har jo understreget, at det ikke bare er på den anden side af Atlanten, at man skal være opmærksom på sin it-sikkerhed. Computerworld henvender sig jo til folk som mig, der interesserer sig for it- og informationssikerhed, men nu ser man jo også de her historier i andre medier, så ledelserne i mange organisationer vil blive opmærksomme på det," siger Christian Kjær.
De små skal hjælpes ad
Store spillere på energimarkedet har ifølge rapporten allerede en højere modenhed, et udtryk for hvor velorganiseret og forberedt en virksomhed er end mindre virksomheder.
De små spillere har nemlig ikke adgang til de samme økonomiske ressourcer og den samme mængde intern kompetence.
Det er der imidlertid råd for.
"Man kan ikke sidde i sin egen osteklokke og håndtere det selv. It-sikkerhed er jo et meget komplekst område, og man er nødt til at dele viden og for eksempel gå sammen med andre parter. Det ser man jo, at mindre energiselskaber allerede gør på andre områder. Brancheforeningen vil jo for eksempel gerne hjælpe medlemmer med rådgivning og værktøjer."
Hvor skal vi hen?
Rapporten bedømmer det samlede it-sikkerhedsniveau i den danske energibranche til 2,8 ud af fem mulige.
Ideelt set skulle karakteren være et tretal, men Christian Kjær understreger, at niveauet allerede generelt set er godt.
"Det er ikke skræmmende at man ikke ligger helt på et tretal endnu. Det er positivt, at der ligger noget sikkerhedsforståelse i dna'en hos de folk, der arbejder i energisektoren. De har en forståelse af, at deres arbejde er kritisk for samfundet og det afspejles i deres arbejde. At de så ikke er helt stringente i processen er ledelsens ansvar."