Der er ikke mange dage på et år, hvor dette medie eller andre ikke refererer rapporter eller publicerer artikler om for ringe IT-sikkerhed i Danmark. Disse har i de seneste år med svingende held jaget en skræk i livet på virksomhedsledere landet rundt, som forvirret forsøger at få hoved og hale på truslernes mange former. Grundlæggende mener jeg, at debatten har et forkert udgangspunkt. IT-sikkerhed betragtes som et irriterende problem i en tid hvor et højt sikkerhedsniveau kunne være et aktiv uden sidestykke for en virksomhed.
Direktøren for Ingrian Networks i Europa, James Blom, hævdede for nylig, at danske virksomheder direkte bliver fravalgt som samarbejdspartnere på grund af den ringe IT-sikkerhed, landet generelt byder på. Jeg tror, på linie med andre i IT-sikkerhedsbranchen, at James Bloms karakteristik af Danmark som et tilnærmelsesvist IT-sikkerheds-uland er overdrevet. Jeg mener imidlertid, at han har ret i, at sikkerhed spiller en stor og stadig tiltagende rolle ved valget af samarbejdspartnere. Hvorfor ikke derfor vende debatten rundt og gøre IT-sikkerhed til et aktiv og således ud fra en logisk modslutning tiltrække udenlandske virksomheder?
Ambitionen bør ikke blot være at holde trit med de andre europæiske lande, men derimod aktivt at
gøre sikkerhed til et dansk varemærke. Det kræver imidlertid en bevidsthed, som i dag ikke eksisterer, på direktionsgangene i de danske virksomheder. I dag drøner mange virksomheder således rundt på informationsmotorvejen uden egentlig på ledelsesniveau at kende konsekvenserne af og risikoen for uheld. Viden og beslutninger på højeste niveau er nødvendigt.
En opgave for det kommende Råd for IT-sikkerhed, som afløser det hedengangne IT-sikkerhedsråd, kunne derfor være gennem oplysningskampagner at drive virksomhedernes viden og indsats på området fremad. Rådet nyder, til forskel fra den lange række af IT-sikkerhedsfirmaer, en fuldstændig uafhængighed, som styrker troværdighed og vægt i opfordringerne til landets virksomheder.
Øget sikkerhed kan imidlertid også blive resultatet af revisorernes hensyntagen til IT-sikkerhed. Når et regnskab udarbejdes på baggrund af en going concern formodning, bør en revisor ikke forbigå åbenlyse IT-sikkerhedsproblemer i en virksomhed. Det bør i det mindste resultere i en note, som redegør for det potentielle tab for virksomheden, hvis uheldet skulle være ude. En sådan pligt kan formentlig allerede i dag udledes i de gældende regler, og i modsat fald bør der politisk arbejdes på at indføre dette. Herved tvinges virksomheder til at have et tilstrækkeligt sikkerhedsniveau, som rent faktisk beskytter de indre værdier. Eller alternativt leve med urovækkende signaler til aktionærer og samarbejdspartnere.
Øget sikkerhed i det danske erhvervsliv vil være af stor værdi, uanset hvordan den opnås. Men progressiv egen vilje hos virksomhederne er klart at foretrække. For en virksomhed er det en åbenlys chance for at markere sig positivt i forhold til omverdenen. Og et højt IT-sikkerhedsniveau bør profileres som kvalitetsstempel og ikke blot indtage sekundær rolle. Det vil på sigt være af stor værdi, at et produkt leveret fra Danmark associeres med høj sikkerhed - Made in secure Denmark?
Brian Mertz Pedersen er koncerndirektør i sikkerhedshuset EuroTrust A/S.