Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Skal kaptajnen på et skib kende til alle undersøiske skær og andre farer på sin rute?
Nej, ikke nødvendigvis. Men han skal vide, at de er der, hvornår der skal bruges hjælp fra en lodsbåd for at komme udenom dem, og hvad der skal ske, hvis skibet rammer dem.
Og han skal sikre, at sikkerhedsudstyret er i orden, og at hele besætningen er bedst muligt uddannet og forberedt – både til at undgå ulykken og håndtere den, hvis den sker.
På samme måde skal topledere i direktioner og bestyrelser ikke nødvendigvis være tekniske eksperter i informationssikkerhed, men de skal vide nok til at kunne tage afgørende beslutninger om tilgang, organisering og investeringer.
Global cyberkriminalitet forventes i 2025 at have nået en økonomisk værdi, der vil svare til, at det er verdens tredjestørste økonomi efter USA og Kina. Så det er ikke nogen lille faktor, vi snakker om.
Og desværre er direktioner og bestyrelser i mange danske virksomheder skræmmende dårligt klædt på til at tage beslutninger om cybertrusler og risici forbundet med nye teknologier som kunstig intelligens og quantum computing.
Ovenstående er måske sat på spidsen, men baseret på mine oplevelser og samtaler med andre i branchen er der grund til at råbe vagt i gevær.
Vi har brug for, at toplederne træder ind i denne agenda.
Jeg har ikke data for de danske ledere, men Accenture har for nylig gennemført en global undersøgelse der viser, at der stadig mangler noget i topledernes forståelse af cybersikkerhed. Undersøgelsen flugter meget godt med min oplevelse af, hvor danske direktører er.
Du kan eventuelt sammenligne med din egen topleder i de næste afsnit.
Er din CEO som flertallet?
Først og fremmest viser undersøgelsen et gap mellem topledernes oplevelse af udfordringerne med cybersikkerhed og deres viden om emnet.
Hele 96 procent forstår, at cybersikkerhed er en nøglefaktor for deres forretning, men kun hver tredje (33 procent) angiver, at de har dyb viden om det omskiftelige trusselslandskab.
Og det samme gør sig gældende, når de kigger på deres egen forretning.
Tre ud af fire (74 procent) er bekymrede for deres virksomheds evner til at afværge eller afbøde et cyberangreb, men uden den rette viden er det en bekymring, de er ude af stand til at handle på.
Den er også gal, når man ser på beslutningstagernes vurdering af den reelle risiko, de kigger ind i.
I den globale undersøgelse angiver over halvdelen (54 procent), at de ser omkostningerne ved at implementere cybersikkerhed som meget højere end de potentielle omkostninger ved et cyberangreb.
Og det på trods af, at andre undersøgelser viser, at dem der prioriterer investeringer i sikkerhed, har omkostninger i forbindelse med hackerangreb, der er tre gange lavere end andre virksomheder.
Her i Danmark har Alm. Brand har for nylig gennemført en undersøgelse, der tegner samme billede.
Den viser, at 35 procent af beslutningstagere i små og mellemstore virksomheder i Danmark ikke mener, at det er økonomisk forsvarligt at investere i en forsikring mod cyberangreb.
Alle disse topledere tager altså beslutninger ud fra en præmis om, at cyberangreb nok ikke rammer deres virksomheder så hårdt. Efter min mening en vildfarelse.
Måske tænker de kun på de umiddelbare finansielle tab i forbindelse med selve angrebet – og ikke afledte tab i forhold til relationer til samarbejdspartnere, genopretning af systemer, dårligere omdømme og dermed potentielle vedvarende tab på længere sigt.
Det bliver ikke bedre af, at mange direktioner slet ikke ser cybersikkerhed som noget, de bør beskæftige sig med, men snarere som et compliance issue.
Næsten halvdelen (44 procent) af de adspurgte topledere ser ikke cybersikkerhed som et strategisk forretningsspørgsmål, men mere som noget der kræver sporadisk indgriben snarere end kontinuerlig opmærksomhed.
Dette sidste resultat er for mig det mest skræmmende. Rigtig mange direktioner ser stadig cybersikkerhed som noget, de kan deponere i it-afdelingen.
Det er for snævert tænkt. Emnet griber fundamentalt ind i forretningen og kan have alvorlige konsekvenser for både kunder og forsyningskæder.
Hvis man ikke har den rette indsigt selv som CEO, så bør man sikre sig at andre i nærheden har den. CISO’en sidder desværre ofte på sidelinjen uden for direktionen.
Bestyrelserne har en nøglerolle
Måske ligger problemet i virkeligheden et andet sted. Det er bestyrelserne, der ansætter de administrerende direktører. Og det er bestyrelsernes rolle at have det lange lys på og sikre, at virksomheden forholder sig til risici på den lange bane.
Jeg diskuterede udfordringen med ligesindede på et netværksmøde i Altinget for nylig. Vi var enige: Der er ikke nok, der forstår cybersikkerhed i danske bestyrelser.
Det bekræftes i en anden Accenture-undersøgelse, der viser, at kun godt hvert tiende bestyrelsesmedlem i Danmark har teknologierfaring.
I USA skal virksomheder over en vis størrelse have cyberkompetencer i bestyrelsen. De har i det hele taget en mere militant tilgang til sikkerhed ”over there,” men det siger alligevel noget om betydning af en bestyrelse, der forstår udfordringerne.
Det handler ikke om at køre mig selv i stilling til bestyrelsesposter, men der burde – helt ubeskedent – sidde mange flere som mig med en forretningsmæssig tilgang til cybersikkerhed i de danske bestyrelser.
Og emnet burde fylde mere på bestyrelsesuddannelserne. Undervisning i cyber-sikkerhed fylder kun et par timer i de bestyrelsesuddannelser, jeg kender til. Det er kun nok til en helt basis introduktion – ikke til at kunne tage strategiske beslutninger.
Der lurer flere og flere farer i dybet, når danske virksomheder skal navigere sikkert. Vi har alle en interesse i, at beslutningstagerne på broen har de bedste forudsætninger for at tage de rigtige beslutninger.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.