Strategisk risikostyring

I alle virksomheder er det ledelsen, der har det overordnede ansvar for, at organisationen ikke udsættes for unødigt store risici og de negative konsekvenser heraf.

Det er væsentligt, at ledelsen både bliver inddraget i og tager hånd om risikostyringen i forhold til cyberrisici. Den kompetente ledelse kan vælge at adressere cyberrisici-problematikken fra flere forskellige vinkler, blandt andet en operationel vinkel, hvor de overdrager en del af risk management-arbejdet til relevante afdelinger i virksomheden.

Starter fra toppen
Flere undersøgelser viser, at det er væsentligt, at cyberrisk management starter fra toppen, hvor ledelsen sætter fokus på risikoen og ikke mindst afsætter ressourcer i organisationen til at håndtere og forebygge risikoen ved blandt andet at udarbejde en it-politik og en krise-beredskabsplan. Derfor bør ledelsen også tilgå cyberrisici ud fra en strategisk tilgang.

Cyberrisici er dynamiske og i rivende udvikling, hvilket skaber nye udfordringer for virksomhedernes ledelse, da cyberrisici bevirker, at ledelsen i langt højere grad end ved andre typer risici skal opdatere sikkerhedsniveauet konstant for at reducere og minimere eksponeringen.

Vi har her samlet ti områder, som ledelsen bør tage i betragtning i forbindelse med cyberrisikostyring:

  1. Hackere er altid to skridt foran
    Cyberspace er i konstant udvikling, og de it-kriminelle, hvad enten det er enkeltmands aktivitet, eller der er tale om en større organisation, bliver hele tiden dygtigere. Vi har hidtil set en del eksempler på hacking, Ddos- og virusangreb, men alle eksperter spår, at man bør forberede sig på nye former for it-kriminalitet i fremtiden.

    Det kan være vanskeligt for virksomhederne at følge med hackernes udvikling, og det er derfor vigtigt, at ledelsen udarbejder og vedligeholder it-sikkerhedspolitik og beredskabsplaner samt overvejer at tegne en forsikring.


  2. Cyberrisici påvirker bundlinjen
    Cyberrisici er et bredt begreb, som ofte kan virke meget diffust for den enkelte virksomhed, men ikke desto mindre har et cyberangreb som oftest stor betydning for din virksomheds omsætning og omdømme, hvilket kan indvirke negativt på bundlinjen. I 2013 blev de årlige globale omkostninger ved cyberrisici anslået til ca. 500 billioner dollars (1).


  3. It-sikkerhed og virksomhedsoverdragelser
    Ledelsen bør være opmærksom på it-sikkerheden og cyberrisici, når de køber eller sælger virksomheder. Eksperter vurderer, at it-sikkerhed bør være en større del af den forudgående due diligence proces, da overdragelse af en virksomhed, der er inficeret med malware, kan medføre ansvarskrav, blandt andet ledelsesansvarskrav fra aktionærer, hvis de lider tab på grund af den manglende it-sikkerhed.


  4. Forretningshemmeligheder kan blive stjålet eller offentliggjort
    Forestil dig, at din virksomhed bliver hacket, og alle virksomhedens dokumenter, forretningshemmeligheder, immaterielle rettigheder, patenterede løsninger m.v. bliver lækket til offentligheden eller solgt til konkurrenter. Det vil have en væsentlig indflydelse på de fleste virksomheder, og det kan få store konsekvenser for din virksomheds position i forhold til konkurrenter.

    Derudover kan det være ødelæggende for en virksomhedsoverdragelse, hvis din virksomhed mister en del goodwill eller forretningshemmeligheder.


  5. Persondata kan blive stjålet eller offentliggjort
    Persondata er i høj risiko for at blive stjålet, da persondata er let tilgængelig for hackere i hele verden og indeholder let omsætteligt data.
    Alle virksomheder opbevarer persondata, både ansattes og kunders, og bestyrelsen bør tage højde for, og afsætte ressourcer til, at opbevare disse data sikkert og i overensstemmelse med gældende lov.

    I Danmark er persondataloven hovedreglen for, hvordan og hvornår persondata kan opbevares. Persondataloven gælder både for private virksomheder, foreninger og organisationer og for alle offentlige myndigheder.

    Det forventes, at man vil implementere en ny databeskyttelsesforordning i Danmark i 2015. Denne forordning kommer netop i lyset af den teknologiske udvikling og den stigende udveksling af persondata. Forordningen vil sikre ensartet behandling af persondata i EU-landene samt skærpe reglerne om opbevaring af persondata og konsekvenserne af manglende overholdelse heraf.


  6. Medieomtale
    I forbindelse med cyberangreb kan din virksomhed blive udsat for massiv medieomtale, som ikke i alle tilfælde vil være positiv. Den negative medieomtale i forbindelse med et cyberangreb kan blandt andet påvirke dine kunder og samarbejdspartneres tillid til, at virksomheden formår at opretholde et tilstrækkeligt sikkerhedsniveau.


  7. Omkostninger i forbindelse med retssager
    Både din virksomhed og ledelsen kan blive mødt med krav som følge af et cyberangreb. Erstatningskravene kan være begrundet i mistet data (persondata og virksomhedsinformation), skade påført tredjepart (overførsel af virus) eller tab, som aktionærerne lider, hvis din virksomhed mister dens værdi. Retssagerne kan være særdeles omkostningstunge, og ledelsen bør derfor ikke alene tage højde for risikoen for selve cyberangrebet, men også omkostningerne til at føre en retssag.


  8. Følgeomkostningerne er høje
    Udover de direkte tab, som virksomheden lider, når den bliver udsat for et cyberangreb (blandt andet at der mistes data), vil der være en række indirekte omkostninger, som undersøgelsesomkostninger, genetableringsomkostninger, driftstab, PR-omkostninger og omkostninger til at notificere de personer eller virksomheder, hvis data er mistet. Det er derfor vigtigt, at ledelsen tager højde for alle omkostninger, der vil følge af et cyberangreb, og kortlægger omfanget af en eventuel skade.


  9. Et beredskab er nødvendigt
    Når din virksomhed bliver udsat for et cyberangreb, kræver det øjeblikkelig reaktion for at kunne begrænse skaden og hurtigst muligt genoprette data eller netværket, så virksomheden kan vende tilbage til normalt drift. Derfor er det ofte nødvendigt at anvende eksterne eksperter som it-eksperter, advokater og PR-konsulenter afhængigt af skadens form og omfang. Før krisen indtræder, bør ledelsen allerede have taget stilling til, hvem der skal kontaktes hvornår og hvordan, eller have sikret sig, at der i jeres forsikring er et element af krisehåndtering blandt andet et beredskabsteam eller en hotline, der kan kontaktes, når skaden sker.


  10. Det er muligt at tegne forsikring for disse risici
    Bestyrelsen bør overveje at overføre de nævnte økonomiske risici til en tredjepart som for ekselpel et forsikringsselskab. Det kan i dag gøres både via standard cyberforsikringer og særligt tilpassede forsikringsløsninger. Markedet for cyberforsikring er i stor vækst, og der er adskillige gode produkter i det danske og det internationale marked allerede. Din virksomhederne skal dog være opmærksom på, at der er stor forskel på dækningsklausulerne og undtagelserne. Derfor anbefaler vi, at virksomheden drøfter det med en rådgiver, der har erfaring med cyberforsikring. Læs mere under menuen Forsikring.

1) Cyber Crime report McAfee