It-sikkerhed er bestyrelsens ansvar

Kigger vi blot et par år tilbage, har der været en del skriverier i medierne om en række store virksomheder, der har været udsat for hackerangreb, it-nedbrud, tab af persondata, ransomware og mange andre it-katastrofer. De virksomheder, der er flest af i Danmark – altså de små og mellemstore virksomheder – er bestemt også i søgelyset her, for selvfølgelig er det ikke kun de største virksomheder, der udsættes for sådanne udfordringer.

Men hvad kan man som ledelse – måske endda øverste ledelse såsom bestyrelse eller ejerkreds, der ikke deltager i den daglige drift – gøre for at sikre det rigtige it-sikkerhedsniveau?

Sikkert er det, at man aldrig kan opnå 100 % it-sikkerhed. Denne erkendelse er meget vigtig. Sikkert er det også, at man kan poste millioner af kroner i teknisk it-sikkerhed (firewalls, kryptering, backup osv.), men alt dette vil og kan ikke sikre mod en tankeløs eller naiv bruger, der klikker på det ”forkerte” link. Artiklens ærinde er imidlertid ikke at pege på konkret udstyr eller software, der bør anskaffes, men i stedet, hvilke beslutninger der skal træffes – og ikke mindst af hvem.

Kan man som virksomhed outsource hele it-sikkerhedsområdet og dermed få løst problemet? Nej, ansvaret for it-sikkerheden kan aldrig outsources. Ansvar i det hele taget kan aldrig outsources. Ansvaret er altid placeret hos ledelsen, og spørgsmålet er herefter, hvordan ledelsen kan sikre, at it-sikkerheden er på det rette niveau.

Bestyrelsen bør starte med at spørge direktøren om tiltag, der er gjort for at sikre en stabil it-drift og undgå datatab. Spørgsmålet lyder enkelt, men det vil svaret givetvis ikke være. Direktøren må helst ikke svare, at ”det ved den it-ansvarlige, så det ved jeg ikke”. Måske svarer direktøren ud fra den antagelse, at hun/han skal komme med tekniske forklaringer, hvilket ikke er meningen. I værste fald er direktøren bare ærlig …

CIA og it-sikkerhed

Enhver virksomhed bør som minimum gøre sig overordnede tanker om risici i forhold til sikring af:

• Datafortrolighed. Tab eller uønsket offentliggørelse af data (især person- eller andre fortrolige data) kan ikke ske.

• Stabil it-drift. Systemerne skal virke og afvikles som forventet, og der skal være testede planer for at vende tilbage til normal drift inden for en estimeret tidsramme.

• Dataintegritet. Data kan ikke uretmæssigt ændres eller slettes.

Ovennævnte er også kendt som CIA (confidentiality, integrity og availability) og benyttes af mange inden for sikkerhedsbranchen som den helt overordnede paraply ift. adressering af it-sikkerhed.

Afhængig af virksomhedens størrelse og kompleksitet kan ovennævnte overvejes og dokumenteres mere eller mindre struktureret, men efterhånden er it-afhængigheden i næsten alle virksomheder så omfattende, at det af et bestyrelsesmedlem vil anses for en mangel, hvis den daglige ledelse ikke har gjort tiltag til at beskrive risici ved og afhængighed af it. Vurdering af it-sikkerheden bør være en del af bestyrelsens årshjul på lige fod med fx CSR, miljøforhold, væsentlige kommercielle risici, forsikringsforhold mv.

For nogle virksomheder giver det mening at starte med en risikoanalyse i forhold til førnævnte CIA-principper, som efterfølgende udmøntes i en række konkrete tiltag såsom beskrivelse af politikker og procedurer, kriterier for valg af leverandører osv. Andre virksomheder kan måske nøjes med politik og procedure for adgangsstyring, ændringsstyring og leverandørstyring, hvor kravene sættes kvalitativt direkte i dokumenterne, så det for virksomheden fremover ikke vil være muligt at etablere samarbejde med en it-leverandør, der ikke har et passende sikkerhedsniveau.

Opmærksomheden på it-sikkerhed er ikke ny, men omvendt er det stadig ikke helt så almindeligt at tildele it-sikkerhed samme opmærksomhed som virksomhedens økonomifunktion, salgsfunktion m.m. Mange direktører har det måske lidt svært med at udfordre it-folkene i virksomheden, for så “begynder de jo bare at tale et sprog, vi ikke forstår”. Påstanden kan nok ikke helt afvises, men på den anden side vil en økonomichef i ondt lune også kunne kommunikere på en måde, som en allround-direktør ikke helt forstår. Direktøren (og bestyrelsen) må blot være bevidste om at have en kommunikation med virksomhedens it-afdeling og/eller it-leverandører på et forretningsmæssigt, ikke-teknisk niveau.

Rapportering om dataetik

Via selskabslovgivningen har myndighederne også sat mere fokus på virksomhedernes håndtering af it og data. I 2021 blev det således vedtaget, at de største virksomheder fremover skal rapportere om dataetik i deres årsrapporter. Tilsvarende vil revisorerne fremover i højere grad have fokus på kundernes it-forhold og it-sikkerhed.

Til inspiration kan nævnes, at Bestyrelsesforeningen har udarbejdet vejledninger til bestyrelser (som også bør læses af direktører) om, hvordan it-sikkerhed kan komme på dagsordenen i bestyrelseslokalet. Direktøren vil naturligvis skulle eksekvere, og vejledningen kan dermed inspirere direktøren i forhold til kommunikationen med virksomhedens it-afdeling og/eller it-leverandør. En anden inspirationskilde, der nok er mest relevant for de lidt større og komplekse virksomheder, er CIS18-kriterierne (critical security controls). Disse kriterier giver et billede af, hvordan man kommer “hele vejen rundt” om de væsentlige elementer i it-miljøet, og CIS18-kriterierne kan derfor også være et passende grundlag for den løbende rapportering til bestyrelsen.