Fælles for alle disse tiltag er, at de foregår i den ”fysiske verden” – den verden, vi kender til og ved, hvordan man agerer i – altså det mange vil betragte som håndgribeligt. Men hvad med den verden, vi ikke kender så meget til – ”cyber-verdenen.” Denne verden er en uhåndgribelig størrelse. Vi har ikke føling med, hvem de IT-kriminelle er, hvordan de ser ud, eller hvor de befinder sig. Vi ved ikke, hvordan de rammer os. Vi ved ikke, hvornår det sker, og som mange vil sige: Sker det overhovedet for os? Til det sidste kan jeg desværre kun sige – det sker, og i stigende omfang, da det er en yderst lukrativ forretning at være IT-kriminel, og deres ugerningers succes er ikke til at overse!
IT-chefen kender godt vigtigheden af at sikre organisationen mod IT-kriminalitet og ved også, at der er så mange aspekter, som gør, at cybersikkerhed er enormt kompliceret. Men bliver der gjort nok, og hvad er nok? At høre om organisationer, der bliver ramt af angreb, som kunne have været undgået, hvis blot den basale cyberhygiejne var på plads, skærer i hjertet.
Ansvaret for cybersikkerhed ligger ikke kun hos IT. Det er et ansvar, som må og skal ligge hos organisationens øverste ledelse. Det er dem, som kommer til at stå til ansvar over for ejere, bestyrelser og samfundet, når skaden er sket. Desværre er der mange i den øverste ledelse, bestyrelser m.v., som ikke helt forstår, hvad cybersikkerhed har med dem at gøre. De har jo ansat folk i IT til at tage sig af den hovedpine.
Hvis de nu vidste eller forstod, at omfanget kan være altødelæggende og gøre organisationen ude af stand til at manøvrere rundt i måneder, måske år, eller i værste fald lukke organisationen ned, ville alting måske se anderledes ud. Faktisk vil konsekvensen ofte være mindre, såfremt organisationens hovedsæde brænder ned en mørk nat, end hvis den bliver offer for et hackerangreb – selvom dette scenarie vil være totalt uoverskueligt i enhver ledelses verden. Men når selv simple funktioner, som vi i hverdagen ikke regner for noget, bliver sat ud af drift, er vi der, hvor det koster beløb, vi ikke har fantasi til at drømme om. Det er ikke IT’s hovedpine, det er den øverste ledelses hovedpine.
Udover ansvarets allokering er der også ressourceallokering. Hvor mange ressourcer skal det koste at sikre organisationen? Lad mig stille spørgsmålet på en anden måde. Hvor meget vil du give for, at din organisation ser dagens lys i morgen? Mange organisationer døjer med effektivitetstab og omdømmetab i lang tid efter, at IT-kriminelle har været på spil, i en grad som man ikke kan forestille sig, hvis man ikke har været udsat for det.
Af en eller anden årsag er vi tydeligvis ikke lige så bekymrede for risici forbundet med datalæk eller hackerangreb, som vi er for risici i den fysiske verden, eller hvad? For at vende tilbage til indledningen i denne artikel: ”Hvorfor er det, at vi ikke beskytter vores virksomheder lige så effektivt, når det gælder cybersikkerhed, og er lige så ansvarlige, som vi er i den ”fysiske verden”?” Det spørgsmål står stadig åbent.
Nogle gange virker det som en kamp, man ikke kan vinde, men vi må ikke give op – vi må kæmpe videre.
De gode råd til dig, der tager ansvar, om end du sidder i IT eller den øverste ledelse, er:
- Cybersikkerhed er en ”never ending story.”
- Forstå, hvad der skal til, og engagér dig med eksperter inden for cybersikkerhed, ligesom du engagerer eksperter på virksomhedens andre parametre.
- Forstå din organisation, læg en strategi, og prioritér dine indsatser, så de giver mest værdi.
- Hav styr på den basale cyberhygiejne, og uddan dine medarbejdere.
- Involvér den øverste ledelse, bestyrelsen m.v. så de forstår, hvilket ansvar de har på deres skuldre.
Du kan aldrig vide dig sikker, men du har gjort dit ypperste, gjort det langt sværere for de IT-kriminelle og mest af alt taget ansvar for den organisation, du er en del af!