Norske styrer må ta større cyber-ansvar

2020 var et veiskille i cybertrussel-landskapet: Virksomheter i alle bransjer har på kort sikt måttet omstille seg på rekordtid for å tilrettelegge for fjernarbeid. Investeringene i teknologi gikk med rekordfart, og flere virksomheter endte sannsynligvis opp med vesentlig høyere risikoeksponering enn det de hadde budsjettert for. Ikke overraskende har vi vært vitne til en eksplosjon av trusselaktører som utnyttet frykten og usikkerheten pandemien skapte for å nå virksomhetens mål. “Cyber” har for alvor satt sitt preg på nyhetsbildet, og enkelte har gått så langt som å advare mot et norsk digitalt “Pearl Harbor”. Ikke overraskende gjenspeiles denne utviklingen i hva som bekymrer topplederne. PwCs årlige CEO Survey som ble lansert 11. mars viser at ni av ti toppledere ser på datainnbrudd som den største trusselen mot fremtidig vekst. Men i norske styrerom er det annerledes: Der er kun halvparten bekymret for cyber. Har norske styremedlemmer sovet i timen? 

Fra irritasjon til eksistensiell trussel

Det Solarwinds, Garmin, SAS, Stortinget og Østre-Toten kommune har til felles er at de har vært utsatt for datainnbrudd det siste året. Det dukker stadig opp nye trusselaktører og metoder for å utnytte sårbarheter i løsningene vi er sårt avhengige av, samtidig som man strever med å skaffe tilstrekkelig kompetanse. Trusselaktørene er profesjonelle og motiveres av at flere verdier blir tilgjengeliggjort gjennom digitalisering. Forsøk på å kompromittere virksomheter gjennom digitale virkemidler er noe alle virksomheter blir utsatt for. I denne virkeligheten har cybertrusler beveget seg fra å være et irritasjonsmoment til å kunne bli en eksistensiell trussel. Disse truslene har potensiale til å sette virksomheter ut av spill, gjennom eksempelvis å gjøre kritisk informasjon eller systemer utilgjengelig. Næringslivets ledere ser ut til å ha endret sin virkelighetsforståelse og anerkjenner at trusselbildet har endret seg, men det ser ikke ut som styrene har gjort den samme justeringen.

Ledelsen forteller ikke hva de egentlig bekymrer seg for

Det er et lederansvar å håndtere og rapportere på risiko som har potensiale til å true verdiene til selskapet. IT-direktører og CISOer har dermed fått en viktigere stemme og har blitt en brobygger mellom IT-problemer og ledelsens forståelse. Disse rollene har alltid vært der – men det er først i senere år at stemmene deres virkelig har fått gehør. Gjennom rapportering på cyberrisiko, trusselbilde og potensielle konsekvenser har man økt innsikten blant norske toppledere. Ledere har samtidig erkjent hvor viktig det er å forstå hvordan cyberrisiko og trusler har potensiale til å true deres verdier og måloppnåelse. 

Rapporteringen på cybersikkerhet varierer mellom virksomheter, men det er likevel overraskende at PwCs styreundersøkelse fant at det kun er 34% av styrene som opplever at de mottar nyttig rapportering om cybersikkerhet i virksomheten. 

Det er en forskjell mellom trusselforståelsen hos virksomhetens ledere, og det norske styrer opplever. Det er ikke bare ledelsens ansvar å rapportere på selskapsrisiko til styret – styret må også sørge for at det blir rapportert på og at de forstår hva rapporteringen betyr for selskapet. Ettersom så mange som 91% av topplederne er bekymret for cybertrusler, kan det virke som at det ikke rapporteres på trusler eller risikobildet som ledelsen egentlig bekymrer seg for.

Blir bedriften svindlet i et cyberangrep kan styret får ansvaret

Norske styrer har gjennom aksjeloven en forpliktelse til å sette seg inn og følge opp potensielle risikoer for selskapets overlevelse. Styret setter forventninger og legger til dels føringer for ledernes prioriteringer. Den enorme mobiliseringen på hjemmekontor har medført en økt risikoeksponering. Når en stor del av styrene mangler forståelse for hva denne risikoeksponering betyr kan det skape utfordringer for å redusere risikoen. Det er viktig at ledelsen er tydelige i sin kommunikasjon omkring cybertruslene rettet mot virksomheten og hvordan det påvirker fremtidig vekst. 

I Norge kan et styre gjøres ansvarlige av eiere ved økonomiske tap. Derfor syns vi det er merkelig at kun halvparten av norske styrer er bekymret for cybertrusler og bare tre av ti opplever å ha full forståelse for selskapets cyberstrategi- og plan. Cyberrisiko må kontekstualiseres og ses i sammenheng med virksomhetens overordnede strategi og målsetning. For at styrene skal øke sin forståelse må de også øke sin kompetanse. Dersom styret virkelig forstår risikoen som cyberdomenet utgjør er det rimelig å anta antallet som er bekymret er mer enn halvparten. Da lurer vi på - forstår styrene hva denne risikoen betyr?

Nesten åtte av ti styremedlemmer mangler cyber-kunnskap

Det er gjennom bevisstgjøring, forståelse og kunnskap at man bygger kompetanse. Forståelse for hvilke konsekvenser cyberrisikoen kan gi for virksomheter synes å være fraværende blant halvparten av norske styrer. 78% av styremedlemmene svarer at de ikke har tilstrekkelig kompetanse innenfor cybersikkerhet - det er et betydelig kompetansegap. Norske styrer burde følge ledelsens eksempel og jobbe aktivt for å øke sin forståelse, sin kunnskap og derigjennom sin kompetanse som styremedlem. For at styret skal ivareta sine forpliktelser som styremedlem må de også ta grep for å tilegne seg nødvendig kompetanse. Styrene må aktivt integrere den nødvendige kompetansen for å møte den nye virkeligheten. Selv må norske styrer må ta større ansvar og engasjere seg for å forstå hvilke risikoer virksomheten møter og påse at det gjøres rapportering på disse. Hvorfor har ikke styrene tatt dette ansvaret enda?

Ikke attraktivt nok å være styremedlem i Norge

Det kan være mange forklaringer og vi tror et sentralt element handler om at hvorvidt man klarer å tiltrekke seg styremedlemmer med nok innsikt i cyberrisiko. Det er et vesentlig behov for ansatte og ledere med innsikt i cyber- og sikkerhetsrelaterte problemstillinger – hvilket resulterer i hard konkurranse i markedet. De tradisjonelle ordningene og insentivene for å engasjere medlemmer i styreverv er gjerne ikke nok for å kapre de styremedlemmene som har nok innsikt i den nye og heldigitale virkeligheten.

Ledelsen må vekke styremedlemmene 

Styrene må gjøre omfattende grep for å møte sine forpliktelser og ledelsen må evne å gi styret den innsikten de trenger i cyberrisiko. Styrene må ha nok forståelse til å stille de gode spørsmålene, til å utfordre ledelsen og til å se den langsiktige fordelen ved å investere i sikkerhetstiltak. Det er et enormt behov for å investere i gode sikkerhetstiltak – og det kan være avgjørende for hvilke selskaper som overlever i årene fremover. 

Det kan være at styremedlemmene har sovet i timen, og det kan være at ledelsen har glemt å vekke dem. Uansett hva som er forklaringen så er en ting sikkert – cybertrusselen sover ikke.

Denne kronikken ble opprinnelig publisert i Dagens Næringsliv og kan leses her.