Bestyrelsesmedlemmer er en lækkerbisken for cyberkriminelle
Hvis virksomheder skal reducere risikoen for cyberangreb gennem bestyrelsesmedlemmerne, kræver det en nuanceret diskussion og grundig træning. Ordentlig forberedelse er nemlig guld værd, når først uheldet er ude.
Det er efterhånden bredt anerkendt, at cybersikkerhed er blevet et bestyrelsesanliggende – ikke mindst med det kommende NIS2-direktiv. Budgetterne er vokset markant, og it-sikkerhedschefer er så småt begyndt at rykke ind på ledelsesgangene.
Men jeg savner en diskussion om, hvordan virksomheder kan uddanne bestyrelsesmedlemmerne i digital adfærd, og hvordan man risikostyrer cybertrusler.
Desværre er det min erfaring, at disse to punkter ikke er ordentligt struktureret hos mange virksomheder, selvom de er afgørende for at tackle cybertrusler i tide.
Bestyrelsesmedlemmer har typisk adgang til en lang række fortrolige informationer, som hackere gerne vil have fingrene i. Det gør medlemmerne til yderst attraktive mål.
At bestyrelsesmedlemmerne også er profileret på virksomhedernes hjemmesider, selskabsregistre mv., og dermed er nemme at finde oplysninger om, gør dem ikke ligefrem mindre attraktive.
For cyberkriminelle har efterhånden mestret at udføre sofistikerede social engineering-angreb, hvor de f.eks. udgiver sig for at være et bestyrelsesmedlem. Formålet er at snyde de ansatte, der ikke er opmærksomme på den type trussel, til at klikke på inficerede links eller fravriste dem forretningskritiske oplysninger.
Mange bestyrelsesmedlemmer sidder tilmed i adskillige bestyrelser. Det betyder, at hackere potentielt kan ramme flere virksomheder med kompromitteringen af ét bestyrelsesmedlem.
For at gøre ondt værre er det, jeg kalder for Dropbox-syndromet, udbredt blandt medlemmerne. Det er ikke unormalt, at de samler alt deres bestyrelsesarbejde på én platform.
Problemet er, at de ikke altid tager højde for de enkelte virksomheders sikkerhedspolitikker, men i stedet har fokus på at finde en nem totalløsning, som desværre ofte tilsidesætter sikkerheden.
Den digitale adfærd er afgørende
Bestyrelsesmedlemmer skal derfor funktionsadskille deres roller, så de minimerer risikoen for at lukke hackere ind i alle de virksomheder, de repræsenterer.
Her gør simple – men effektive – forholdsregler en stor forskel. Bestyrelsesmedlemmer bør anvende de respektive virksomheders løsninger og bruge forskellige passwords til hvert login. Førsteprioriteten skal nemlig ikke være at finde den nemmeste løsning, men den løsning, der reducerer risikoen for et angreb gennem bestyrelsen.
Virksomheder bør også foretage en OSINT-analyse (Open Source Intelligence) af hvert bestyrelsesmedlem, hvor eksperter undersøger, hvilke data der er offentligt tilgængelige om dem. På den måde kan man identificere eventuelle sårbarheder.
Vi har tidligere set informationer såsom stadig aktive passwords mm. fra gamle datalæk, som hackere uden det store besvær kan bruge til at få adgang til virksomheders netværk.
Ledelsen er nødt til at sikre uddannelse af bestyrelsesmedlemmerne i deres digitale adfærd – både i forhold til, hvor og hvordan medlemmerne er eksponeret, men også i forhold til deres generelle opmærksomhed på cybersikkerhed.
Virksomheder er ikke ens. Derfor anbefaler jeg altid, at ledelse og bestyrelse definerer virksomhedens position til og håndtering af cyberrisici. For højt digitaliserede virksomheder er cybersikkerhed en eksistentiel forudsætning for at kunne drive forretning og skal derfor prioriteres højt.
Modsat har cybersikkerhed for virksomheder med en mere analog forretningsmodel lavere prioritet.
For at kunne udvikle den rette cybersikkerhedsstrategi skal ledelsen derfor være klar over, hvor eksistentielt cybersikkerhed er for netop deres forretning og brand. Samtidig er det vigtigt, at de kortlægger det aktuelle trusselsbillede mod forretningen. For hvis virksomheden kender egne svagheder og eksterne trusler, reducerer det risikoen for sikkerhedsbrud betydeligt.
Ledelse og bestyrelse bør også inkludere budgetramme, forhandlingsstrategi etc. i diskussionen. Interne diskussioner om økonomi og om, hvorvidt virksomheden f.eks. skal forhandle med hackere skaber ofte kaos, når først skaden er sket.
Desværre møder jeg flere virksomheder, som ærgrer sig over, at der skulle en nærdødsoplevelse til, før de fik igangsat en nuanceret diskussion.
Stol på kriselederen
Endelig er det også vigtigt at fastlægge, hvem kriselederen er under et angreb og hvilket beslutningsmandat, kriselederen skal have.
Kriselederen styrer slagets gang og har en høj grad af autonomi for hurtigt at kunne beslutte, hvor grænsen går ift. involvering af eksterne eksperter, hvordan virksomheden kommunikerer med samarbejdspartnere – eller hvornår man trækker det store kabel og lukker ned for hele driften.
Under selve cyberangrebet skal CEO’en derfor være indforstået med at træde et skridt tilbage og lade kriselederen overtage styringen af virksomheden for en stund.
Forberedelse, uddannelse og nuanceret diskussion med bestyrelsen er vigtigt, hvis virksomheder vil reducere risikoen for et cyberangreb. Kogt ind til benet handler det om at forvente angreb, identificere sårbarheder, tage sine forholdsregler og om træning, træning og mere træning.
If you want peace, prepare for war.