Cybersikkerhed er en afgørende faktor i ESG-mål
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
I 2024 træder EU’s Corporate Sustainability Reporting Directive i kraft. Direktivet pålægger alle danske virksomheder med mere end 250 ansatte at offentliggøre en ESG-rapport. Det vil sige, at de skal offentliggøre oplysninger om deres forhold inden for samfund, klima og ledelse.
Normalt forbinder man ESG-området med initiativer, der reducerer CO2-fodaftryk eller understøtter diversitet og lighed. Flere påpeger dog også, at virksomheder bør anse cybersikkerhed som en del af deres ESG-indsats.
Ifølge World Economic Forum er cyberrisikoen den mest påtrængende bæredygtighedsrisiko med de største økonomiske konsekvenser. De fremhæver tre gode grunde til, at cybersikkerhed bør inkluderes i ESG-området.
For det første er data blevet et afgørende, strategisk aktiv, som er grundlaget for langt de fleste virksomheders forretning. Risikoen for, at forretningskritiske data kompromitteres, vokser i takt med, at automatiserede angreb, organiseret cyberkriminel aktivitet og nationalstaters politisk motiverede angreb udbredes. Det har resulteret i en række ødelæggende angreb på forsyningskæden og destruktive ransomware-angreb.
For eksempel blev det danske hostingselskab Cloudnordic for nylig ramt af et ransomware-angreb, hvor de mistede alle kunders data. Angrebet kostede virksomheden livet, og alle deres kunder har mistet deres data for bestandigt. Det er et kæmpe værditab for de kunder, det er gået ud over.
For det andet udgør cyberkriminalitet en trussel for vores samfund som helhed. Digitalisering gennemsyrer vores samfund, og derfor kan cyberangreb have en enorm indflydelse på borgerne, hvis angreb forårsager nedbrud af betalingssystemer, forhindrer adgang til sundhedsvæsnet eller resulterer i tab af arbejdspladser.
Sidst men ikke mindst, kan cyberforsikringer simpelthen ikke følge med risikoen. Mange virksomheder har tidligere satset på at nedbringe risikoen ved cyberangreb ved at investere i cyberforsikringer, men forsikringsselskaberne kan ikke længere tilbyde tilstrækkelig dækning.
De har brændt nallerne. Cyberforsikringer har kostet dem dyrt. Og nu har de skruet gevaldigt op for priserne. Konklusionen er, at forsikring ikke kan erstatte gode sikkerhedsforanstaltninger.
Cyberangreb kan medføre enorme kursfald
Investorer er begyndt at følge med på cybersikkerhedsområdet. Før 2015 påvirkede cyberhændelser ikke aktiekursen synderligt. Det gør de nu.
Et alvorligt cyberangreb kan medføre enorme kursfald og stille spørgsmålstegn ved en virksomheds levedygtighed. For eksempel tog Solarwinds aktiekurs et ordentligt dyk på 23 procent i 2021 efter et supply chain-angreb, der også ramte i omegnen af 50 virksomheder i Danmark.
Med de chokbølger og finansielle nedture, cyberangreb kan forårsage, er det kun naturligt, at flere investorer reflekterer over virksomheders cybersikkerhedsindsats, når de overvejer en investering.
Nogle etiske investorer investerer kun i virksomheder, der følger De Forenede Nationers verdensmål, som faktisk også indeholder elementer af cybersikkerhed. For eksempel mål 9, som handler om at opbygge robust infrastruktur, og mål 16, som handler om at opbygge effektive, ansvarlige og inddragende institutioner og give offentligheden adgang til information.
Så hvordan bør organisationer inkorporere cybersikkerhed i deres ESG-politikker?
Det er ikke så besværligt, som man kunne frygte, da de fleste virksomheder allerede gør mange af de rigtige ting. Flere og flere forankrer for eksempel ansvaret for cyberrisiko i ledelsen, rapporterer regelmæssigt risici til bestyrelsen og har god praksis for compliance. Flere dele af regulativer som eksempelvis GDPR hører også under ESG-området.
Der, hvor virksomheder bør gøre mere, er i deres tilgang til cybersikkerhed. De fleste danske virksomheder kunne med fordel blive langt mere proaktive. Evnen til at opdage og reagere hurtigt på trusler er nemlig afgørende for, hvor godt man kommer igennem en sikkerhedshændelse.
Her kan teknologi hjælpe med at automatisere efterforskningen af sikkerhedshændelser og oprettelse af relevante rapporter til forskellige interessenter.
Teknologi er afgørende for virksomheder, hvis de skal bevise, at de beskytter deres data, systemer og brugere omhyggeligt. Hvis man formår at indsamle og analysere hændelsesdata hurtigt, forbedrer man også grundlaget for beslutninger og rapportering på cybersikkerhedsområdet.
Samtidig får topledelsen et enkelt overblik over virksomhedens risikoprofil, som hjælper dem med at afgøre, om man opfylder ESG-målene.
