Til kamp mod Hackerne: Security by Design og nye venner. Hvad er nu det for noget?

Optimal informations- og cyber-sikkerhed inkluderer også forretningskendskab, og den it-sikkerhedsansvarlige CISO[1] bør stille sig i spidsen.

I efteråret 2019 lavede EY en undersøgelse, der viste, at CEO’er fra store virksomheder for første gang pegede på trusler fra cyber-angreb, som den største bekymring for verdensøkonomien de næste 10 år i forhold til såvel organisationen selv som nationalt.

Bekymringer om trusler fra cyber-angreb er naturligvis ikke et nyt fænomen. Manglende cyber-sikkerhed ses i dag som en systemisk og eksistentiel trussel for mange forretningsmodeller, og angreb kan ramme organisationen selv, dens supply chain og leverandører, fordi systemer er tættere forbundne end nogensinde før.

Alligevel viser EY’s netop offentliggjorte Global Information Security Survey 2020, GISS, at it-sikkerhed kun hos 36 % af respondenterne indtænkes fra starten af design af nye it- eller teknologiprojekter, men er initiativer, der iværksættes efterfølgende. 65 % overvejer først it-sikkerhed, når det er for sent. Vi kalder det manglende Security by Design.

Og ud over den økonomiske betydning for både efterfølgende initiativer, oprydning efter en cyber-relateret hændelse, bøder, mistet omsætning m.m., peger GISS på et andet forhold, der styrker bekymringerne.

GISS-rapporten viser, at cyber-sikkerhed også ses som nært sammenhængende med de omgivelser og forretningsmiljø, som organisationen indgår i.

Andre trusler som fx klimaforandringer, digitalisering, geopolitisk ustabilitet og social ulighed spiller ind på det samlede trusselsbillede, og EY’s undersøgelse viser, at andelen af angreb, der er forsaget af de såkaldte hacktivister, er stigende og ligger i hælene på de traditionelle cyber-kriminelle grupper.

Hacktivister har et andet motiv end fx økonomisk vinding. Det kan være vrede over mistede jobs, organisationens involvering i miljømæssige forhold, det kan være politisk motiveret eller fx udspringe af et ønske om blot at genere en organisation mest muligt. Hacktivister er svære at identificere, og deres angreb svære at forudse for en CISO.

Hacktivister kan iværksætte angreb, der kan lægge hjemmesider eller fx et produktionsanlæg ned, hvis en organisation har investeret i kulminer eller våben, ikke behandler dets ansatte ordentligt m.m.

Der er intet, der indikerer, at nogle brancher går ram forbi.

Man opererer ofte med nedenstående typer af ondsindede aktører

Den seneste Global Risks Landscape 2020-rapport fra World Economic Forum inddeler de globale risici i rapporten i fem hovedgrupper: Economic, Environmental, Geopolitical, Societal og Technological.

Rapporten viser, at grupperne Environmental (klimarelaterede risici) og Technological (cyber-angreb og it-nedbrud) i selskab med Weapons of mass destruction (Geopolitical) og Water Crisis (Societal) topper de øverste pladser, i forhold til risiko (impact).

Dette betyder, at viden om andre risici i organisationens omgivelser er et must for CISO’en.

CISO’ens nye rolle

CISO’en kan derfor gøre følgende for at tilpasse sig og drive to nye dagsordener.

• Sikre, at Security by Design bliver den naturlige tilgang til alle udviklingsprojekter.
• Sikre, at brobygning til resten af forretningen styrkes, så alle trusler kan adresseres.

Hvor it og teknologi har bevæget sig fra at være et understøttende værktøj til omdrejningspunktet i mange forretningsmodeller, og it-sikkerhed noget der tilføjes efterfølgende, er Security by Design den nye tilgang, og det kræver viden.

GISS-resultaterne viser, at 59 % af CISO’erne karakteriserer deres forhold til forretningen som neutral, uden tillid eller ikke-eksisterende.

Følgende aktiviteter kan styrke den nye dagsorden:

CISO’en skal styrke sit kendskab til forretningen og sørge for at blive involveret tidligere i design af transformations-, produkt- eller serviceprojekter. Det kan være i Artificiel Intelligence- eller Machine Learning-projekter, eller fx når forretningen anvender eller implementerer IoT-komponenter uden at involvere CISO’en. Derved kan organisationen sikre, at sikkerhed er en naturlig del af nye projekter.

CISO’en skal derudover analysere organisationens nøgleforretningsprocesser sammen med it-sikkerhedsteamet for at øge forståelsen af, hvordan organisationen kan blive påvirket, og hvordan teamet kan styrke resten af forretningen. Stærkere bånd til forretningen kan øge kendskab til fx produktlancering, marketingkampagner, kommunikation af årsregnskaber, HR-begivenheder m.m., så potentielle risici kan vurderes i forhold til reaktioner fra ondsindede aktører.

Endvidere bør CISO’en implementere nøgletal og risikoindikatorer, der kan bruges til at kommunikere i en risikobaseret tilgang til ledelsen.

CISO’en bør også kommunikere i et sprog, som ledelsen og forretningen kan forstå. Man kan fx anvende kvantitative termer – konkrete tal i kroner og øre for et tab, hvis denne risiko X indtræder, fremfor kvalitativt baserede termer i form af talmæssige (1-5) eller relative (lav-medio-høj) skalaer, der kan opfattes for abstrakte.

Og slutteligt bør CISO’en identificere behovet for kompetenceudvikling og iværksætte uddannelse.

Tiden er kommet til at skabe nye venner i organisationen

Hvis du har kommentarer til ovenstående eller har spørgsmål, er du velkommen til at kontakte os.

Jesper Due Sørensen, Partner, Advisory Risk, tlf. 3093 6420
Henriette Brandstrup, Manager, Advisory Cyber, tlf. 2529 3543

[1] CISO, Chief Information Security Officer, vil blive brugt som en samlende betegnelse for it-sikkerhedsansvarsområdet, selvom mange andre titler anvendes.