Optimal informations- og cyber-sikkerhed inkluderer også forretningskendskab, og den it-sikkerhedsansvarlige CISO[1] bør stille sig i spidsen.
I efteråret 2019 lavede EY en undersøgelse, der viste, at CEO’er fra store virksomheder for første gang pegede på trusler fra cyber-angreb, som den største bekymring for verdensøkonomien de næste 10 år i forhold til såvel organisationen selv som nationalt.
Bekymringer om trusler fra cyber-angreb er naturligvis ikke et nyt fænomen. Manglende cyber-sikkerhed ses i dag som en systemisk og eksistentiel trussel for mange forretningsmodeller, og angreb kan ramme organisationen selv, dens supply chain og leverandører, fordi systemer er tættere forbundne end nogensinde før.
Alligevel viser EY’s netop offentliggjorte Global Information Security Survey 2020, GISS, at it-sikkerhed kun hos 36 % af respondenterne indtænkes fra starten af design af nye it- eller teknologiprojekter, men er initiativer, der iværksættes efterfølgende. 65 % overvejer først it-sikkerhed, når det er for sent. Vi kalder det manglende Security by Design.
Og ud over den økonomiske betydning for både efterfølgende initiativer, oprydning efter en cyber-relateret hændelse, bøder, mistet omsætning m.m., peger GISS på et andet forhold, der styrker bekymringerne.
GISS-rapporten viser, at cyber-sikkerhed også ses som nært sammenhængende med de omgivelser og forretningsmiljø, som organisationen indgår i.
Andre trusler som fx klimaforandringer, digitalisering, geopolitisk ustabilitet og social ulighed spiller ind på det samlede trusselsbillede, og EY’s undersøgelse viser, at andelen af angreb, der er forsaget af de såkaldte hacktivister, er stigende og ligger i hælene på de traditionelle cyber-kriminelle grupper.
Hacktivister har et andet motiv end fx økonomisk vinding. Det kan være vrede over mistede jobs, organisationens involvering i miljømæssige forhold, det kan være politisk motiveret eller fx udspringe af et ønske om blot at genere en organisation mest muligt. Hacktivister er svære at identificere, og deres angreb svære at forudse for en CISO.
Hacktivister kan iværksætte angreb, der kan lægge hjemmesider eller fx et produktionsanlæg ned, hvis en organisation har investeret i kulminer eller våben, ikke behandler dets ansatte ordentligt m.m.
Der er intet, der indikerer, at nogle brancher går ram forbi.