Digital sårbarhet - analogt ansvar

Kronikk i Computerworld

1. september 2017 Av: Terje Wold, styreleder i DND

Samfunnet digitaliseres som aldri før med forventning om økt verdiskaping, høyere vekst og andre positive effekter. Denne utviklingen medfører samtidig at vår digitale sårbarhet øker. Ansvaret for å håndtere det er fortsatt analogt. 

Alle virksomheter med respekt for seg selv snakker om digitalisering. Konferansemarkedet er opphetet, BI har etablert Senter for Digitalisering, og Toppindustrisenteret Digital Norway har sett dagens lys. Bransje etter bransje endres, noe "Industri 4.0" er et eksempel på. Myndighetene leverer stortingsmeldinger og utredninger, og den anerkjente businesskolen INSEAD tilbyr "Digital transformation programmes" for toppledere.

Det siste stiller et viktig spørsmål: Hvem har ansvaret for den digitale omstillingen? Paul Chaffey sa det på en klar måte i Dagens Næringsliv i mai i år: "Jeg blir noen ganger spurt hva den ene tingen er som er viktigst for å lykkes med digitalisering. Jeg er helt sikker på at svaret er ledelse." Tjenester og teknologi blir så vevd inn i hverandre at ledere i alle typer virksomheter må ta den digitale lederrollen, sa han. Når så samme avis et par uker senere hadde et førstesideoppslag om at norske sjefer er uforberedt på det digitales skiftet, skjønner man at det er et stykke fra mål til realisering - selv om mange er på vei.

Spørsmålet ledere må stille seg er om den digitale drømmen vil bli virkelighet eller om den kan utvikle seg til et cybermareritt. For i kjølvannet av denne globale bølgen surfer en rekke trusler på jakt etter digital sårbarhet i samfunnet. Det må hensyntas i den transformasjonen mange virksomheter nå er på vei inn i.

Hva er så digital sårbarhet? En god plass å starte er regjeringens NOU 2015:13 om beskyttelse av enkeltmennesker og samfunn i en digitalisert verden. Samfunnets digitale sårbarhet er kartlagt og det foreslås tiltak for å styrke beredskapen og redusere sårbarheten. I denne kronikken har jeg vridd perspektivet fra samfunn til ledelse basert på min erfaring som direktør for cybersikkerhet i KPMG. 

Hvem har så ansvaret på dette området? Nasjonal Sikkerhetsmyndighet sier det slik i rapporten Helhetlig IKT-risikobilde 2016: "NSM har erfart at IT-avdelingen i virksomhetene ofte har implementert gode og fornuftige sikringstiltak, men at tiltakene ikke er forankret i virksomhetsledelsen. Ledelsen får dermed ikke anledning til å prioritere sikkerhetsarbeidet på en hensiktsmessig måte som en del av den løpende styringen av sin virksomhet." Dermed er ansvaret plassert.

I juni la regjeringen frem stortingsmeldingen "IKT-sikkerhet - Et felles ansvar". Her vektlegges områder av stor betydning for nasjonal IKT-sikkerhet, herunder ledelsens ansvar. Det er også verdt å nevne den rykende ferske rapporten "NSMs grunnprinsipper for IKT-sikkerhet" for de som vil ha gode råd på veien.

Kan man si noe om hvordan styrene i ulike bedrifter ser på cybersikkerhet? En måte å gjøre det på er å lese årsrapporten deres. KPMG publiserte nylig "Cyber Security Benchmark 2017" om rapportering på cybersikkerhet i de største selskapene i 28 land. Norge har et nedslående resultat som viser lav rapportering sammenlignet med andre land. Hele 72 % nevner ikke cybersikkerhet i sine årsrapporter. Kun noen østeuropeiske og karibiske land har tilsvarende tall. Samtidig mener 35 % av de norske selskapene at cyberrisiko er et styreansvar, noe som er det dobbelte av gjennomsnittet. Her er det tydeligvis forskjell på teori og praksis. Heldigvis finnes det gode eksempler og rapporteringen vil øke også i Norge.

Det er lett å få inntrykk av cybersikkerhet som et mørkt landskap med kun dårlige nyheter. Flere undersøkelser viser imidlertid at stadig flere ledere betrakter det som et grunnlag for vekst. I Cisco sin topplederundersøkelse "Cybersecurity as a growth advantage" svarer 69 % at digitalisering er svært viktig for vekststrategien deres. Samtidig sier 64 % at cybersikkerhet er en forutsetning for slik vekst. I KPMGs globale undersøkelse CEO Outlook 2017 mener 9 av 10 nordiske toppledere at sikkerhet avler innovasjon - mot 6 av 10 globalt.

DND har mye faglig aktivitet på dette området, og jeg vil slå et slag for lederkonferansen Cybersikkerhet på styrerommet den 14. november i Oslo. Før det arrangeres Sikkerhetssymposiet 2017 i Bergen i slutten av oktober.

Ansvaret for digital sårbarhet er fortsatt analogt, og det beveger seg sakte men sikkert fra datarommet til styrerommet fordi det berører hele virksomheten. Journalisten Brian Krebs har skrevet artikkelen "The value of a hacked company". Den bør leses av ledere som fortsatt lurer på om dette angår dem.