Investorer vurderer kunnskapsnivået hos styret og ledelsen før de investerer. Aksjekursen svir for lav kompetanse på datasikkerhet i ledelsen

Cybersikkerhet er blitt en del av investorenes kriterier når de skal handle aksjer. Det gjør at temaet i enda større grad enn før kommer på styrets agenda.

«Toppledere slumser med sikkerheten og setter verdier på spill», sa styreleder i Dataforeningens faggruppe for informasjonssikkerhet, Renate Thoreid, til Dagens Næringsliv i september.
L

• Les også: Artikkel fra DN: Skremmende når så mange slumser med sikkerheten

«Vår erfaring er at det er vanskelig å nå gjennom hos toppledelsen og at de ofte dytter ikt-folkene foran seg. Det resulterer i at både kompetansen og oppmerksomheten rundt sikkerhet er for lav på øverste ledernivå», sa Thoreid, som til daglig jobber som Business Security Officer Telenor.

Det er ikke et et særnorsk fenomen, men en bekymring som i høyeste grad gjør seg gjeldende internasjonalt også.

Til de grader at aksjonærene i noen tilfeller velger bort virksomheter som åpenbart ikke tar risikiene på alvor.

I en artikkel i Financial Times nylig fremgår det at store porteføljeforvaltere er stadig mer opptatt av styrets og toppledelsens fokus på teknologiske sikkerhetsbrudd.

— Cybersecurity vokser fram som en viktig risikofaktor, sa Rupert Krefting, finansdirektør i MBG Prudential, til Financial Times.

MBG forvalter en portefølje på 3.700 milliarder kroner. Han legger til at det er vanskelig å vurdere om ledelsen og styret virkelig forstår riskene. De er i liten grad villige til å snakke om det.

Men det er ikke godt nok lenger. Stadig flere investorer forventer og krever nå at ledelsen er oppdatert og har kompetanse på sårbarhet som følge av teknologi.

— IT-kompetanse i styret kan ha stor betydning og bidra til å utfordre IT-direktøren på hva som gjøres på innsiden, sa Leon Kamhi ved Hermes Investment Management. — Styret må være på ballen.

En talsperson for en tredje investor sier til avisen at styret må ha teknologisk innsikt, uten å være et teknologistyre. — Det vi er redde for er at de peker ut en teknologiekspert og overlater det til ham eller henne.

Innføringen av nye lover, som GDPR som kom tidligere i år, og den nye nasjonale sikkerhetsloven, som trer i kraft fra 1. januar, aktualiserer behovet for kompetanse på cybersikkerhet på styrenivå ytterligere.

En undersøkelse fra 2017, utført av Ponemon Institute, viste en kostnadsøkning på 23 prosent knyttet til cybersecurity på et år. Antallet rapporterte sikkerhetsbrudd i virksomhetene vokste med nesten 30 prosent i samme periode.

En oppfølging av studien satte en prislapp på dette: den gjennomsnittlige kostnaden ved hvert sikkerhetsbrudd er 32 millioner kroner. I ytterkantene av dette snittet ligger også ekstremhendelser med kostnader som kan komme opp i flere milliarder kroner.

Denne nye virkeligheten har investorene tatt inn over seg, men de samme investorene er altså ikke overbevist om at virksomhetene selv forstår hva det betyr.

En stor investor siteres i FT-artikkelen på at «vi vil at alle styremedlemmer skal være i stand til å snakke om dette temaet. De må vite hvor de er sårbare, hvilken påvirkning det vil ha og ha en plan for hvordan styret skal respondere», sier han.

Hvordan styret og ledelsen bør forholde seg til datasikkerhet er tema for minikonferansen «Cybersikkerhet på styrerommet», som er spisset mot nettopp toppledere i norske virksomheter. Da Dataforeningen arrangerte et tilsvarende kurs i fjor var interessen stor nok til å trekke 70 deltagere.

Det er lederne selv som deler sine erfaringer på denne konferansen, i følge Thoreid.

«Når lederne er ærlige om kostnader ved å feile, bidrar det til mer oppmerksomhet og det gjør tilhørerne mer modne til å sette cybersikkerhet på agendaen på egne ledermøter», sa hun til Dagens Næringsliv.

Det kan være gode grunner til at styret og ledelsen tier om cybersikkerhet. I en kommentarartikkel i E24 skriver Jørn Bremtun, som er partner i Nord & Bremtun Cybersecurity Communication, at datakriminalitet kan skape dilemmaer for børstnoterte selskap. På den ene siden kan kunnskap om at et dataangrep er på gang utløse informasjonsplikt etter verdipapirloven. På den annen side er det ikke sikkert at virksomheten er tjent med at det offentliggjøres. «Offentliggjøring kan eskalere situasjonen, og gjøre det vanskelig for IKT- og sikkerhetsekspertise å løse utfordringen», skriver Bremtun,

Anses risikoen for å være stor er det likevel ikke tvil om at virksomheten og dens ledelse er i besittelse av innsideinformasjon, og handel i egne verdipapirer er dermed ulovlig.L

• Les også: Stopp aksjehandelen – selskap er under cyberangrep (E24)
• Lær mer: Minikonferansen Cybersikkerhet på styrerommet