Deutsch
Francais
Nederlands
Svenska
Norsk
Dansk
Suomi
Espanol
Italiano
Portugues
Magyar
Polski
Cestina
Русский
Cybersikkerhet har blitt en kritisk bekymring for både private og offentlige virksomheter, og dens viktighet har økt betraktelig med den raske utviklingen av finansteknologiske løsninger. Ifølge Internet Security Alliance (2020) kan aktiviteter knyttet til cyberkriminalitet og hvitvasking av penger utgjøre betydelige trusler mot organisasjoners cybersikkerhet. Til tross for at myndigheter over hele verden jobber med å utvikle bedre reguleringer for personvern og databeskyttelse, er fokuset i mange land fortsatt på å sikre at cybersikkerhetskravene er på plass, slik at personvernet kan ivaretas. Dette har ført til at land i Latin-Amerika har begynt å implementere EU’s personvernforordning (GDPR) og andre sikkerhetsdirektiv i sine egne regelverk, samt tatt i bruk cybersikkerhetsmodellen utviklet av Budapest-konvensjonen for å styrke sikkerheten i ulike organisasjoner.
Med dette som bakteppe må styrene i selskaper sørge for at organisasjonen har utviklet nødvendige krav som muliggjør implementering av passende organisatoriske og tekniske tiltak for å sikre høy nivå av cybersikkerhet som garanterer personvern og databeskyttelse. Økt eksponering for cyberangrep på grunn av nye teknologiske løsninger har ført til utvikling av nye cybersikkerhetspolicyer, som er laget for å veilede selskaper om de nødvendige tiltakene for å adressere cyber-risiko. Spesielt har cybersikkerheten til finansteknologitjenester fått økt oppmerksomhet, noe som har medført strengere krav til finansinstitusjoner. Styrene i disse institusjonene må være bevisste på sine omfattende cybersikkerhetsforpliktelser og samarbeide med ledelsen for å utvikle effektive strategier for å håndtere alle typer cybersikkerhetsrelaterte problemer.
Styrets rolle i å håndtere cybersikkerhetsrisiko krever at de har en god forståelse for eksisterende og nye lovgivning og forskrifter, både på nasjonalt og internasjonalt nivå. Dette gir dem muligheten til å utføre sine cybersikkerhetsforpliktelser på en effektiv måte. Intern og ekstern juridisk rådgivning spiller en avgjørende rolle i å redusere cyber-risikoer. Økningen i antallet aktive regulatorer innen corporate governance og cybersikkerhet har gjort at advokater i større grad har blitt en integrert del av forsvar mot cyberangrep. Derfor er det essensielt at styret ber ledelsen om å innhente juridisk ekspertise for å håndtere regulatoriske og juridiske risikoer, eventuelle krav om å offentliggjøre informasjon relatert til cyber-risikoer, samt utvikle en responsplan for cyberangrep.
I denne sammenhengen bør styret også sørge for at ledelsen får regelmessige oppdateringer om endringer i eksisterende reguleringsveiledninger og offentliggjøringsstandarder som blir vedtatt av lovgivere og policyutviklere. Styremedlemmer må være klar over at de kan bli utsatt for rettslige konsekvenser dersom deres interne eller eksterne interessenter blir berørt av et dataangrep. Det kan også oppstå krav om rettslige skritt fra aksjonærer som påstår at styret har unnlatt å implementere nødvendige tiltak for å beskytte selskapets eiendeler, eller at responsen på et datainnbrudd har vært mangelfull. I visse tilfeller kan selskapet bli pålagt å ta rettslige skritt mot tredjeparter som påstås å være ansvarlige for et datainnbrudd.
En undersøkelse utført av National Association of Corporate Directors (NACD) i 2016 viste at kun 14% av styremedlemmene anså seg som godt informerte om cybersikkerhetsrisikoer. En annen rapport fra Organization of American States (OAS) avslørte at mange selskapsstyrer har lite eller ingen forståelse for cybersikkerhet og deres respektive forvaltningsansvar. Selv om enkelte styremedlemmer har noe forståelse for cybersikkerhet, mangler de innsikt i hvordan cyberrisiko kan påvirke deres organisasjon. Dette manglende kunnskapsnivået har ført til at håndtering av cybersikkerhet ofte har vært reaktiv og fokusert på perimeterforsvar, snarere enn å være proaktivt.
En organisasjons evne til å motstå cyberangrep avhenger sterkt av styrets og ledelsens forståelse av viktigheten av å forebygge og proaktivt håndtere cyberrisikoer. Det er viktig at styremedlemmer er godt informert om de cybertruslene organisasjonen står overfor, samt de primære angrepsstrategiene og -protokollene utviklet for å håndtere disse truslene. Regelmessige briefinger fra ledelsen om cybersikkerhetsspørsmål er derfor avgjørende. Trusselbildet endres raskt, og dermed må standardene for å overvåke og håndtere cyberrisiko vurderes på nytt regelmessig for å unngå at organisasjonen blir utsatt for angrep.
I mange tilfeller har styrene begynt å inkludere eksperter innen cybersikkerhet og IT på styrenivå for å styrke kompetansen i møte med den økte cybersikkerhetsutfordringen. Dette kan være en effektiv løsning for å bygge bro over kunnskapshull, men det er ikke alltid en tilpasset tilnærming for alle typer organisasjoner. Generelt bør styrer anvende prinsippene for godt styresett, som konstruktiv utfordring og undersøkelse, for å styrke sin organisasjons cybersikkerhet.
I lys av dette er det essensielt at styret forstår at cybersikkerhet ikke bare handler om å reagere på hendelser etter at de har skjedd, men om å bygge en robust, proaktiv infrastruktur som kan forsvare selskapet mot fremtidige trusler.
Hvordan C-suite kan håndtere cyberangrep og beskytte organisasjonen mot interne trusler
I dagens digitale verden er det å beskytte organisasjonen mot cybertrusler og datainnbrudd en kompleks oppgave som krever både teknisk ekspertise og strategisk ledelse. Det er spesielt utfordrende når de ansvarlige for angrepene befinner seg blant organisasjonens egne ansatte. Når det skjer, er det avgjørende at toppledelsen raskt og effektivt kan identifisere og håndtere trusselen, samt minimere skaden på organisasjonens eiendeler og omdømme.
En av de viktigste utfordringene i slike situasjoner er dokumentasjonen av digitale bevis og historikken knyttet til angrepet. Bevisene som samles inn under etterforskningen av komplekse datainnbrudd er ikke alltid lett forståelige, verken for ledelsen eller for retten. Derfor bør C-suite, særlig administrerende direktør (CEO), informasjonssjef (CIO) og informasjonssikkerhetssjef (CISO), søke hjelp fra eksperter som har omfattende erfaring med innsamling, dokumentasjon og presentasjon av digitale bevis i forbindelse med datainnbrudd. Disse ekspertene kan gjennomføre grundige analyser av disk- og loggfiler, samt presentere en oversikt over hendelsesforløpene på en måte som er forståelig for både tekniske og ikke-tekniske interessenter (Raytheon, 2009; Cybersecurity and Infrastructure Security Agency, 2020).
Når det gjelder etterforskningen, er det viktig at ledelsen graver dypere i hendelseslogger og varsler om historisk aktivitet for å få en forståelse av mistenkelige brukerhandlinger. For eksempel, i tilfelle et insider-angrep som involverer kopiering av store mengder sensitive filer utenfor arbeidstid, bør etterforskerne fokusere på flere elementer. Disse inkluderer blant annet filenes kryptering uker før angrepet, endring av filnavn til uskyldige navn som «family_photos.zip», samt e-postkommunikasjonen knyttet til kopieringen. Ved å undersøke disse faktorene kan man danne seg et bilde av hvordan angrepet ble utført og hvilke personer som var involvert (Cybersecurity and Infrastructure Security Agency, 2020).
En annen nøkkeltilnærming er tidslinjeanalyse, der etterforskningsteamet rekonstruerer hendelsene som førte til datainnbruddet. Ved å bruke moderne visualiseringsverktøy kan ledelsen lettere oppdage skadelige brukerhandlinger og forstå hvordan angrepet fant sted. Dette gjør det mulig for C-suite å spille en mer aktiv rolle i å sikre organisasjonens cybersikkerhet, samtidig som det hjelper med å kommunisere resultatene av etterforskningen til både tekniske og ikke-tekniske målgrupper på en enkel og forståelig måte (Hartline, 2017; Cybersecurity and Infrastructure Security Agency, 2020).
En viktig komponent i etterforskningen er å identifisere de virkelige utløsende faktorene bak en insider-trussel. Dette krever en grundig analyse av sammenhengene mellom ulike hendelser og at teamet kan peke på de spesifikke handlingene som avslører onde intensjoner, som for eksempel bruk av skjermopptak for å unngå oppdagelse (Raytheon, 2009). Å forstå de spesifikke indikatorene som peker på ondsinnet atferd kan hjelpe ledelsen med å utvikle mer presise overvåkingspolitikker og beskytte organisasjonen mot fremtidige angrep.
C-suite bør også bruke informasjonen som er innhentet under etterforskningen til å utvikle overvåkingspolitikker som utløses av mistenkelig oppførsel fra interne aktører. Når slike indikatorer er identifisert, kan de fungere som varsler for ledelsen, slik at de raskt kan eskalere undersøkelsen og treffe nødvendige tiltak for å forhindre ytterligere skade (Raytheon, 2009; Cybersecurity and Infrastructure Security Agency, 2020).
I lys av disse utfordringene er det avgjørende at C-suite har tilgang til både teknisk kompetanse og verktøy som gjør det mulig å håndtere og forhindre fremtidige sikkerhetshendelser. Toppledelsen må kunne vurdere angrep i sin helhet, inkludert de mer subtile tegnene på interne trusler, for å sikre at organisasjonen er rustet til å motstå både nåværende og fremtidige cyberangrep.