I den moderne forretningsverden, hvor teknologi er rygraden i de fleste datasamlinger, den daglige drift og innovation, er cybersikkerhed ikke længere et valg. Det er blevet en absolut nødvendighed for organisationer, at beskytte deres digitale aktiver mod en stadigt voksende bølge af cybertrusler. Dette kræver ikke kun tekniske færdigheder, men også en dybdegående forståelse af truslerne og de potentielle konsekvenser. I denne artikel udforsker vi, hvorfor ledere, jurister og advokater bør have et solidt kendskab til cybersikkerhed.

Vi har talt med Henning Mortensen for at blive klogere på nogle af de udfordringer, vi ser lige nu, og hvordan man kan klæde sig selv, sin klient og virksomheden på, for at beskytte sine og andres aktiver.

Vigtigheden af cybersikkerhed

Cybersikkerhed er ikke længere blot en opgave for teknologiteams. Det er en strategisk prioritet for organisationer på tværs af alle sektorer. Dette skyldes, at et vellykket angreb
kan medføre økonomiske tab, retssager og alvorlig skade på omdømmet. Organisationer er også bundet af lovbestemmelser som GDPR og NIS2-direktivet, der pålægger dem at
beskytte deres tjenester og kunders data.

Cybertrusler er blevet mere avancerede og målrettede end nogensinde før. Fra ransomware-angreb, hvor organisationers data holdes som gidsel, til phishing-kampagner, der udnytter menneskelig tillid, er truslerne mange. Den hurtige udvikling af teknologier som Internet of Things (IoT) og kunstig intelligens (AI) skaber nye angrebsveje og udvider det allerede komplekse trusselsbillede.

Kan man sikre sig mod cyberangreb?
”Man kan gøre rigtig meget for at beskytte sig mod cyberangreb. Først og fremmest skal man have ledelsen bag sig, der bakker op om tiltag som risikovurdering, beskyttende
foranstaltninger og kontroller, og giver de nødvendige bevillinger. Dernæst skal man følge med i udviklingen af trusler, praksis, regulering, standarder og teknologier, så man hele tiden vedligeholder sit setup. Endelig skal man sikre, at reglerne ikke bare lever på papir, men gennemsyrer organisationen, så der er etableret en egentlig sikkerhedskultur.”

Juridiske og operationelle konsekvenser

For organisationer kan en cyberhændelse udløse en række tekniske, juridiske og operationelle konsekvenser. Tab af personlige oplysninger, datalækage, at tjenesten er utilgængelig samt følgeskader påvirker ikke kun organisationens troværdighed, men kan også resultere i juridiske sager og bøder.

”Mængden af regler eksploderer i disse år, og jurister og advokater spiller en central rolle i at sikre, at organisationen overholder gældende regler og tager de nødvendige skridt
for at beskytte sig.”

Hvad er de største mangler, man ser ift. cyberangreb og potentielt tab af personlige oplysninger?
”Vi implementerer tonsvis af teknologier og skriver mange lange regler for adfærd, men uanset hvor godt vi gør det, er der huller i osten og det er i detaljen, at fejlene opstår.
Det kan f.eks. være en leverandør, med direkte adgang ind i organisationen, der bliver hacket. Eller en medarbejder, der klikker på et link. Eller en marketingsafdeling, der ikke var
opmærksom på at GDPR også gjaldt for firmafesten. Eller en ny angrebsvektor, hvor en kunstig intelligens robot ringer og snyder en medarbejder. Hvis man følger en standard, er
man dog godt kørende”.

Husk holisme og omstilling til de nye regler og krav

Kompleksiteten vokser også, hvilket stiller stadigt større krav til at kende og navigere inden for reglerne. Både GDPR og NIS2-direktivet har til formål at beskytte data og øge
cybersikkerheden. GDPR fokuserer på beskyttelsen af personlige oplysninger, mens NIS2-direktivet adresserer cybersikkerhed på tværs af sektorer. For ledere, jurister og advokater er det vigtigt at forstå de komplekse krav og sikre, at organisationen opfylder dem. Det kræver at jurister forstår at stille krav til organisatoriske og tekniske sikkerhedsforanstaltninger og bidrager til at kontrollere, at der er et passende governance-setup.

Kan du fremhæve nogle af de krav, som flest glemmer, eller finder udfordrende at leve op til?
”Den største udfordring er nok, at kompleksiteten er enorm. Vi skal kunne få krav fra forretningen til at spille sammen med risikovurderinger, krav fra regulering og krav fra standarder. Alt det input skal vi helst have formuleret i ét sammenhængende governance-framework, som man kan måle på gennem kontroller og rapportere til de stakeholders, som skal bruge dokumentationen. Dette input er ikke statisk - der kommer hele tiden nye trusler, ny regulering og ny praksis, som skal adapteres i setup'et og ud at leve i organisationen. Det er holismen og omstillingen, som kravene samlet set er et udtryk for, der er mest centralt at fremhæve."

Kan man lære ved at se i bakspejlet

”Det er heldigvis ikke os alle, der udsættes for de store hændelser, fordi vi allerede har hæmmet op for de mest indlysende trusler gennem filtrering af trafik, blokering af skadelig kode, phishing-træning osv. Vi skal selvfølgelig registrere, samle op på og lære af de hændelser, der rammer os. Men vi skal også holde øje med de gode kilder til nye trusler, så vi
kan vedligeholde vores trusselskatalog. Samtidig skal vi følge udviklingen i praksis fra f.eks. Datatilsynet og udviklingen i lovgivningen bl.a. fra EU.”

Mangfoldigheden af trusler

Cyberangreb kommer i forskellige former og kan ramme organisationer på forskellige måder. Dette kan inkludere malwareangreb, hvor skadelig software infiltrerer systemer,
DDoS-angreb, der overbelaster netværk og servere, og phishing, hvor angribere udgiver sig for at være legitime, for at få adgang til oplysninger. For at beskytte organisationen er
det vigtigt at forstå disse trusler og implementere passende sikkerhedsforanstaltninger.

Hvordan er udviklingen af nye trusler, og kan man forberede sig på udviklingen?
”I denne tid har vi jo blikket rettet lidt mod de 100 nye hackergrupperinger, som er en spin-off af krigen i Ukraine. Heldigvis har de mest koncentreret sig om hinanden, men det er ikke sikkert, at det bliver ved. Jeg tænker også at AI, der bliver brugt af kriminelle grupper, bliver noget af et kapløb mellem de gode og de onde. Når de kan afpresse med falske billeder, når de manipulerer samfundet med radikale budskaber, når de snyder borgerne eller forbrugere til at afgive data eller penge, kommer vi til at opleve et hidtil uset pres på tilliden til digitaliseringen”.

Forberedelse til fremtiden

At håndtere cybertrusler kræver en proaktiv og omfattende tilgang. Det indebærer ikke kun tekniske løsninger, men også uddannelse af medarbejdere, udvikling af en kultur af
cybersikkerhed og etablering af en beredskabsplan. Organisationer skal også overveje at arbejde sammen med eksterne, og deltage i trusselsdelingssamfund for at holde sig
opdateret om de seneste trusler og taktikker.

Henning deler 3 gode råd

1) Få ledelsesopbakning eller få dig et andet job
2) Få din sikkerheds- og governance organisation på plads med teknikere, jurister og governance folk
3) Brug standarder, som sikrer at du kommer hele vejen rundt om sikkerhed og databeskyttelse.