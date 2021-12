Når bør virksomhetens styre involveres i håndteringen av digitale sikkerhetshendelser? Hvilken rolle har virksomhetens styre i håndteringen av et alvorlig cyberangrep?

I mørketallsundersøkelsen 2020 kom det fram at når en virksomhet rammes av en informasjonssikkerhetshendelse blir virksomhetens ledelse involvert i syv av ti tilfeller, og hendelsen blir rapportert til virksomhetens styre i fire av ti tilfeller. Er dette godt nok?

Å ha beredskapsplaner er viktig for å redusere konsekvensene, og det er vesentlig at slike planer er kjent og ikke bare ligger gjemt i en skuff

I Nasjonalt digitalt risikobilde 2021 forteller NSM om en markant økning og antall alvorlige hendelser som ble registrert var tre ganger høyere i 2020 enn i 2019. En trussel som har fått mye oppmerksomhet er digital utpressing med bruk av skadevare som både kan hente ut sensitive opplysninger og ramme virksomhetens drift ved å kryptere data i virksomhetens IT-systemer.

Håkon Styri. Foto: NSM

Konsekvensene for virksomheter som rammes av en slik hendelse er alvorlige og det kan være en stor utfordring å opprettholde virksomhetskontinuitet. Det kan ta lang tid å bygge opp IT-systemene på nytt og gjenopprette normal drift. Å ha beredskapsplaner er viktig for å redusere konsekvensene, og det er vesentlig at slike planer er kjent og ikke bare ligger gjemt i en skuff.

Cybersikkerhet må være en del virksomhetens helhetlige risikostyring og tema for både ledelsen og styret. Og når en alvorlig hendelse rammer virksomhetens digitale systemer bør også styret være forberedt på at de må involveres i en sak som kan være av uvanlig art og stor betydning for selskapet.

En god start på dette arbeidet er å legge til rette for god og forståelig rapportering om trusler, risiko og risikohåndtering i et språk og på en form som er nyttig for ledelse og styre. Mange IT-folk er glade i å fortelle om tekniske detaljer og det er ofte nødvendig å forbedre evnen til effektiv rapportering.

En måte å starte dette arbeidet på er å gjennomføre en øvelse for ledelse og styre hvor målet er å forbedre beredskapsplan og å sikre at planen er kjent og de involverte kommuniserer godt og effektivt. Det er nødvendig at en kriseledelse raskt etablerer god situasjonsforståelse. Det krever at de som arbeider med tekniske oppgaver kan formidle situasjon og utfordringer på en måte som kriseledelsen forstår. Å gjennomføre en slik øvelse behøver ikke ta mer enn en time, men den må planlegges godt.

Min oppfordring til toppledere i både næringsliv og offentlig sektor er å øve på en alvorlig digital hendelse i løpet av 2022. Og la gjerne styret delta i øvelsen.

Håkon Styri

Seniorrådgiver, Nasjonal sikkerhetsmyndighet