Lad os dele erfaringer, trusselskataloger og risikovurderinger langt bedre. Vi har måske brug for et dansk non-profit-organ til at samle trådene.
Mærsks åbenhed om milliardomkostninger afledt af cyberkriminalitet er blot ét af mange tegn på en stor og voksende trussel inden for it-sikkerhed. Derfor er en styrket risikostyring på dagsordenen hos store og små virksomheder og hos både offentlige og private. Logisk nok arbejder vi også sammen i sektorer og brancher for at løfte vores forståelse og beredskab. Bankerne arbejder sammen for at dele erfaringer, og i den offentlige sektor går man frem sektor for sektor. Men der er stadig store muligheder for at arbejde langt mere intelligent og stringent med vores ressourcer for at få mest mulig sikkerhed for pengene. Helt overvejende er det stadig op til den enkelte virksomhed at dokumentere sin indsats inden for governance, risk og compliance (GRC), og med et så foranderligt trusselsbillede, som vi ser på it-sikkerhedsområdet, er det en frygtindgydende opgave.
Risiko på tværs af sektorer
Staten har sat gang i at gennemgå de enkelte sektorer, som udgør kritisk infrastruktur for Danmark. Logisk og fornuftigt. Umiddelbart er der stor forskel på fx sundhedssektoren og energisektoren, men i en risiko-kontekst deler de en lang række behov, som giver belæg for at samle og koordinere endnu bedre, end vi gør det idag. Sektor for sektor skal man gennemføre trusselvurderinger og risikoprofiler på leverandører, teknologier og produktionsapparat. Men mange af disse er jo fælles for sektorerne – eksempelvis Apples iPhone, Microsoft365, en server fra IBM, en generator fra ABB og mange flere. Problemer med strømforsyning er trussel for både kraftværket, hospitalet og produktionsvirksomheden. Hvorfor ikke koordinere den opdaterede risikovurdering af de største leverandører på nationalt niveau? Argumentet gælder også for trusselskataloger, for selv om der forskelle i vægt og betydning af forskellige trusler, så er der også en vis fællesmængde, som man med fordel kunne få ”forærende” udefra.
En uendelig opgave
En risikovurdering af en it-platform eller et stykke teknisk infrastruktur kan i hele træskolængder kræve hundredevis af timer af en specialist, og omkostningen løber hurtigt op. Og det skal så ganges med antallet af produkter, hvor man skal gennemføre en sådan vurdering. En stor byrde for den enkelte virksomhed, en dråbe i havet for samfundet. Ikke mindst set i relation til de enorme omkostninger, som er forbundet med at blive ramt af nedbrud og angreb.
Præmissen på it-sikkerheds-området er, at opgaven aldrig bliver løst. At tegne sit risikobillede, udforme politikker og designe et kontrolregime er måske en femtedel af GRC-opgaven. Det afgørende er den løbende opdatering, den jævnlige kontrol og den konsekvente operationelle opfølgning. Er det, vi har aftalt stadig det, som er operationelt? At definere, hvad vi skal have styr på, er nu engang noget nemmere, end rent faktisk at have styr på det. Derfor er GRC først og fremmest en stor operationel opgave, hvis man seriøst vil afdække sig for de største risici. Vi har alle glæde af at få lettet opgaven ved at dele, pulje og genbruge dele af risikovurderingen på generiske elementer.
Farvel til nulfejlstænkning
En samlende enhed må nødvendigvis være non-profit, fordi afhængigheden af dens ydelser bliver ganske stor. Der skal også fintænkes på, hvor grænsen for denne ydelse går, så den ikke tager brødet ud af munden på den base af ekspertkonsulenter, som i dag bidrager til at løfte GRC-området. I den sammenhæng må man bare huske, at opgaven er stor og stadig voksende. Der er rigeligt at tage fat på for et lille land som Danmark.
Af samme grund kan vi roligt vinke farvel til tanken om nul fejl. Virksomhederne – i hvert fald de største – har indset, at man ikke kan opnå 100 pct it-sikkerhed. Her arbejder vi metodisk med løbende risikovurderinger og fleksible kontrolregimer under løbende optimering. Målet er, at risikotænkningen bliver indlejret i kulturen, så vi har risikoelementet med i forretningsmæssige beslutninger på alle niveauer.
Det politiske system med ministeransvar kan føre til, at fejl og risici er ganske forældreløse. Måske er det ligefrem karrierehæmmende at sætte spot på risikoen og arbejde med den. På den baggrund er det nok mere perspektivrigt at lægge en non-profit-organisation midt mellem den offentlige og den private sektor med en finansiering og en målsætning, som ikke giver en minister ansvaret for at skabe Danmarks ”databank” af trusselsvurderinger og risikoanalyser.
Af Tomas Hellum, direktør for LinkGRC og rådgiver inden for governance, risk og compliance