I takt med företagens ökade digitalisering har cybersäkerhet blivit en affärskritisk fråga. För Styrelsemagasinets läsare reder Daniella Gustafsson, rådgivare på Radar, ut vilket ansvar styrelsen har och hur den bör agera.
På vilket sätt är cybersäkerhet en styrelsefråga?
– Cybersäkerhet är en styrelsefråga för att risk är en styrelsefråga. Det handlar om en digital affärsrisk, som kan innebära enormt stora konsekvenser och kostnader om man drabbas. Därför bör man fundera över vilka konsekvenser det skulle få om verksamheten stod helt stilla i tre veckor. Det kommer potentiellt handla om verksamhetens överlevnad när skada på anseende, förlorat förtroende, kostnad för återställning och så vidare har räknats samman. Tidigare var det vanligt att se cybersäkerhet som en fråga enbart för IT-avdelningen, men det är mycket större än så.
Hur bör då styrelsen agera?
– Min rekommendation är att inkludera digitala affärsrisker i det löpande riskhanteringsarbetet och hantera dem tillsammans med andra verksamhetsrisker. Styrelsens ansvar för cybersäkerhet förstärks också i den kommande cybersäkerhetslagen. Styrelsen har därför inget val kring huruvida man ska arbeta med cybersäkerhet eller inte. Men man ska inte göra detta bara för att lagen säger det, utan för att det ligger i eget intresse att skydda verksamheten.
Finns det något mer utöver riskhantering som styrelsen borde göra inom ramen för cybersäkerhet?
– Det är även viktigt att jobba med utbildning. Styrelsen behöver inte vara tekniska experter, men det är bra att kunna förstå och värdera digitala affärsrisker och riskhanteringsåtgärder. Mycket av arbetet med cybersäkerhet handlar om att säkra tillgången till relevant kompetens, budgetar, styrning, och strategier bland annat. Mitt råd är att upprätta löpande kommunikation med sakkunniga nyckelpersoner i verksamheten som kan ge styrelsen värdefull information. Ställ frågor, ställ krav och följ upp!
Vad är det för typ av cyberhot som riktas mot svenska verksamheter?
– Det är väldigt blandat, men just nu upplever många att hotet är som störst från organiserad brottslighet eller statssponsrade aktörer. Vi ser allt ifrån ekonomiskt motiverade cyberattacker till cyberhotaktörer som vill destabilisera eller undergräva förtroendet för vårt demokratiska samhälle. Bland de vanligaste cyberhoten har vi noterat ransomware-attacker och överbelastningsattacker. Men hotaktörer med långsiktiga perspektiv bedriver även aktiviteter som desinformationskampanjer och kartläggning av kritisk infrastruktur. Vi i Sverige kan ibland vara lite naiva kring detta, särskilt som främmande makt blir allt mer offensiv.
Hur mycket kan företagen skydda sig?
– Det går aldrig att skydda sig till 100 procent mot cyberhoten. Därför är det viktigt att analysera hotbilden och förstå vad verksamheten möter för risker och har för potentiella sårbarheter. På så sätt vet man också vilka insatser man ska fokusera på. Vissa risker kanske man kan acceptera, men de behöver ändå utvärderas kontinuerligt eftersom läget kan ändras.
Hur förberedda är svenska företag på dessa hot?
– Det är varierar väldigt, vilket i sig är en utmaning eftersom många företag är nära sammankopplade och beroende av varandra. En incident eller nedstängning i en verksamhet kan snabbt få stora följdeffekter även i andra, vilket vi har flera aktuella exempel på. Så det ligger i allas intresse att vi i Sverige höjer den kollektiva motståndskraften.
Har du något tips hur man ska tänka för att ligga före bedragarna?
– Det allra viktigaste är att jobba kontinuerligt med risk och att ha ett systematiskt säkerhetsarbete där man hela tiden utvärderar hot och sårbarheter, kontrollerar effektiviteten av riskhanteringsåtgärderna och gör nödvändiga uppdateringar. Och att inte bara tänka ”skydda” utan även lägga fokus på ”återställa”. Det är viktigt att ha kontinuitetsplaner, återställningsplaner och bestämma vilka som ska ingå i krisorganisationen. Och att öva innan det blir skarpt läge!
På bilden: Daniella Gustafsson
OM RADAR
Radar specialiserar sig på analyser och vägledning för att hjälpa organisationer att navigera genom komplexa ekonomiska och teknologiska landskap. Radar betjänar över 15 000 kunder i Norden och grundades 2007 av Hans Werner. Bolaget har cirka 25 anställda med huvudkontor i Stockholm, Sverige, samt kontor i Göteborg och Oslo.
Läs mer
Text: Lotta Byqvist
