Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter. Klummen er oversat af F-Secure fra engelsk til dansk.
I 18 år var jeg CEO for F-Secure, der er et cybersikkerhedsfirma, som jeg grundlagde i 1988.
Jeg har også fungeret som Nokias bestyrelsesformand siden 2012 og har observeret, hvordan en global teknologivirksomhed stræber efter at beskytte sig selv og sine kunder, samt bygger sikkerhed ind i alle sine produkter og løsninger.
Cybersikkerhed er et stadigt foranderligt, dybt teknisk område, hvor CEO’en ikke kan og ikke bør være ekspert.
Desværre er det ikke længere nok helt at uddelegere området. Der er stigende eksternt pres for at holde den administrerende direktør ansvarlig for virksomhedens evne til at beskytte sig selv og sine kunder.
Bestyrelsen beder om statusrapporter. Og vigtigst af alt, så har risiciene nået et niveau, hvor cybersikkerhed nødvendigvis er blevet den administrerende direktørs ansvar.
CEO'ens rolle
Så hvad er CEO'ens rolle? Er det muligt at finde den gyldne middelvej mellem et fjernt og meningsløst 10.000 kilometers overbliksbillede af problemet på den ene side, og at blive begravet i endeløse tekniske detaljer på den anden side?
Hvordan skal en administrerende direktør forberede sig på at have tilstrækkelig forståelse til at kunne lede virksomheden?
Denne udfordring er endnu vanskeligere for bestyrelser, som skal håndtere mange af de samme spørgsmål, som den administrerende direktør står overfor, men fra en mindre informeret position og endnu længere væk fra dagligdagens hændelser.
Hvor meget tid bør man allokere til cybersikkerhed, og hvor ofte? Hvad er de rigtige spørgsmål at stille den administrerende direktør? Hvordan ved man, hvad virksomhedens kompetenceniveau er, og hvad det bør være? Hvordan skal man måle fremskridt?
Svaret er altid delvist specifik for den enkelte virksomhed, men der er pragmatiske og snus-fornuftige skridt enhver CEO og enhver bestyrelse kan tage.
Hvis du driver en stor bank eller en forsvarsleverandør, bør følgende liste være let overset, da du sandsynligvis rutinemæssigt allerede gør alt, hvad jeg nævner.
Hvis du, på den anden side, driver en mere traditionel industrivirksomhed, kan der være nogle ting, du ikke har tænkt på.
1. Identificer dine mest kritiske systemer.
Det er vigtigt, at den administrerende direktør ved, hvilke it-systemer virksomheden ikke kan leve uden.
Du bør i det mindste vurdere systemernes betydning med øje på indtægtsgenerering (hvordan ville tabet af systemet påvirke indtægterne) brand (hvordan ville en indtrængen i systemerne påvirke jeres brand f.eks. gennem offentligt tab af fortrolige kundeoplysninger eller forstyrrelse af kundernes forretning) og fremtidigt tab af konkurrenceevne (tab af R&D-planer, centrale softwareaktiver eller strategiske planer).
Flere og flere virksomheder bygger sensorfunktioner ind i deres produkter og tjenester.
For nogle traditionelle industrier betyder det et spring fra den analoge verden til den digitale verden. Det betyder, at jeres produkter har indlejrede computere i sig, og disse computere kan blive hacket. Det kræver, at I udvikler nye kompetencer til at opbygge disse systemer på en sikker måde, så I ikke eksponerer jeres kunder og jeres interne kritiske systemer via de sensorer, I installerer i jeres løsninger.
Derfor må I ikke kun se kun på jeres it-systemer, når I arbejder med at identificere jeres kritiske systemer. I skal også se på jeres produktionsstyringsprocesser og alle jeres egne løsninger, der er forbundne med netværk. I bør også se på jeres egen forsyningskæde, og ethvert af deres systemer, der er forbundet med jeres eget. Ligesom I måske er det svage led i jeres kunders cyberforsvar, kan jeres leverandører være trojanske heste, der gør det muligt for angriberne at trænge ind i jeres systemer.
2. Forstå og skab en åben diskussion af konsekvenserne af, at disse kritiske systemer bliver penetrerede, og af den maksimale skade, der kunne udrettes gennem dem, hvis angriberen skulle ønske at gøre maksimal skade.
For eksempel tænker meget få virksomheder på et scenario, hvor intranet-, Outlook- og VoIP-kommunikation er helt nede.
Hvordan kommer du i kontakt med dine medarbejdere, hvis de ikke har adgang til e-mail, og du ikke længere kan huske deres telefonnumre i hovedet?
Jeg kunne nævne flere store virksomheder, der har været i denne situation i de sidste par år, og deres evne til at komme på fode igen blev bremset af, at de indledningsvist manglede evnen til at kommunikere med nøglepersoner.
3. Identificer hvilken type angribere, der kunne tænkes at tiltrækkes af jeres organisation
Det vil give jer en ide om, hvilken slags angrebsvektorer de sandsynligvis vil bruge, og hvad deres mål kunne være. Det vil hjælpe jer med at planlægge jeres forsvar.
4. Bestil et “red team”-angreb, fra et betroet cybersikkerhedsfirma mod dine mest kritiske systemer
Fortæl ikke din CIO om angrebet på forhånd. Det vil give dig et realistisk billede af evnerne i dit cybersikkerhedsteam. For at sætte forventningerne korrekt fra begyndelsen, så gå ud fra, at red team-angrebet vil lykkes (F-Secure har gennemført hundreder af red team-angreb i løbet af de sidste par år og har til dato en 100% succesrate.)
Når du vurderer resultaterne af dit red team-angreb, skal du kigge efter følgende:
a. Om de kritiske systemer kan trænges ind i (altså om jeres evne til forebyggelse var god nok til at forhindre angrebet).
b. Hvis red team-angrebet havde succes med at trænge ind i et kritisk system, så tænk på hvor heldig du var, at det var en venlig angriber, og husk dig selv på den værste skade, en fjendtlig angriber kunne have forårsaget. Træf foranstaltninger til at starte et langsigtet udviklingsprogram, men forsøg også straks at få lukket de huller, der blev brugt af jeres red team, for at forhindre at lignende angreb lykkes igen.
c. Tjek om dit cybersikkerhedsteam bemærkede angrebet, og om jeres evner til at overvåge og opdage et angreb er gode nok til at identificere, hvad der sker.
d. Hvis angrebet blev bemærket, hvad gjorde så cybersikkerhedsteamet? Der er visse ting, der skal gøres og ting, der ikke skal gøres. Nogle af disse er ikke indlysende, som f.eks. at fjerne de penetrerede enheder fra resten af netværket, da dette kan advare de angribere, som man har opdaget, før man rent faktisk ved, hvad der sker, og er klar til at tage de nødvendige handlinger.
Har de advaret dig? Hvornår ville du helst have fået besked? Hvornår forventes CEO’en at informere formanden eller hele bestyrelsen?
5. Red team-angrebet er selvfølgelig kun et første skridt. Tænk på cybersikkerhed som en muskel. Du spændte den hurtigt med dit red team og fik værdifulde men begrænsede oplysninger om dine evner. Der er meget mere at gøre, bl.a.:
a. At stille et par ganske enkle tekniske spørgsmål, som kan tage temperaturen på modenhedsniveauet af jeres defensive evner.
b. At sætte et mål for jeres cybersikkerhed, som er proportionalt med truslerne.
c. Begynd at udvikle jeres evner.
d. Træn løbende, så I kan måle fremskridt og styrke musklerne.
e. Sæt et scorecard, så I kan følge op på processen.
f. Brug jeres scorecard til at rapportere til bestyrelsen.
6. Styrk årvågenheden
Social engineering er et af de mest effektive værktøjer for en professionel angriber. Medarbejdere med høje niveauer af adgang til nøglesystemer bør især uddannes til at spotte forsøg på social engineering. I kan for eksempel også uddanne medarbejderstaben som helhed til at identificere phishing-e-mails, men tro ikke, at dette kan forhindre angreb.
7. Endelig skal I have en “no-blame"-kultur, hvis alt dette skal lykkes
Uden den er der intet håb om virkelige forbedringer. Folk skal føle, at de hurtigt kan rapportere fejltagelse, tegn på svagheder og mangler for at I kan forbedre jer og lære konstant.
Jeg håber dette har givet dig nogle ideer til, hvordan man kommer i gang. Men når I er gået i gang er det også kritisk vigtigt, at I ikke stopper igen. Alle involverede skal fortsætte med at lære - og det betyder, at I er nødt til at bruge eksterne specialister.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.