Artikel top billede

(Foto: Ditte Vinterberg Weng)

Tre gode råd om cybersikkerhed anno 2022 fra tidligere PET-chef Jakob Scharf

Han har set et hav af sikkerhedshændelser gennem årene. Og nu deler tidligere PET-chef Jakob Scharf tre gode råd til danske virksomheder, der gerne vil beskytte sig mod hackere.

Tirsdag , blev der delt meninger og gode råd ud om cybersikkerhed på et event i magtens højborg Christiansborgs Fællessal.

Til begivenheden, der blev afholdt af cybersikkerhedsvirksomheden Check Point, var blandt andet direktør i sikkerhedsvirksomheden Certa og tidligere chef i Politiets efterretningstjeneste Jakob Scharf en del af oplægsholderne.

Foruden en live ping-pong-dialog mellem ham og Check Points regionale direktør på det nordiske område, Jan Johansen, gav Scharf også en række råd med på vejen til tilskuerne.

Råd som Computerworld lister her:

Rapportering muligør beslutningstagning

"Risikostyring er et ledelsesansvar."

Det er en ofte gentaget sætning i cybersikkerhedsmiljøet, som skal minde virksomhedernes ledere om, at blot fordi man har udliciteret arbejdet med cybersikkerheden i virksomehden, så flytter ansvaret ingen steder.

Det betyder også, at man må forstå sit ansvar for at lede risikostyringen i virksomheden - herunder også på cyberområdet i forhold til trusler.

"Hvis man skal kunne løse den opgave, så forudsætter det, at man kan rapportere om sikkerhedsmæssige udfordringer på en måde, der muliggør, at ledelsen rent faktisk kan træffe beslutninger," lyder det fra Jakob Scharf.

Det er blandt andet beslutninger om hvor stor en risiko, virksomheden kan leve med på cybersikkerhedsområdet.

"Det er ikke en realistisk tilgang, hvis man bare har den strategi, at al risici skal skæres væk," siger Scharf.

Risikovurdering er normalvis noget, som virksomheder i alle størrelser er toptrænede i, når det handler om forretning og økonomi.

"Men man har ikke så mange erfaringer med vurdering af, hvad man kan leve med på sikkerhedsområdet."

Derfor har it-afdelingen en opgave med at præsentere data for ledelsen i et sprog, som ledelsen forstår.

Fokus på alle sider af sikkerheden

Andet råd fra sikkerhedseksperten lyder:

"Hav et fokus på alle sikkerhedsmæssige områder."

Det er ikke tilstrækkeligt, at man bare har en række sikkerhedsforanstaltninger for at undgå angreb. Man skal også at have et beredskab.

"Man er nødt til at se for sig, at noget kan gå galt, og det skal man lægge planer for, hvordan man skal håndtere. Og så skal man øve det."

Det er rigtigt vigtigt for en virksomhed - særligt ledelsen - at man har en forståelse for, hvad det er for en udfordring man står over for, og hvad det kræver, hvis det går galt, understreger Jakob Scharf.

Evaluér angreb

Tredje og sidste råd er, at man skal evaluere de hændelser, der er sket.

Det kan være fristende, efter at være kommet ud af et cyberangreb, at børste støvet af sig og lægge det væk. Det kan være ubehageligt at vende tilbage til situationen, som for mange vil være forbundet med negative følelser – angst og stress eksempelvis.

Men man er nødt til at lære af det.

Og kan man vende tilbage til hændelsen, og studere den med loop - hvad skete der, hvordan skete det og så videre - så kan der være endnu mere viden at hente, der kan bygge det digitale murværk endnu stærkere til næste angreb.