– Cyber flytter inn i bærekraftsrapporten og opp på CFO-bordet

Når data og digitale systemer er blitt kritisk infrastruktur for drift og verdiskaping, må cyber vurderes som virksomhetsrisiko, ikke bare som IT-risiko. I PwC-webinaret Børs & bærekraft peker partner Jan Henrik Schou Straumsheim på at dette samsvarer med globale trender. 

– I en global topplederundersøkelse gjort av PwC ser vi at cyberrisiko troner høyere enn både klimaendringer, inflasjon og til og med geopolitiske konflikter. 

Ledelse og styre mangler ofte cyberinnsikt 

Han mener noe av forklaringen er at mange ledere opplever cyber som en risikotype de ikke har lang erfaring med. 

– Du sitter her som toppleder, du har mye på din agenda, du er opptatt av strategi, av omdømme, hvordan skal du ta posisjoner i markedet. Og så er det en slags ny type risiko på mange måter som du kanskje ikke har mye erfaring med fra tidligere. 

Når temaet løftes opp i toppledelsen, faller det ofte på CFO-en å oversette trusselen til konsekvenser for drift, leveranser, kontantstrøm, kontrollmiljø og rapportering. Straumsheim mener også mange styrer fortsatt mangler tilstrekkelig innsikt. 

– Min oppfatning er at det jevne norske styret ikke har tilstrekkelig kompetanse eller innsikt i dette området, til å kunne ta gode beslutninger, stille administrasjonen de rette spørsmålene, og følge opp. 

Regulering gjør cyber til ledelsesansvar 

Cyber drives heller ikke bare oppover på agendaen av hendelser og frykt. Regulering trekker i samme retning. 

– For det vi har sett nå i løpet av de siste ti pluss årene, er en slags regulatorisk tsunami, kanskje spesielt i EU og EØS, sier Straumsheim. 

Han viser blant annet til NIS-regelverket og DORA, og mener de nye kravene peker i samme retning: 

– Det jeg synes er positivt, er at disse nye reguleringene i større grad handler om motstandsdyktighet og evnen til å komme seg tilbake. 

Det gjør cyber til et spørsmål CFO ikke kan skyve fra seg. Når kravene handler om motstandsdyktighet, blir cyber også et spørsmål om investeringer, risikotoleranse, kontroll og dokumentasjon. 

Posten Brings sikkerhetsdirektør Tore Orderløkken beskriver den praktiske spagaten mange virksomheter står i: 

– Mange bedrifter står jo en liten spagat her. For det første skal de jo levere tjenester, og de skal ha nok til å kunne tjene penger. Og hvis du skal gjennomføre alt som kommer, så vil det fort gå på bekostning av at du skal tjene penger. 

Derfor må spørsmålet opp i ledelse og styre, sier han. 

– Så det at du får risiko opp på både ledelse og styrerommet, slik at du kan velge litt i forhold til hva du kan akseptere og ikke. Fordi du har reguleringer, du har kundekravene, men du har også at du skal overleve som virksomhet. 

Derfor hører cyber hjemme i bærekraftsrapporten 

Straumsheim mener digitale systemer nå er så grunnleggende for hvordan virksomheter fungerer, at cyber naturlig må inn i ESG-diskusjonen. 

– Finn meg den virksomheten som klarer å fungere effektivt og være konkurransedyktig, uten å være helt avhengig av IT-systemene sine og de dataene de forvalter. Så med det sagt så vil jeg si at ja, absolutt, data har en plass i ESG-sporet, for at vi skal kunne lykkes med kanskje bærekraftig digitalisering. 

Han peker også på at dette allerede skjer i praksis. Flere selskaper har løftet cyber og sikkerhetsberedskap inn som virksomhetsspesifikke temaer i bærekraftsrapporteringen. Posten Bring er ett av dem. 

Orderløkken er tydelig på hvorfor: 

– Dette er et tema som jeg også mener hører inne, fordi en hendelse har en så stor påvirkning. Det kan også ha en stor konsekvens for samfunnet hvis vi ikke klarer å opprettholde tilgang til data eller integriteten i dataene våre. 

Han sier Posten Bring allerede har bygget dette inn i både rapportering og styring. 

– Å få det inn i rapporteringen er å gi tillit til våre kunder om at vi gjør sikkerhetsarbeidet på en god måte. Det dreier seg om å forebygge og å redusere konsekvenser hvis noe skjer, for samfunnet, for kundene våre og våre ansatte, sier Orderløkken. 

Han peker også på at rapportering under CSRD gir større åpenhet og skjerper dokumentasjonskravene, noe han mener også gir bedre intern kontroll. 

Posten Bring-caset 

En hendelse i Posten Bring høsten 2023 illustrerer hvor raskt cyber kan bli et spørsmål om virksomhetsstyring. 

– Jeg kom på kontoret og som vanlig tar jeg en kopp kaffe og prater med kollegaer. Så kommer det en analytiker og sier at nå ser vi noe som ikke er bra. Vi konfererer med sikkerhetsleverandøren og de sier at her er det bare å trykke på den røde knappen. Og da fant vi oss i en veldig alvorlig situasjon. Vi fant raskt spor av en avansert trusselaktør, sier Orderløkken. 

Ifølge sikkerhetsdirektøren konkluderte selskapet raskt med at det dreide seg om en statlig aktør. 

– Vi konstaterte ganske raskt at dette var en statlig trusselaktør. Og da vet du at de har ressurser, motivasjon og kompetanse til å gjøre alvorlig skade. 

Posten Bring koblet på et bredt apparat. 

– Vi involverte vel egentlig alle aktører vi kunne involvere. Våre sikkerhetsleverandører, driftsleverandører, politi inkludert Kripos, Nasjonal sikkerhetsmyndighet. I tillegg valgte vi å ta inn Microsoft sitt DART-team. Så så alvorlig var det. 

Vi fikk raskt kontroll på trusselaktøren og etter en undersøkelses- og planleggingsperiode gjennomførte vi en massiv utkastelsesoperasjon.

– Fredag klokka 23 stengte vi ned Posten Bring, resatte alle passord og reinstallerte der vi hadde behov for å reinstallere. Vi hadde 150 mann i arbeid i en hel helg, og mandag morgen var vi opp igjen uten store forretningsmessige konsekvenser.

– Ikke bare en utgiftspost 

Orderløkken tror konsekvensene kunne blitt store dersom angrepet ikke hadde blitt oppdaget og stoppet. 

– I verste fall kunne jo vi fått et ransomware-angrep hvor kryptering kunne medført at våre tjenester gikk ned. Det ville i verste fall ført til at at post, pakker, transport, og øvrige tjenester vi har i verste fall kunne stoppet opp, og det hadde jo vært svært kritisk. 

Han trekker også frem faren for at personopplysninger kunne kommet på avveie. 

Orderløkken peker samtidig på en klassisk styringsutfordring: at sikkerhet fortsatt ofte blir behandlet som en ren kostnad. 

– Ofte ses sikkerhet på som en stor utgiftspost og at en hendelse ikke treffer sin virksomhet. Av den grunnen velger man kanskje å ikke investere i sikkerhet. 

Men regnestykket er for snevert, mener han. 

– Oppsiden er jo mye større. Kanskje du får flere kunder. Du får lavere forsikringspremier. Og du slipper den hendelsen som koster kanskje flere hundre millioner kroner.