Styrene mindre involvert i informasjonssikkerhet enn før

Dagestad viser til ferske tall som bør få styremedlemmer over hele landet til å sperre opp øynene: Bare fire av ti virksomheter rapporterer til styret om informasjonssikkerhet. Det er en nedgang fra 46 prosent i 2023.

– Det er alarmerende. En av de største truslene virksomheter står overfor i dag er digitale trusler, og det er litt skremmende at så få er bekymret for at det faktisk kan ramme dem selv, sier Dagestad.

Trusselen er reell, og den kommer nærmere

Dagestad peker på at mange fortsatt betrakter informasjonssikkerhet som et rent teknisk anliggende.

– Det er et tankesett som må endres. Informasjonssikkerhet er virksomhetsstyring. Det handler om å beskytte verdiene dine – alt fra forretningshemmeligheter til personopplysninger og intern kode. Når alt dette er digitalt tilgjengelig, må du ha gjort et skikkelig sikkerhetsarbeid, sier han.

Han viser til et ferskt eksempel fra Gjøvik, der en lokal rørleggerforretning ble rammet av et løsepengeangrep:

– Hele virksomheten ble lammet. De hadde alt digitalt – ordresystem, kundedata, timeplaner. Ingen visste hvor de skulle møte neste dag. Det gikk nesten konkurs. Så dette rammer ikke bare de aller største virksomhetene; det rammer rørleggeren på hjørnet også.

Som oftest et styreansvar

Til tross for at tre av ti virksomheter har opplevd digitale sikkerhetshendelser, viser BDOs undersøkelse at styrene engasjerer seg mindre enn før. Det får Dagestad til å reagere.

– Hvis man ikke får rapportering på informasjonssikkerhet i løpet av året, så gjør verken styret eller styreleder jobben sin. Ansvaret ligger på toppen. Det er styret som må etterlyse risikovurderinger, beredskapsplaner og statusrapporter, understreker han.

Han legger til at styrets kompetanse må speile dagens risikobilde:

– Et godt styre er bevisst på å ha tverrfaglig sammensatt kompetanse. Evnen til å stille de rette spørsmålene er kanskje det viktigste et styre har.

Juridisk og personlig ansvar

Dagestad minner også om at styreverv ikke bare handler om strategi og møter. Det er et personlig ansvar.

– Du risikerer erstatningsansvar hvis du ikke gjør jobben din. Det gjelder ikke bare i børsnoterte selskaper, men også i frivillige organisasjoner. Et idrettslag som mister personopplysninger kan få Datatilsynet på døra. Det er for få som er bevisste på det, sier han.

Han peker på at mange ledere undervurderer sitt eget ansvar:

– Som daglig leder blir du ikke ansvarsfri ved å stikke hodet i sanden. Og som styremedlem blir du ikke frikjent ved å si at «vi visste ikke». Det holder ikke om du burde ha spurt. Da har du handlet uaktsomt.

– Du kan ikke sikre deg 100 prosent, men du kan være forberedt

Dagestad mener nøkkelen ligger i beredskap, trening og bevisstgjøring.

– Du kan aldri garantere at en sikkerhetshendelse ikke vil ramme deg. Men du kan trene på det, og du kan planlegge for det. Det er det som skiller de som kommer seg raskt på beina fra de som blir slått ut, sier han.

Han forteller at BDO selv gjennomfører jevnlige øvelser og phishing-simuleringer for egne ansatte.

– Undersøkelser viser at rundt 30 prosent av ansatte i virksomheter går på disse lenkene. Det viser hvor lett det er å bli lurt – og hvor viktig det er å øve. Et enkelt klikk kan være alt som skal til for å slippe trusselaktørene inn døra.

Styret har et tydelig ansvar

Avslutningsvis kommer Dagestad med en klar oppfordring til norske styrer:

– Styret har et tydelig ansvar for å sikre god kontroll på informasjonssikkerheten. De må forstå eksponeringen sin mot digitale trusler, sørge for at ledelsen har kompetanse og ressurser, og kreve beredskapsplaner. Å tro at dette ikke rammer deg, er utopi, sier han.

Han mener at informasjonssikkerhet nå er en del av virksomhetens grunnmur – like selvsagt som økonomistyring og HMS.

– Tilliten er en konkurransefaktor. Den bygges over tid, men kan rives ned på minutter. Derfor må styret ta sikkerheten på alvor – ikke fordi det er pålagt, men fordi det er smart forretning.