Cybersikkerhetsselskapet Trend Micro publiserte nylig funnene fra en ny undersøkelse som avdekker at vedvarende lavt engasjement fra ledelsen hva gjelder IT- og cybersikkerhet, kan utgjøre en investeringsrisiko og utsette virksomheten for økt cyberrisiko.

Veldig bekymret, men ikke så veldig engasjert

Over 90 prosent av respondentene i undersøkelsen uttrykte spesiell bekymring for løsepengevirus. Samtidig svarte rundt halvparten (57 prosent) av respondentene at cybersikkerhet og -risiko ble diskutert med ledelsen på ukentlig basis.

Fra år til minutter på kort tid

For noen år siden kunne det gå måneder og år før sårbarheter i maskin- eller programvare ble utnyttet etter at de ble oppdaget. Nå kan det ta kun noen minutter før de første cyberangrepene finner sted etter at en sårbarhet er oppdaget. I det siste har mange av dagens ledere forstått at de har et ansvar for å bli informert om cybersikkerhet og -risikoene. Samtidig kommer det frem i undersøkelsene til Trend Micro at de samme lederne ofte føler seg overveldet av hvor raskt cybersikkerhetslandskapet utvikler seg.

– Skal dagens virksomheter klare å slå tilbake mot de cyberkriminelle, er det viktig at IT-lederne klarer å kommunisere med resten av ledelsen og styret på en måte som gjør virksomhetsrisikoen forståelig. Det gjør det samtidig mye enklere å vite hvordan risikoen også best bør håndteres, sier kommunikasjonssjefen i Trend Micro, Karianne Myrvold.

Hindre cyberangrep er viktigere enn digital transformasjon

Til tross for manglende engasjement og forståelse, er ikke nåværende investeringer i cybersikkerhet på et kritisk lavt nivå. Det kommer tydelig frem i undersøkelsen. I underkant av halvparten (42 prosent) av respondentene svarte at de bruker mest på å hindre cyberangrep for å redusere forretningsrisiko. Dernest svarte 36 prosent at de investerte i digital transformasjons-prosjekter og 27 prosent i transformering av arbeidsstyrken.

Om lag halvparten (49 prosent) svarte at de nylig har økt investeringene sine for å redusere risikoen for løsepengevirus og andre sikkerhetsbrudd.

– I 2019 svarte nesten halvparten av norske bedrifter at de heller ville betale løsepenger enn å investere i sikkerhetssystemer for å avverge løsepengevirus. Det har alltid vært vår klare og tydelige anbefaling om å ikke gjøre. For svært mange virksomheter har den strategien vært en dyrekjøpt erfaring. Undersøkelsene våre kan tyde på at manglende forståelse har ført til manglende engasjement. Og resultatet har ofte vært at ledelsen har «kasta penger» på problemet fremfor å utvikle en forståelse av cybersikkerhetsutfordringene og dermed investert mer riktig, slår Myrvold fast.

Begrenset kunnskap om cyberrisiko og -styring

Investeringer basert på manglende kunnskap kan undergrave effektive strategier og resultatet kan bli større økonomiske tap. Mindre enn halvparten (46 prosent) av respondentene hevdet at konsepter som «cyberrisiko» og «cyberrisikostyring» var godt kjent i virksomheten deres.

Flere må bli mer ansvarlig

De fleste av respondentene (77 prosent) svarte at de ønsker å holde flere beslutningstakere i virksomheten ansvarlige for å håndtere og redusere risikoene. Ansvarliggjøringen vil bidra til å utvikle en «sikkerhet ved design»-kultur på tvers av flere ledere og avdelinger. Den største gruppen av respondenter (38 prosent) favoriserte å holde administrerende direktør ansvarlig, etterfulgt av finansdirektøren (28 prosent) og markedsdirektøren (22 prosent).