Cyber har satt sitt preg på nyhetsbildet, og enkelte har gått så langt som å advare mot et norsk digitalt «Pearl Harbor». PwCs årlige CEO Survey som blir lansert 11. mars viser at ni av ti ledere ser på cyber sikkerhet som den største trusselen mot fremtidig vekst. De er mer redd for datainnbrudd enn de er for pandemi.

Men i norske styrerom er det annerledes: Der er kun halvparten bekymret for cyber. Har norske styremedlemmer sovet i timen?

Det SolarWinds, Garmin, SAS, Stortinget og Østre-Toten kommune har til felles er at de har vært utsatt for datainnbrudd det siste året. Det dukker stadig opp nye trusselaktører og metoder for å utnytte sårbarheter i løsningene vi er sårt avhengige av, samtidig som man strever med å skaffe tilstrekkelig kompetanse. I den nye virkeligheten har cybertrusler beveget seg fra et irritasjonsmoment til å bli en eksistensiell trussel. Disse truslene har potensial til å sette virksomheter ut av spill, eksempelvis ved å gjøre kritisk informasjon utilgjengelig. Næringslivets ledere ser ut til å ha justert sin virkelighetsforståelse og anerkjenner at trusselbildet har endret seg, men det ser ikke ut som styrene har gjort den justeringen.

Rapporteringen på cybersikkerhet varierer mellom virksomheter, men det er overraskende at PwCs styreundersøkelse fant at det kun er 34 prosent av styrene som opplever at de mottar nyttig rapportering om cybersikkerhet i virksomheten.

Det er en forskjell mellom trusselforståelsen hos virksomhetens ledere, og det norske styrer opplever. Det er ikke bare ledelsens ansvar å rapportere på selskapsrisiko til styret – styret må også sørge for at det blir rapportert på og at de forstår hva det betyr for selskapet. Ettersom så mange som 91 prosent av topplederne er bekymret for cybertrusler, kan det virke som at det ikke rapporteres på trusler eller risikobildet som ledelsen egentlig bekymrer seg for.

Norske styrer har gjennom aksjeloven en forpliktelse til å sette seg inn og følge opp potensielle risikoer for selskapets overlevelse. Styret setter forventninger og legger til dels føringer for ledernes prioriteringer. Den enorme mobiliseringen på hjemmekontor har medført en økt risikoeksponering. Når en stor del av styrene mangler forståelse for hva denne risikoeksponering betyr kan det skape utfordringer for å redusere risikoen. Det er viktig at ledelsen er tydelige i sin kommunikasjon omkring cybertruslene rettet mot virksomheten og hvordan det påvirker fremtidig vekst.

I Norge kan et styre gjøres ansvarlige av eiere ved økonomiske tap. Derfor syns vi det er merkelig at kun halvparten av norske styrer er bekymret for cybertrusler og bare tre av ti opplever å ha full forståelse for selskapets cyberstrategi- og plan. Cyberrisiko må kontekstualiseres og ses i sammenheng med virksomhetens overordnede strategi og målsetning. For at styrene skal øke sin forståelse må de også øke sin kompetanse. Dersom styret virkelig forstår risikoen som cyberdomenet utgjør er det rimelig å anta antallet som er bekymret er mer enn halvparten. Da lurer vi på – forstår styrene hva denne risikoen betyr?

Det er gjennom bevisstgjøring, forståelse og kunnskap at man bygger kompetanse. Forståelse for hvilke konsekvenser cyberrisikoen kan gi for virksomheter synes å være fraværende blant halvparten av norske styrer. 78 prosent av styremedlemmene svarer at de ikke har tilstrekkelig kompetanse innenfor cybersikkerhet – det er et betydelig kompetansegap. Norske styrer burde følge ledelsens eksempel og jobbe aktivt for å øke sin forståelse, sin kunnskap og derigjennom sin kompetanse som styremedlem.

Selv må norske styrer må ta større ansvar og engasjere seg for å forstå hvilke risikoer virksomheten møter og påse at det gjøres rapportering på disse. Hvorfor har ikke styrene tatt dette ansvaret enda?

Det kan være mange forklaringer og vi tror et sentralt element handler om at hvorvidt man klarer å tiltrekke seg styremedlemmer med nok innsikt i cyberrisiko. Det er et vesentlig behov for ansatte og ledere med innsikt i cyber- og sikkerhetsrelaterte problemstillinger – hvilket resulterer i hard konkurranse i markedet. De tradisjonelle ordningene og incentivene for å engasjere medlemmer i styreverv er gjerne ikke nok for å kapre de styremedlemmene som har nok innsikt i den nye og heldigitale virkeligheten.

Alvhild Skjelvik
Alvhild Skjelvik
Jan Henrik Schou Straumsheim
Jan Henrik Schou Straumsheim
Hanna Døhlen Opsahl-Ben Ammar
Hanna Døhlen Opsahl-Ben Ammar

Styrene må gjøre omfattende tiltak for å møte sine forpliktelser og ledelsen må evne å gi styret den innsikten de trenger i cyberrisiko. Styrene må ha nok forståelse til å stille de gode spørsmålene, til å utfordre ledelsen og til å se den langsiktige fordelen ved å investere i sikkerhetstiltak. Det er et enormt behov for å investere i gode sikkerhetstiltak – og det kan være avgjørende for hvilke selskaper som overlever i årene fremover.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.