Magma topp logo Til forsiden Econa

magma2002_fagdel_img_003

Katarina Kaarbøe er professor ved Norges Handelshøyskole (NHH). Hun har i sin forskning først og fremst vært interessert i bindeleddet mellom ledelse og styring og har publisert et antall artikler og bøker innenfor dette området. Kaarbøe jobber per dags dato med et prosjekt om digital omstilling (Digital Business). Hun er fagredaktør for Magmas nummer 0220.

magma2002_fagdel_img_003

Anita Meidell er førsteamanuensis ved Institutt for regnskap, revisjon og rettsvitenskap ved Norges Handelshøyskole. Hun er tidligere partner i EY, og forsker og underviser på tema knytte til virksomhets- og risikostyring. Hun er fagredaktør for Magmas nummer 0220.

Cyberrisiko er en økende trussel – krever ny kunnskap

Verden står akkurat nå i en situasjon der risikohåndtering er mer aktuelt enn på lenge. Virus – både mellom mennesker, men også digitalt skaper sårbarhet som krever at virksomheter må ha systemer for styring og kontroll. Ved Norges Handelshøyskole (NHH) har vi nylig etablert et Center for digital business and audit, som har som mål å øke vår kunnskap knyttet til design og bruk av digitale løsninger for styring og kontroll. Den digitale utviklingen går raskt og innebærer muligheter til å få tilgang på store mengder data som kan deles mellom mange aktører. Dette kan gi muligheter for å ta raskere beslutninger, redusere kostnader og skape nye inntekter gjennom endring i forretningsmodeller. Men utviklingen har også en skyggeside. Ved at informasjon samles, lagres og gjøres tilgjengelig i digitale løsninger, øker også sårbarheten for at informasjon kommer på avveie eller misbrukes. I dette nummeret av Magma retter vi søkelyset mot ulike former for cyberrisiko og hva virksomheter kan gjøre for å øke cybersikkerheten.

På topp fem-listen

I Global Risk Report for 2018 fra World Economic Forum (WEF) er cyberrisiko en av de fem største globale risikoene. Cyberrisikoen er økende, og det rapporteres om flere antall cyberangrep og økende kostnader for virksomheter knyttet til å håndtere cyberangrepene (WEF, 2018). Aakre definerer cyberrisiko som «verdier satt på spill gjennom digitalisering. Verdiene kan være både materielle og immaterielle, og risikoen kan oppstå både tilsiktet og utilsiktet». Aakre beskriver videre i sin artikkel hvilke cybertrusler som dominerer for norske virksomheter, og hvordan trusselbildet kommuniseres. Imidlertid er det ikke bare virksomheter som utsettes for cyberangrep. Cyberrisiko spenner fra nasjonalt nivå til det enkelte individs personvern.

Nye regulatoriske krav

For å imøtegå den økende cyberrisikoen er ett av myndighetenes virkemidler å innføre ny lovgivning. Flere av artiklene i dette nummeret retter søkelyset mot virkeområder og konsekvenser av nyere lovgivning og lovutkast knyttet til cybersikkerhet. I artikkelen til Iden og medforfattere kan dere lese om dilemmaet mellom kontroll og tillit ved innføring forslag til ny lov om Etterretningstjenesten. Loven vil gi Forsvarets Etterretningstjeneste tillatelse til å overvåke all digital kommunikasjon som krysser landets grenser. Formålet er å avdekke alvorlige trusler mot nasjonen som terror, spionasje og angrep mot kritiske samfunnsfunksjoner og infrastruktur. Imidlertid innebærer lovforslaget et dilemma mellom på den ene siden kontrolltiltak som sikrer fellesskapet, og på den andre siden befolkningens krav på personvern. Personvernet står sterkt i både nasjonal og internasjonal lovgivning og er forankret både i menneskerettskonvensjonen og i den norske grunnloven. I 2018 fikk vi en revidert lov om behandling av personopplysninger (15. juni 2018 nr. 38) som er en implementering av EUs personvernforordning (General Data Protection Regulation, GDPR). Som dette eksempelet viser, kan innføring av ny lover medføre et dilemma mellom hvilke risikoer myndighetene skal prioritere gjennom lovgivning.

En annen problemstilling som løftes frem i Weitzenboeck og Vindens artikkel, er utfordringene virksomheter står overfor når det gjelder den økte kompleksiteten i rettslige krav. Forfatterne tar for seg et annet lovutkast – utkastet til lov om sikkerhet i nettverk og informasjonssystemer – og analyserer i hvilken grad lovutkastet medfører nye forpliktelser for virksomhetene som blir underlagt bestemmelsene. Artikkelen sammenligner lovutkastet med den nylig vedtatte sikkerhetsloven og personopplysningsregelverket, og trekker frem hva som er overlappende, og hva som er forskjellig.

Personvernloven er et tema som går igjen i flere av artiklene i dette nummeret av Magma. Wasenden har i sin artikkel gjennomført en spørreundersøkelse blant unge norske forbrukere for å kartlegge hvor bevisste de er på personvern, gjennom å måle bekymrings- og kunnskapsnivå, og ikke minst, om de gjør noe for å beskytte sine personlige data. Anbefalingen til bedrifter som skal bruke persondata, er at de ikke bare skal forstå regelverket, men også må kunne balansere kundenes personvernbehov og deres ønsker om tilpassede tjenester.

Virkemidler for bedre cybersikkerhet

De neste tre artiklene i dette nummeret tar for seg ulike virkemidler virksomheter kan ta i bruk for å bedre cybersikkerheten. Virkemidlene spenner ganske vidt, fra bruk av scenarioanalyser (Bourmistrov og Aakre) til tjenesteutsetting (Pretorius og medforfattere) og atferdsendringer for informasjonssikkerhet (Munkejord og Sund). Bourmistrov og Aakre kritiserer bruken av tradisjonelle risikostyringssystemer for å styre cyberrisiko, og argumenterer for å ta i bruk scenarioanalyser for å utvide perspektivet for hvilke trusler virksomheter står overfor. Pretorius og medforfattere trekker frem tjenesteutsetting av IKT-strukturen til en skyleverandør som en måte å organisere seg på når man skal sikre seg mot cyberkriminalitet, kanskje særlig for de minste virksomhetene. Imidlertid rettes cyberkriminalitet i økende grad mot menneskene i organisasjonen fremfor å finne svakheter i de tekniske systemene. Munkejord og Sund drøfter risikofaktoren som ansatte representerer for informasjonssikkerheten, og viser hvilke hovedfaktorer som kan bidra til å utvikle og implementere effektive opplæringsprogrammer og kampanjer for bedre informasjonssikkerhet.

Etter å ha lest disse artiklene reflekterer vi over den betydelige kompleksiteten ved å skulle beskytte seg mot cyberrisiko. Det er risiko på mange ulike nivåer: staten, selskapet og den enkelte. Vi synliggjør ikke minst i hvordan lovverket utvikler seg. Ny lover har kommet til eller blir foreslått for å beskytte landets grenser (staten), nettverk og informasjonssystemer (selskapsnivået) og personlig informasjon (den enkelte). Det er mange og viktige avgjørelser som må tas for å sikre at hver lov for seg og sammen med de andre skal fungere godt for Norge, norske virksomheter og landets innbyggere.

På nasjonalt og internasjonalt nivå er det ikke bare Norge som er bekymret for hvordan data skal lagres og beskyttes. Hvordan skal de virtuelle grensene trekkes opp? Er det mulig å prøve å skape virtuelle grenser rundt land, selskap eller individ? Vi finner ulike eksempler rundt i verden: India blokkerer betalingsinformasjon fra å krysse landegrensene, Russland krever at data skal lagres på servere i landet, og EU diskuterer å skape et marked for data på samme måte som for varer og tjenester. Iden peker på betydningen av å lage en løsning for nasjonalt grenseforsvar som gir god struktur, oppfølging og kontroll, og som sikrer at den enkeltes tillit bibeholdes. Men er det mulig å velge ulike løsninger for ulike land?

På selskapsnivå er anbefalingene å ha sikkerhetsrutiner og risikovurderinger, men hva innebær egentlig det? Å beskytte seg mot cyberrisiko ved hjelp av tradisjonell, reaktiv risikostyring er ikke tilstrekkelig, sier Bourmistrov og Aakre. Cyberrisiko skiller seg på mange måter fra kjente risikoer som brann eller innbrudd ved at cyberrisiko er i stadig endring. Hva vet vi i dag om hvordan cyberkriminelle angriper i morgen? Det er viktig å sette sammen ulik kompetanse for å øke forståelsen av hvordan selskapene kan lage gode systemer for å beskytte seg.

På individnivå har EU vedtatt ny personvernlovgivning (GDPR), og Wasenden konkluderer med at personvern er noe vi bryr oss stadig mer om. For at selskap skal være konkurransedyktige i fremtiden, må det tas større hensyn til hvordan persondata blir håndtert. Også på dette området er det ulike tilnærminger. I USA blir data håndtert som olje: Den som finner den, eier den. Kina mener at data er landets eiendom, mens EU på sin side mener at data er infrastruktur og krever datafond (data trusts) for å håndtere data på en sikker og ansvarlig måte.

God lesning!


Econa er foreningen for høyt utdannede innen økonomi og administrasjon. Er du ikke medlem?
Sjekk medlemstilbudene og meld deg inn i dag.

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS