Rask digitalisering øker sårbarhet | KPMG | NO
close
Share with your friends

Rask digitalisering øker sårbarhet – virksomhetene henger ikke med!

Rask digitalisering øker sårbarhet

– Forståelsen for dagens sårbarheter reflekterer ikke utviklingen i risikolandskapet. Virksomhetene er for dårlige på risikomodellering og fremtidsscenarier, sier Arne Helme i KPMG og Jack Fischer Eriksen i Næringslivets sikkerhetsråd.

1000

Kontaktperson

Partner, Advisory

KPMG i Norge

Kontakt

Relatert innhold

Realismen synker inn. 6 av 10 norske toppledere ser det nå som svært sannsynlig at de vil bli utsatt for et cyberangrep i nær fremtid, det er mer enn det globale snittet på 47 prosent. Og de innser samtidig at de ikke er godt nok rustet for å håndtere cybertrusselen. Kun 24 prosent av de norske topplederne (ned fra 30 prosent i 2017), mener at deres virksomhet enten er "svært godt" eller "godt" forberedt på et cyberangrep, en lavere andel enn i verden for øvrig hvor andelen toppledere som føler seg beredt har gått opp fra 43 til 51 prosent. På nordisk nivå mener kun 14 prosent av at virksomheten er godt nok rustet, ned fra 21 prosent i fjor.

Forstår ikke risiko

CEO Outlook viser at norske toppledere syns det er krevende å overvåke risikolandskapet. Nesten halvparten (48 prosent) sier de er for dårlige på å identifisere nye cybertrusler. Også her er de mindre selvsikre enn andre. I Norden er tilsvarende tall 30 prosent, mens det globalt er 25 prosent.

– Ser vi på NSRs Kriminalitets- og sikkerhetsundersøkelse fra 2017, oppgir kun 28 prosent av lederne/sikkerhetslederne at de skriftlige risikovurderinger, opp kun 5 prosent siden 2015. I tillegg oppga kun 16 prosent at de leste PSTs trusselvurdering, mens bare 11 prosent var oppdatert på NSMs risikovurdering. Disse tallene er skrekkelig lave. Her har norske virksomhetsledere et stort forbedringspotensial, mener Jack Fischer Eriksen, direktør i Næringslivets sikkerhetsråd.

– Ledere erkjenner i større grad risiko og egne begrensninger, men ønsker ikke være en bremsekloss for digitaliseringen. Vi ser en økt grad av digital forståelse og modenhet i virksomhetene, og investeringer i cybersikkerhet øker. Men de fleste er fortsatt for dårlig forberedt – og mangler kompetansen og innsikten som gjør at de får totalbildet og kan se ting i sammenheng, noe som trengs for å kunne iverksette riktige tiltak, forteller Arne Helme, Partner i KPMG Norge.

Trussellandskap i stor endring

Mørketallsundersøkelsen fra 2016 tegnet et bilde av et trussellandskap i stor endring med sikkerhets- og IKT-utfordringer som aldri før har vært større. 27 prosent av de norske virksomhetene i undersøkelsen hadde opplevd uønskede sikkerhetshendelser det siste året, men kun 2 av 10 mente dette hadde en kostnad for virksomheten.

– Det er ikke er nok kunnskap om truslene og hva skadeomfanget av sikkerhetsbrudd innebærer. Norske virksomheter har ikke god nok oversikt over sine verdier eller risikoen de er utsatt for og hvilke skader og kostnader sikkerhetsbrudd og cyberangrep kan påføre dem, poengterer Fischer Eriksen.

Trenger eksperter på forretnings- og risikoanalyse

Ser vi på CEO Outlook, er de fleste toppledere enige om at cybersikkerhetsspesialister er fagekspertisen som er aller viktigst for å sikre virksomhetenes videre vekst. Det gjelder 71 prosent av de norske topplederne, 63 prosent i Norden og 55 prosent globalt. Derimot mener kun 20 prosent av de norske lederne at spesialister på scenario- og risikomodellering- og analyse er like viktig for videre utvikling og vekst.

– Mange norske virksomheter har fremdeles en gammeldags tilnærming i måten de jobber med risiko. Vi må forholde oss til en ny type risiko, og det krever en ny type kompetanse. Forståelsen for dagens sårbarheter reflekterer ikke utviklingen i risikolandskapet. Virksomhetene er for dårlige på risikomodellering og fremtidsscenarier, understreker Helme.

– I stedet for å ansette eksperter på risiko- og forretningsanalyse, ender virksomhetene opp med enda mer teknologikompetanse. I realiteten trenger de folk som ser koblingen mellom teknologi, forretning og eksterne trusler, og kan omsette innsikt til strategier og tiltak. IT er bare en del av det totale risikobildet i forretningen, og kompetansen må derfor balanseres og styres mot riktig nivå i organisasjonen, sier KPMGs cyberekspert.

En underskog med sårbarheter

En virksomhet er aldri sikrere enn sitt svakeste ledd, og med digitaliseringens voksende økosystemer med samarbeidspartnere og underleverandører, blir sårbarhetene mange. I CEO Outlook mener 52 prosent av de norske topplederne at de vil klare å håndtere interessenter som kunder, lovgivende myndigheter og forretningspartnere dersom de skulle bli utsatt for et cyberangrep. Globalt er dette tallet 73 prosent.

– Å sørge for at underleverandører håndterer risiko og sikrer seg på en god måte har blitt kritisk. Se bare på det økende antallet henvendelser NSM mottar fra virksomhetsledere som trenger sikkerhetsråd. Å tenke på underskogen og hjelpe de små virksomhetene bør være en del av sikkerhetstiltakene, påpeker Fischer Eriksen og henviser til Bente Hoff, leder for strategisk cybersikkerhet i NSM, og hennes uttalelser om at risikovurderingen er altfor dårlig, og at det er for lite fokus på IKT-sikkerhet når norske virksomheter outsourcer.

– KPMG og NSR, som henne, ønsker å fremheve viktigheten av at toppledelsen er lydhør for innspill fra egne fageksperter og ansatte, fordi det ofte er her det svikter. Sikkerhet må inn i ryggmargen på topplederne.

Ta kontakt

 

Forespørsel

 

Send inn