Det er vist ingen hemmelighed, at risikoen for cyberangreb er mere nærværende end nogensinde. Pandemiens digitalisering har kun forstærket det voksende trusselsbillede. Og senest har krigen i Ukraine placeret danske virksomheder i cyberkriminelles skudlinje.

Ikke mindst har hændelserne på Nord Stream 1 og 2 efterladt flere sektorer, herunder forsyningssektoren, i blodrødt alarmberedskab. Helt så intenst står det ikke til i finansverdenen endnu, men også her kan farvekoden hurtigt skifte fra den nuværende orange til mere rødlige nuancer.

Som modtræk til den stigende cyberkriminalitet har Europa-Kommissionen tegnet et lovforslag om en bedre digital operationel modstandsdygtighed over for cyberangreb kaldet DORA (Digital Operational Resilience Act) – en forordning, der skal styrke den finansielle servicesektor i EU.

DORA er uden tvivl et vigtigt initiativ, der kan styrke it-sikkerheden i en samfundskritisk branche, men problemet er, at den finansielle sektor ikke er gearet til at leve op til forordningen. Og det til trods for de seneste års massive digitalisering i sektoren. Lige nu peger alt på, at det er et spørgsmål om tid, før DORA bliver en realitet. Planen fra EU er få den endelige godkendelse på plads ved udgangen af 2022 og efterfølgende implementering i de enkelte lande.

Tre trin

Derfor er det helt essentielt allerede nu at tage de første skridt i retning af skærpet it-sikkerhed og lægge fundamentet for at blive klar til DORA.

Det kræver tre øvelser:

1. Sikkerhed kræver jævnlige og opdaterede beredskabsøvelser

Digitaliseringen af samfundet fører meget godt med sig, f.eks. større fleksibilitet i arbejdslivet og nemmere, mere brugervenlige måder at handle på. Samtidig fører det også en enorm omskiftelighed med sig. Markedsandele kan på få år eller måneder blive vendt på hovedet i en branche. Og cyberkriminelle agerer i den virkelighed lynhurtigt. Dén virkelighed må finansielle virksomheder omstille sig til.

Vi er forbi den tid, hvor man kan holde beredskabsøvelser en gang om året for at se, om alarmerne nu også virker. Frekvensen skal op. Samtidig skal sikkerhedssystemerne designes på en måde, så man løbende kan risikovurdere og opdatere systemerne hurtigt og effektivt. I tillæg kan teknologier som kunstig intelligens og maskinlæring styrke forsvaret ved at automatisere opgaver og dermed lette byrden fra it-sikkerhedsafdelingen. Særligt når man tænker på, hvor svært det netop er at tiltrække talent.

2. Tag selv ansvar for jeres data

DORA er langt fra eneste krav, som den finansielle sektor skal være opmærksom på. Tæt beslægtet er EU-direktivet NIS2, der stiller krav til virksomheders datahåndtering. Med NIS2 er der skarpere tilsyn med f.eks. banker, og det indebærer, at bankerne kan holdes direkte ansvarlige for brud på cyber- og informationssikkerheden.

Dermed er det ikke muligt frit at udlicitere hele digitaliseringen af sin virksomhed til en tredjepart og håbe på, at den hellige grav er velbevaret. Tværtimod er det nødvendigt selv at tage ansvar for sine data. Udliciteringer skal dermed undergå grundige risikovurderinger, som er forankret i virksomhedens direktion og bestyrelse. Det er kort sagt en forretningsrisiko og ikke en it-risiko.

Tager vi f.eks. ransomware-angreb, sker de typisk, fordi forretningskritiske data ikke er godt nok beskyttet. Bliver en pc i en virksomhed kompromitteret, kan et ransomware-angreb sagtens finde sted, uden at nogen opdager noget, før det er for sent. Der findes eksempler på hackere, der har haft snablen nede i virksomhedens data i ni måneder, før angrebet blev opdaget.

Derfor er virksomheder nødt til at sikre deres data mod ransomware. De skal være tilstrækkeligt beskyttet, og hvis uheldet alligevel er ude, skal man have en klar plan for situationen.

Den moderne tilgang til it-sikkerhed kaldes meget passende zero trust. Begrebet refererer til, at det ikke er et spørgsmål, om cyberangreb sker, men hvornår det sker. Man skal se det sådan, at virksomhedens it-miljø til enhver tid kan blive kompromitteret, og at man derfor altid skal have en passende krisestrategi til håndtering heraf.

3. Sikkerhed kræver risici

Det kan lyde paradoksalt, men god it-sikkerhed og forberedelse til DORA kræver, at virksomheden tager risici. Påstanden skal ikke forstås som en laissez faire-tilgang til it-sikkerhed, men en villighed til – med et lidt fortærsket udtryk – at tænke ud af boksen. Og turde tænke i utraditionelle måder at gøre tingene på. Det er jo dét, de cyberkriminelle gør.

Lad os tage optimering af kodeord som et simpelt eksempel. Ifølge den traditionelle tankegang vil løsningen være at udrulle mere effektive password protection-programmer eller intensivere gældende kodeordspolitikker. Men hvad hvis løsningen er helt at stoppe med at bruge traditionelle passwords?

Man kan aldrig ruste sig 100 procent mod cyberangreb i et moderne it-miljø, hvor cloud og kommunikation via internettet er en nødvendighed. Derfor er det vigtigt, at man har en risikobaseret tilgang til it-sikkerhed og tænker ”what if” aktivt ind i sine planer.

DORA banker på

Udviklingen på sikkerhedsområdet i den finansielle sektor er derfor ikke et spørgsmål om, hvornår det skal gøres, men hvordan det skal gøres.

Og ja, det kræver både ressourcer, mod og et langt mere dynamisk tankesæt, men det er nødvendigt, hvis finansverdenen skal blive klar – ikke bare til DORA, men den moderne digitale tidsalder.

EU på vej med store bøder for misbrug af kunstig intelligens: Nationalbanken opfordrer banker til at forberede sig

Klumme: Cybersikkerheden kræver knofedt og gode naboer