Databrud har for længst forladt it-afdelingens domæne og er nu blevet en fast plads på bestyrelsesbordet: I 2018 blev British Airways udsat for et brud på cybersikkerheden, som resulterede i tyveri af personlige og finansielle oplysninger om kunder. Resultatet var vidtrækkende. Ud over en bøde på 20 mio. pund fra det britiske Information Commissioner's Office (ICO) kunne et gruppesøgsmål ende med at koste selskabet milliarder af pund. Dette niveau af finansielle omkostninger er lige til at tage højde for i bestyrelsen.
Men det er ikke kun økonomiske tab, som databrud forårsager. Virksomhedens kunder, medarbejdere, drift og leverandører kan alle blive påvirket. Sikkerheden er i en sådan tilstand, at den nu er steget til tops i virksomheden som et kritisk forretningsmæssigt hensyn. Bestyrelsesmedlemmer skal være opmærksomme på konsekvenserne af et sikkerhedsbrud og være klar til at træffe positive foranstaltninger.
Hvad en bestyrelse skal vide om konsekvenserne af et brud på datasikkerheden
Bestyrelsesmedlemmer har en omsorgspligt over for selskabet og dets aktionærer. Dette omfatter også at sikre, at virksomheden beskytter sig mod trusler, uanset om de er ondsindede eller utilsigtede. I Det Forenede Kongerige er bestyrelsesmedlemmers tillidspligt fastsat i Companies Act 2006, som beskriver en pligt til at "fremme virksomhedens succes" og til at "udvise rimelig omhu, dygtighed og omhu i udøvelsen af deres rolle". De typer af konsekvenser, som et cyberangreb kan have, er beskrevet nedenfor, og de kan hver især have vidtrækkende konsekvenser for en virksomheds fortsatte succes:
Medarbejdernes moral
Virksomheder fungerer bedre med glade og effektive medarbejdere. Hvis moralen er lav, falder produktiviteten. En rapport fra Carbonite, der undersøger, hvordan et databrud påvirker medarbejderne, viser tydeligt, at personalets moral bliver ramt af et brud:
- 25 % af medarbejderne oplever en påvirkning af deres balance mellem arbejde og privatliv
- 24 % af medarbejderne oplevede et fald i arbejdsmoralen på kontoret
- 15 % af virksomhederne fyrede medarbejdere eller afskedigede dem efter bruddet
- 11 % af virksomhederne oplevede, at medarbejdere sagde op efter et brud
Aktiekurs
Bestyrelsesmedlemmer er under pres for at sikre, at aktierne forbliver høje for at bevare aktionærernes tillid. Der er imidlertid tegn på, at databrud har en negativ indvirkning på aktiekurserne. Et af de skarpeste beviser på dette var det fald, som Equifax-aktien tog i kølvandet på virksomhedens databrud i 2017 - den faldt i alt over 30 %, inden den kom sig igen.
Comparitechs undersøgelser, der er gennemført over flere år, viser, at aktiekursvirkninger er almindelige. Undersøgelsen anvendte virksomheder, der er noteret på New York Stock Exchange, og fandt, at aktiekurserne i gennemsnit faldt med -3,5 % og underpræsterede på NASDAQ med -3,5 %.
Overholdelse og bøder
Forordninger om databeskyttelse og privatlivets fred er ofte forbundet med store bøder ved manglende overholdelse. To eksempler på britiske virksomheder, der har fået bøder i henhold til EU's generelle databeskyttelsesforordning (GDPR), viser omkostningerne ved manglende overholdelse af reglerne:
Virksomhed: Ticketmaster
Bøde: 1,4 millioner euro (1,2 millioner pund)
Hvorfor: Utilstrækkelige tekniske og organisatoriske foranstaltninger til at sikre informationssikkerheden
Virksomhed Marriott International, Inc
Bøde: 20,5 millioner euro (17,8 millioner pund)
Hvorfor: Utilstrækkelige tekniske og organisatoriske foranstaltninger til at sikre informationssikkerheden
Alene i 2020steg GDPR-bøderne med 19 % med i alt 332,4 millioner dollars i bøder udstedt siden lovens ikrafttrædelse i 2018.
Tab af omdømme og kunder
En rapport fra Lloyds og KPMG om beskyttelse af immaterielle aktiver viste, at 80 % af virksomhedens aktiver i de sidste 10-15 år kan beskrives som immaterielle - dette omfatter varemærker, intellektuelle ejendomsrettigheder og teknologidrevne tjenester. Et af de vanskeligere at kvantificere resultaterne af en datalækage eller et brud på datasikkerheden er imidlertid påvirkningen af omdømme og tab af kunder. En undersøgelse foretaget af PwC viste, at 87 % af forbrugerne sagde, at de ville flytte deres forretning andetsteds hen, hvis en virksomhed blev udsat for et brud på datasikkerheden.
Afskedigelser af medarbejdere og ledende medarbejdere
I sidste ende kan et brud resultere i tab af færdigheder og viden. En Radware-rapport om State of Web Application Security viser, at 23 % af virksomhederne har fyret ledere efter et brud på sikkerheden. Et eksempel er, igen, fra Equifax-databruddet i 2017. Den daværendeCIO på blev idømt en bøde på 55.000 dollars og fik en fængselsstraf på 4 måneder for at have udført insiderhandel, før offentligheden blev underrettet om bruddet.
Udgifter til nedetid
Databrud har en vidtrækkende indvirkning på hele virksomheden. Ovennævnte konsekvenser af et brud på datasikkerheden omfatter ikke andre berørte områder som f.eks. nedetid og tab af intellektuel ejendom/følsomme virksomhedsoplysninger: Datto undersøgte omkostningerne ved nedetid efter et brud på cybersikkerheden og fandt, at de var steget med 486 % mellem 2018 og 2020.
Hvordan et brud på datasikkerheden kan påvirke en bestyrelse
En sikkerhedskultur, der fremmes af en tone i toppen: Cybersikkerhed er hele organisationens ansvar, fra bestyrelse til medarbejder til tredjepartskonsulent og videre. Ingen enkeltperson, hverken et it-team eller en sikkerhedsanalytiker kan klare cybersikkerhedstrusler alene, og det er afgørende at få bestyrelsen med på sikkerhedsarbejdet. En robust og sund sikkerhedsindstilling i bestyrelsen tager sin tone fra toppen. Når en bestyrelse tager cybersikkerhed alvorligt, dannes der en sikkerhedskultur, som gennemsyrer hele organisationen. Denne kultur er grundstenen til at opbygge bevidsthed om cybersikkerhed på tværs af hele virksomhedens netværk.
Data er værdifulde: Data og potentialet for dataeksponering er et kritisk aspekt af bestyrelsestilsynet. Databrud er dyre sager: Den gennemsnitlige pris for et databrud i Storbritannien er 2,8 millioner pund (3,9 millioner dollars).
Manglende uddannelse i cybersikkerhed på bestyrelsesniveau: Cybersikkerhedskendskab kan være et problem for en bestyrelse. Bestyrelsesmedlemmer har sjældent en sikkerhedsbaggrund. Bestyrelsesmedlemmer bør dog have en uddannelse i sikkerhedsbevidsthed sammen med resten af organisationens personale. Uddannelsen bør være relevant og skræddersyet til deres rolle som bestyrelsesmedlemmer og ikke være en "one size fits all"-tilgang. Virksomhedens medarbejdere, der har færdigheder inden for cybersikkerhed og har fremragende kommunikationsevner, kan ansættes til at hjælpe med at uddanne bestyrelsesmedlemmer.
Virkninger på aktiekursen af brud på datasikkerheden: Som det fremgår, påvirker brud på cybersikkerheden aktionærerne, da aktiekurserne påvirkes efter et brud, og bestyrelsesmedlemmer har derfor pligt til at forstå konsekvenserne af brud på datasikkerheden for aktionærernes værdi.
Godkendelse af politikker: Cybersikkerhedspolitikker, hvoraf nogle kan berøre følsomme virksomhedsoplysninger, er en grundlæggende del af en sikkerhedsstrategi for hele virksomheden, som bør anerkendes af og eventuelt godkendes af bestyrelsen eller et bestyrelsesmedlem.
En kollektiv ansvarsfølelse: Ledelsesgruppen skal føre an i kampen mod cyberangreb. Topcheferne og bestyrelsen kan tilskynde til og fremme en fælles ansvarsfølelse, som også omfatter bevidsthed om utilsigtet dataeksponering og simple sikkerhedsfejl, der kan udsætte en organisation for øget risiko.
Alt for ansvarlighed: Organisationen og de personer, der udgør organisationen, er ansvarlige og har ansvaret for cybersikkerhedshygiejne. Den bevidsthedskultur om cybersikkerhed, der fremmes af bestyrelsen, er med til at forme den uddannelse, der er nødvendig for at sikre, at alle overholder sikkerhedshygiejne.
Kom godt i gang med at forebygge brud på datasikkerheden
En rapport fra Grant Thornton viste, at 73 % af virksomhederne rapporterede om tab på omkring 25 % af omsætningen efter at have været udsat for et cyberbrud. Alene dette er en vigtig grund til, at cybersikkerhed er en vigtig del af bestyrelsesarbejdet. Et cyberangreb har store konsekvenser for alle aspekter af en organisation. Bestyrelsen spiller en central rolle i forbindelse med at hjælpe med at skabe en robust sikkerhedsindstilling og sikre, at der er budget til rådighed til at træffe de rette sikkerhedsforanstaltninger og sørge for bevidsthedsuddannelse.
Eftervirkningerne af et databrud kan have ødelæggende konsekvenser for organisationer, og der er uundgåeligt et spil om skyld, der følger efter enhver cyberhændelse. Vores kommende webcast med titlen "The Data Breach Blame Game: Den 27. maj kl. 15.00 BST, diskuterer det stadig mere komplekse emne om ansvar og hvem der er ansvarlig, når der sker et brud.