Nyheder

DILEMMA: Forholder ledelsen sig til cybercrime?

Internetkriminalitet sker stadigt hyppigere i takt med, at digitalisering er højt på dagsordenen i virksomhederne. Det er bestyrelsen og direktionen, der bærer ansvaret for IT-sikkerheden – men hvordan sikrer man virksomheden mod cyberangreb?

Der er ingen tvivl om, at COVID-19 pandemien og øget hjemmearbejde har fungeret som en katalysator for udviklingen i IT-kriminalitet og gjort det endnu nemmere for cyberkriminelle at tilegne sig adgang til virksomhedens vigtige data og IT-infrastruktur. En rapport fra PWC viser, at hele 60% af alle danske virksomheder blev udsat for en eller anden form for cyberkriminalitet i løbet af 2020.

Er man ikke forberedt på cyberangreb, har det ofte store og uoprettelige konsekvenser for virksomheden. Fortroligt data, herunder data om virksomhedens kunder, forretningsprocesser og medarbejdere kan blive stjålet og videredelt offentligt. Cyberkriminelle kan også kryptere vigtige data for at blokere driftskritiske systemer og forsøge at afpresse virksomheden for betydelige beløb.

Både bestyrelsen og direktionen bærer ansvaret for IT-sikkerheden, og dermed for at der foretages de rette foranstaltninger for at forebygge et cyberangreb. Virksomhedens ve og vel er dog i sidste ende altid bestyrelsens ansvar. Bestyrelsen bør derfor have de rette kompetencer eller redskaber til at forstå og vurdere virksomhedens IT-sikkerhedsniveau for at kunne levere en målrettet indsats mod cyberangreb. Dette indebærer også, at bestyrelsen løbende bør sikre indsigt i virksomhedens digitale sårbarheder og aktuelle trusler, herunder konsekvenserne af et angreb.

Denne indsigt har direktionen til ansvar at fremskaffe i form af en risikovurdering, som beskriver hvilke trusler og sårbarheder, som virksomhedens IT-sikkerhed står overfor. Direktionen bør således altid føre en effektiv og løbende kontrol med de risici der er for et evt. cyberangreb, og rapportere til bestyrelsen.

Tilstrækkelig og relevant rapportering er altafgørende, da bestyrelsen ikke kan udfylde sin tilsynsopgave uden at forstå det aktuelle risikobillede, herunder konkrete trusler og mangler i IT-sikkerheden. Det er derfor vigtigt, at bestyrelsen får information nok til at forstå, hvad der ligger bag det, der rapporteres, og hvordan det stemmer med den overordnede cyberstrategi.

Her er 5 overvejelser man som bestyrelsesmedlem bør forholde sig til for at øge virksomhedens IT-sikkerhed og sikre sig mod cyberangreb.

5 gode råd til at sikre virksomheden mod cyberangreb

  • Få udarbejdet en risikovurdering: At få skabt overblik over hvilke måder din virksomhed kan blive udsat for cyberkriminalitet, er første skridt på vejen til at styrke virksomhedens cybersikkerhed. Udarbejdelse af en risikovurdering indebærer, at virksomhedens it-infrastruktur, arbejdsgange og forretningsprocesser undersøges for at finde ud af, hvor der er størst risiko for, at virksomheden kan blive ramt af et cyberangreb. Når man kender de svage punkter og det overordnede risikobillede, kan man herefter iværksætte konkrete initiativer til at øge sikkerheden, der hvor der er sikkerhedshuller. Man bør overveje at få foretaget en risikovurdering af virksomhedens centrale arbejdsgange og IT-infrastruktur for at stå stærkere mod cyberangreb.

  • Opdatering af sikkerhedssystemer: Med udspring af risikovurderingen bør der foretages kontrol af virksomhedens sikkerhedssystemer, så man kan sætte ind de steder, hvor der er brug for sikkerhedsopdatering og vedligeholdelse af IT-udstyr. Standarder her kan være et nyttigt redskab at gøre brug af til at strukturere, prioritere og dokumentere arbejdet med IT-sikkerheden og databeskyttelse. Især benyttelse af den internationale ledelsesstandard for informationssikkerhed, ISO/IEC 27001, har vundet stor udbredelse. Man bør overveje en struktureret indsats med en standard som rammeværk for arbejdet med IT-sikkerhed, så man kan dokumentere, at man arbejder struktureret med informationssikkerhed.

  • Uddannelse af medarbejdere og awareness: Selv i tilfælde hvor virksomhedens væsentligste risici er afdækket, og hvor virksomhedens IT-systemer er fuldt opdateret, er det afgørende at virksomhedens ansatte trænes i at undgå adfærd, der kan resultere i et cyberangreb. Uddannelse, træning af og videndeling mellem bestyrelsen og medarbejderne omkring hvilken adfærd og IT-vaner der kan lede til cyberangreb, og hvilke der styrker virksomhedens cyber- og informationssikkerhed, kan hjælpe virksomheden med at forhindre et fremtidigt cyberangreb.

  • Virksomhedens standardaftaler: Risikoen for cyberangreb kan ikke elimineres. Man må derfor forvente, at cyberangreb som udgangspunkt betyder, at virksomheden ikke opnår ansvarsfrihed overfor sine kontraktsparter, herunder kunder og leverandører, hvis cyberangrebet medfører, at virksomheden ikke kan levere- eller modtage ydelser som aftalt. Man bør derfor overveje at minimere risikoen for tab, hvis uheldet er ude, ved at virksomhedens standardaftaler omfatter en regulering af cyberangreb. Dette kan i praksis gøres på flere måder. Husk i den forbindelse at inkludere cyberangreb og sikkerhedsbrud som forårsages af virksomhedens medarbejdere, da denne type sikkerhedsbrist er særdeles hyppigt forekommende og kan give anledning til tvist. For virksomheder der beskæftiger sig med levering af IT-ydelser, herunder IT-driftsydelser, er dette punkt særligt vigtigt, da denne type virksomheder er helt afgørende afhængig af en fungerende IT-understøttelse, samtidig med at IT-virksomheder ofte er i besiddelse af og behandler særligt følsomme oplysninger for sine kunder.

  • Forsikring: Det må overvejes, om man kan reducere risikoen for tab ved at tegne en forsikring. Mange forsikringsselskaber tilbyder i dag en forsikring mod tab, som forårsages af et cyberangreb, eksempelvis driftstab i forbindelse med genopretning af IT-systemer og data, samt de omkostninger der følger til undersøgelse og genopretning af sikkerhedsbruddet. En sådan forsikring dækker sjældent virksomhedens fulde tab, men kan i visse situationer ses som den sidste sikkerhedsline, hvis virksomhedens øvrige foranstaltninger ikke slår til.

DAHL BoardExcellence® - nyttig viden om bestyrelsesarbejde

Denne artikel er en del af vores DILEMMA-serie, som belyser nogle af de problemstillinger, der kan opstå i et ellers velfungerende samarbejde mellem bestyrelse og direktion. Ordet ”dilemma” stammer fra græsk og udtrykker den situation, at en person skal træffe et valg, typisk mellem to eller flere lige gode eller lige ringe muligheder. Dilemma løses som oftest gennem ledelse. Det juridiske regelsæt er ofte ude af stand til at anvise en vej i løsningen af de konflikter, der udspringer heraf.

Har du konkrete spørgsmål til dilemmaet, som vi har behandlet i denne artikel eller generelle spørgsmål omhandlende bestyrelsesarbejde, er du altid velkommen til at kontakte en af vores eksperter.

Tilmeld dig nyhedsbrevet DAHL Nyt

Modtag vores nyhedsbrev pr. e-mail og bliv opdateret på juridiske emner og nye kurser.

Læs betingelser

Betingelse for modtagelse af nyhedsbrevet DAHL Nyt

Hvem udsender nyhedsbrevet?

Nyhedsbrevet er en service, der udbydes af DAHL Advokatpartnerselskab. Vores fulde kontaktoplysninger er:

DAHL Advokatpartnerselskab
Lundborgvej 18
8800 Viborg
CVR. nr.: 37 31 00 85

Du vil kun modtage markedsføringsmateriale fra DAHL Advokatpartnerselskab.

Hvilke oplysninger indsamles om mig?

DAHL Advokatpartnerselskab behandler din oplyste e-mailadresse og dit navn – dette er alt, vi behøver for at kunne sende dig nyhedsbreve. Når du via nyhedsbrevet tilmelder dig et af vores arrangementer, vil vi i nogle tilfælde ligeledes behandle oplysninger om firmanavn og telefonnummer.

Vi indsamler desuden oplysninger om din adfærd i forbindelse med din brug af nyhedsbrevet – herunder oplysninger om om vores nyhedsbrev bliver åbnet, hvor lang tid e-mailen er åben, og om der klikkes på links i nyhedsbrevet. Du skal herudover være opmærksom på, at hvis du klikker på links i nyhedsbrevet til vores hjemmeside, kan vi indsamle yderligere oplysninger om dig, hvis du accepterer, at vores hjemmeside bruger cookies. Du kan finde yderligere information om vores brug af cookies i vores cookiepolitik.

Hvad bruger vi dine oplysninger til?

Når du tilmelder dig vores nyhedsbrev, bruger vi dine oplysninger til at udsende faglige nyheder, kursus- og øvrige arrangementstilbud samt andet markedsføringsmateriale til dig. Vi kan endvidere bruge dine oplysninger til at udsende orienterende e-mails om DAHL Advokatpartnerselskab eller om vores nyhedsbrev. Vores udsendelse af nyhedsbrevet sker på grundlag af dit samtykke.

De oplysninger, vi indsamler om dig og din adfærd i forbindelse med din brug af nyhedsbrevet, anvender vi til at forbedre vores service og indhold, så vi i fremtiden kan blive endnu bedre til at målrette og tilpasse indholdet i vores nyhedsbreve efter dine interesser. Vi behandler dine personoplysninger til disse formål efter reglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f. Hvis du ikke ønsker, at vi behandler dine oplysninger til disse formål, har du til enhver tid ret til at gøre indsigelse mod behandlingen.

Oplysninger om din brug af nyhedsbrevet anvender vi herudover til statistiske formål i anonymiseret form.

Dine oplysninger behandles fortroligt og sikkert

Vi opbevarer dine oplysninger fortroligt og sikkert. Vi har implementeret de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, der sikrer, at dine oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen.

Vi bruger en underleverandør til vores drift af IT. Vi har sikret, at vores IT-udbyder er underlagt samme forpligtelse, og at de alene handler på vores instruks.

Hvor ofte udsendes nyhedsbreve?

Vi udsender vores nyhedsbrev, når vi mener, at vi har noget vigtigt eller nyt at fortælle dig. Nyhedsbrevet udkommer ikke med faste intervaller. Det er derfor forskelligt, hvor ofte du kan forvente at modtage nyhedsbreve fra os. Vi bestræber os dog på at begrænse antallet, så vores nyhedsbreve ikke fylder hele din indbakke.

Vi videregiver ikke dine oplysninger

Vi videregiver ikke dine oplysninger til andre i kommerciel henseende. Vi videregiver kun oplysninger, hvis vi er forpligtet til det efter loven, eller hvis vi forpligtet til det efter en retskendelse.

Du kan altid rette eller ændre dine kontaktoplysninger

Du kan til enhver tid ændre eller rette i dine kontaktoplysninger (din e-mailadresse og navn) ved at afmelde dig nyhedsbrevet, og derefter tilmelde dig igen eller ved at sende en e-mail til tvc@dahllaw.dk, hvori du angiver ændringsønsker.

Det er beskrevet nedenfor, hvordan du framelder dig vores nyhedsbrev.

Du kan altid afmelde dig yderligere henvendelser

Du kan til enhver tid trække dit samtykke tilbage og framelde dig nyhedsbrevet. Når du har frameldt dig nyhedsbrevet, modtager du ikke yderligere fra os, medmindre du har givet andet samtykke til, at vi må henvende os til dig. Vi sender dig dog en bekræftelse på, at vi sletter dig fra modtagerlisten for vores nyhedsbrev, og vi sletter derefter dine oplysninger på vores modtagerliste.

Nyhedsbrevet kan afmeldes ved at klikke på linket ”afmeld nyhedsbrev”, som er indeholdt i hvert nyhedsbrev, du modtager fra os. Du kan også afmelde nyhedsbrevet ved at sende en e-mail til tvc@dahllaw.dk, hvori du oplyser dit navn og din e-mailadresse.

Hvor længe opbevarer I oplysningerne om mig?

Vi opbevarer og behandler dine oplysninger lige så længe, som du er tilmeldt vores nyhedsbrev. Hvis du afmelder dig fra nyhedsbrevet, sletter vi dine oplysninger.

Hvis du framelder dig vores nyhedsbrev, anonymiseres alle statistiske data om din brug af nyhedsbrevet. Anonymiseringen sker på en sådan måde, at det ikke efterfølgende er muligt at deanonymisere oplysningerne igen.

Dine øvrige rettigheder efter persondatalovgivningen

Du har til enhver tid mulighed for at gøre brug dine rettigheder efter persondatalovgivningen.

Du kan bl.a. anmode om indsigt i de personoplysninger, som vi behandler, samt gøre indsigelse mod behandlingen af oplysningerne. Du kan desuden anmode om berigtigelse eller sletning af eventuelle ukorrekte oplysninger om dig selv, trække et samtykke til behandling af dine personoplysninger tilbage samt gøre din ret til dataportabilitet gældende. I visse tilfælde kan du endvidere have ret til at få behandlingen af dine personoplysninger begrænset.

Hvis du ønsker at gøre brug af én eller flere af dine rettigheder, kan du kontakte cbm@dahllaw.dk.

Hvis du er uenig, i den måde vi behandler oplysninger om dig på, kan du klage til Datatilsynet.

Du modtager nu DAHL Nyt

Forretningsområder du ønsker info om:

  • Intet valgt

Din information

Du kan altid trække dit samtykke tilbage og afmelde dig vores nyhedsbrev

Accepter betingelserne