Hvordan får vi internt forbedret samarbejdet mod cybertruslen?

Det vi ikke tænker over, er, at alle virksomheder er IT-virksomheder. Ingen virksomhed drives uden IT, hvilket gør problemet endnu større”, var en af kommentarerne ved gårsdagens workshop omhandlende cybertruslen. Det er en generel, misforstået holdning, at cybertruslen er et problem forankret i IT-afdelingen. Det vedrører lige såvel HR, Technical Management, befragtning og Operations. Der mangler sammenhængende konsensus om, hvor fokus er.

 
Cybertruslen tages ikke alvorligt
Frederik Helweg-Larsen, Netværksbrancheofficer Cyber, pointerede, at problemet ude i virksomhederne er, at cybertrusler ikke tages alvorligt. De fleste virksomheder har en IT-beredskabsplan, men i langt de fleste tilfælde er den for lang, omfattende og kryptisk. Ifølge Frederik skal en beredskabsplan være simpel i opbygning, fast struktureret og der skal være fokus på kommunikationen, så den enkelte medarbejder ikke er i tvivl om arbejdsgangen ved et cyber-attack. Et råd fra Frederik er, at den enkelte medarbejder selv formulerer sine opgaver i en IT-beredskabsplan, så der ikke hersker tvivl, når situationen opstår. På samme tid er det nødvendigt at øve realistiske scenarier omhandlende cyber-attacks på lige fod med sikkerhedsøvelser som eksempelvis brand.

 

Tjeklister, struktur og kultur
Tom Christensen var CIO i Maersk Oil & Gas, (MO&G) da Maersk blev ramt af et cyber-attack i 2017. Han fortalte hele historien om, hvordan han reagerede lynhurtigt, afkoblede MO&G på halvanden time, hvilket i høj grad begrænsede angrebets omfang hos dem.
Han understøtter Frederiks påstand om, at strukturen og simpliciteten i beredskabsplanen er altafgørende for, at medarbejderne i en virksomhed forstår, hvad de skal gøre. Og endnu en pointe var, at dét du ikke kan huske i hovedet, kommer ikke til at ske. Keep it simple!

 

Dagens take-home pointer:

·      Udform en simpel, gennemskuelig beredskabsplan (max én side pr. rolle)

·      Lav tjeklister, helst i punktform, til hver afdeling

·      Gør kommunikationen i en beredskabsplan visuel, fx med farvekoder

·      Lad den enkelte medarbejder formulere egne opgaver

·      Scenarie-øvelser - og hav in mente, at Landsholdet heller ikke stiller op til kamp uden at have trænet mange gange…

·      Online, Offline og Off-side backup

MDC og Danske Rederier sammensatte en workshop, omhandlende samarbejdet mod cybertruslen, hvor der blev sat godt gang i debatten.
Dagens program kan du se her.
Se billeder og video fra dagen herunder.