Krigen i Ukraine, og Danmarks resolutte støtte til Ukraine og sanktionerne mod Rusland, øger markant sandsynligheden for, at danske virksomheders IT-beredskab vil blive testet mod reelle angreb.
Private og offentlige virksomheder er indbyrdes afhængige, og virksomhedernes kerneydelser bygges sammen med leverandører, som indgår direkte i værdiskabelsen. Dermed har virksomheden en egeninteresse i at sikre, at leverandørens IT-beredskab fungerer som en del af et fælles ’naboværn’.
Ukrainekonflikten ændrer sandsynligheder i risikoregisteret, og også konsekvenserne heraf vil vare ved efter konfliktens ophør.
Helge Djernes, IT-sikkerhedsrådgiver, Globeteam.
”Virksomhedens værdiskabelse sker i samspil med andre virksomheders leverancer af råvarer, halvfabrikata og tjenesteydelser. På sidelinjen står pressen, offentligheden og især myndighederne. Jo vigtigere virksomhedens værdiskabelse er for samfundets nøglefunktioner såsom energiforsyning, hospitaler, transport og pengeinstitutter, jo flere retningslinjer og tilsyn vil komme fra Energistyrelsen, Sundhedsstyrelsen, Finanstilsynet og andre relevante myndigheder,” siger IT-sikkerhedsrådgiver Helge Djernes fra konsulenthuset Globeteam.
Han mener samtidig, at virksomhedens IT-beredskab i dag fungerer som en del af et ’naboværn’.
”Før et samarbejde med en leverandør af varer eller tjenesteydelser indledes, skal leverandørens leverancedygtighed i tilfælde nedbrud jævnfør det aktuelle risikobillede grundigt afklares. Jo større afhængigheden af løbende leverancer og lav lagerkapacitet er, jo større er afhængigheden af leverandørernes robuste og punktlige leverancedygtighed.”
Mere relevant end nogensinde
Udover at være et naboværn, så vurderer Helge Djernes også, at leverancerobustheden, og dermed modenheden af IT-beredskabet, er et afgørende konkurrenceparameter.
“Alle virksomheder rammes nu og da af nedbrud og leveranceforstyrrelser, det er naturligt. Men det væsentlige er, hvor hurtigt drift og leverancedygtighed genetableres, så negative følger for værdiskabelsen og dermed virksomhedens kunder minimeres eller helt undgås.”
Den nuværende konflikt med Rusland over Ukraine illustrerer ifølge Helge Djernes rigtig godt relevansen af NIS’ (EU’s Network and Information Systems) direktiv, og det højrelevante behov for et koordineret IT-beredskab på tværs af virksomheder og landegrænser.
“For eksempel er medicin væsentligt for en fungerende sundhedssektor, hvorfor medicinalindustrien er samfundskritisk. Tilsvarende er sociale platforme som Instagram, WhatsApp, Twitter og Facebook etablerede kommunikationsplatforme med mange brugere, og disse er ofte brugernes foretrukne nyhedskilde og kommunikationsmedie fremfor aviser, fjernsyn, radio og telefon,” siger Helge Djernes.
At NIS for nyligt blev udvidet med bl.a. medicinalsektor og sociale platforme som samfundsmæssige nøglefunktioner, er en følge af den samfundsmæssige udvikling og erkendelse af indbyrdes afhængigheder. Denne lovgivning håndhæves af en myndighed med relevant fagindsigt og mandat, oftest på nationalt niveau i hvert af de lande som virksomheden opererer i.
Naboværnet forpligter
Virksomhedernes IT-beredskabsdokumentation, processer og procedurer bliver derfor genstand for stadig nøjere revision, vurderer Helge Djernes, der også mener, at mange brancher har en samfundsmæssig nøglefunktion og værdiskabelsesprocesser, som afhænger af leverancer af råvarer, halvfabrikata og tjenesteydelser i rette kvalitet og til rette tid.
”Nedbrud hos en virksomhed indebærer en risiko for ’nabolaget’, proportionalt med vigtigheden af dens nøglefunktion i samfundet og mængden af aftagere.”
Hans råd til virksomhederne er derfor at betragte deres eget og væsentlige leverandørers IT-beredskab som dele af et fælles ’naboværn’, hvor ingen leveringskæde er ikke stærkere end det svageste led. Virksomheder i dag er ofte specialiserede, tæt forbudne og værdikæden er kun delvis under fuld egenkontrol.
”De forventninger og krav som kunder og myndigheder stiller til virksomhedens leverancerobusthed, er input til risikoregisteret,” siger Helge Djernes, og fortsætter.
”Ukrainekonflikten ændrer sandsynligheder i risikoregisteret, og også konsekvenserne heraf vil vare ved efter konfliktens ophør. Forventninger og krav, som ikke adresseres tilfredsstillende af virksomheden, kan få negative konsekvenser i form at påbud, bøder, sagsanlæg og ophævede kontrakter. Forventning og krav spiller derfor direkte ind i etablering og vurderingen af de nedbrudsscenarier, som sætter ambitionen for robust værdiskabelse og et gennemtænkt IT-beredskab.”