Månedens udvalgte: Certificering som en vej til bedre cyber- og informationssikkerhed

23. september 2021 - I Danmark har vi netop introduceret D-mærket som er en ny mærkningsordning, hvor virksomheder kan få et certifikat eller mærke på, at de lever op til en række krav i forhold til it-sikkerhed og ansvarlig dataanvendelse.

Introduktionen af D-mærket er en god anledning til at overveje hvad endnu en mærkningsordning kan udrette – og om der overhovedet er behov for den. Særligt fordi vi indenfor it-sikkerhedsområdet allerede har en lang række certificeringer, bl.a. ISO27001 og forskellige auditeringer under ISAE3000 familien.

I begrundelsen for behovet for den nye mærkningsordning, fremhæves det at Danmark er et af de mest digitaliserede lande i verden, og at D-mærket bl.a. skal være et værktøj der hjælper forbrugerne, med at kunne vælge at handle med virksomheder som har styr på sikkerheden. Et ædelt formål som de fleste nok vil tilslutte sig – men desværre også en indirekte erkendelse af det langt fra er tilfældet alle steder i dag.

 

D-mærket kommer også på den triste baggrund, at både danske og udenlandske virksomheder konstant bliver udsat for voldsomme og meget ofte succesfulde cyberangreb der bl.a. låser deres data og kompromitterer systemerne så kriminelle o.a. kan trække kundedatabasen og øvrige hemmeligheder ud af virksomhederne.

 

Fremkomsten af den nye mærkningsordning er således en konsekvens af dette problem, og det er nærliggende at overveje hvorfor vi som samfund på den ene side, er blevet fuldstændig afhænge af digitale løsninger. Samtidig har nogle virksomhder ikke  formået at sikre disse systemer tilstrækkeligt . Vi ved som regel godt hvad der skal til for at beskytte vores digitale løsninger, alligevel ser vi gang på gang angreb der lykkes pga. helt banale fejl eller sårbarheder som de pågældende virksomheder eller organisationer nemt kunne have adresseret, men det ikke er sket.

 

Forklaringerne (eller de dårlige undskyldninger) er mange, men i sidste ende skyldes det næsten altid manglende fokus, manglende processer eller manglende prioritering - altså problemer som i sidste ende skyldes manglende ledelsesfokus på cybersikkerhed. Som vi oplever det, skyldes det manglende ledelsesfokus og at ledelsen ofte slet ikke har forstået udfordringerne ved at være afhængig af digitale løsninger. Derudover hvordan de skal risikostyre i forhold til cyber- og informationssikkerhed, og ikke mindst hvilke tiltag der er behov for. Ledelsesmæssigt er det en udfordring at gribe om  cyber- og informationssikkerhed, da det er et svært og meget komplekst område – og der er ikke nogle simple løsninger.

 

Skal vi lykkes med at etablere et ordentligt sikkerhedsniveau, er det derfor nødvendigt at der bliver stillet nogle meget mere konkrete krav til virksomhedernes cyber- og informationssikkerhed. Betragter man mange andre områder eller brancher i vores samfund, er der i dag krav om certificeringer og godkendelser. El- og VVS-opgaver må kun udføres af autoriserede installatører, biler skal være sikkerhedsgodkendt før de må køre på vejene, og fødevaremyndighederne holder øje med produkter, producenter og resturanter. Overholdes reglerne ikke har det typisk konsekvenser, og i yderste konsekvens kan virksomheder tvangslukkes.

 

På det digitale område, er der endnu ikke de samme krav og konsekvenser, og det er kun inden for de sidste par år der er begyndt at blive fremsat nogle lidt mere konkrete krav til virksomheder og organisationer – og bortset fra GDPR og nogle få branchekrav bl.a. i finanssektoren – er det stort set gratis ikke at have et ordentlig cybersikkerhedsniveau. I forbindelse med bl.a. NIS-direktivet, er der kommet en række krav til de mest samfundskritiske sektorer, og med NIS2-direktivet bliver dette bredt mere ud, men en lang række virksomheder vil stadig ikke være omfattet.

 

En certificeringsordning stiller nogle konkrete krav og for at få tildelt certifikatet skal det dokumenteres, at man lever op til kravene. Lever man ikke op til kravene, får man ikke certificeringen. Er certificeringsordningen tilstrækkeligt udbredt er der typisk også en god forståelse for hvad et certifikat eller mærke betyder.

 

Når man som virksomhed vælger at gå i gang med at blive certificeret, er det altid en ledelsesbeslutning dvs. et udtryk for at ledelsen aktivt har besluttet at virksomheden skal arbejde organiseret og struktureret med cyber- og informationssikkerhed. Det betyder også at ledelsen aktivt har besluttet at allokere de ressourcer som det koster, at etablere et ordentligt sikkerhedsniveau.

 

Det er også vores erfaring at den proces som en organisation nødvendigvis kommer igennem som del af en certificeringsproces, er med til at forbedre sikkerhedsniveauet da det tvinger en til at arbejde mere organiseret og struktureret med cyber- og informationssikkerhed dvs. opnå et højere modenhedsniveau. Samtidig gælder en certificering typisk kun et år ad gangen, så organisationen bliver tvunget til løbende at arbejde med cybersikkerhed. Det er vores erfaring at selv når man har været certificeret i mange år, finder man stadig områder der kan forbedres når man genbesøger ens dokumentation ifbm. den årlige re-certificering.

 

Certificeringer er også en af de få metoder, eksterne kan anvende til at vurdere sikkerheden hos  leverandører og samarbejdspartnere. Mange virksomheder har i dag egne metoder til at foretage sikkerhedstjek af deres leverandører, hvilket ofte koster meget tid og mange ressourcer. Det er min forhåbning at dette i fremtiden kan erstattes af mere standardiserede certificeringer. I dag stiller mange virksomheder ikke krav til deres leverandører, eller forholder sig til deres sikkerhed. Med standardiserede og udbredte certificeringer, begynder mange flere virksomheder forhåbentlig også at blive i stand til at stille krav. Det resulterer forhåbentlig i at endnu flere virksomheder ser værdien i en certificering og dermed begynder at arbejde mere strukturet med deres sikkerhed.

 

Sammenligner man D-mærket med mange eksisterende certificeringsordninger rammer man en bredere målgruppe, da det tager hensyn til virksomhedens størrelse og aktiviteter. Dette kan forhåbentlig være med til at sænke barrieren for at virksomheder får mærket, og dermed få mange flere virksomheder end i dag til at blive certificeret. Samtidig omfatter mærket også en række krav til data-privacy og dataetik, hvilket normalt ellers er selvstændige certificeringer.

 

Det er naturligvis vigtigt at understrege, at en certificering ikke er nogen garanti for at der er fuldstændig styr på sikkerheden – eller omvendt. Vi har heldigvis set masser af eksempler på virksomheder uden certificeringer som stadig har rigtig godt styr på deres sikkerhed. Vi har desværre også set eksempler på virksomheder der har fået hutlet sig igennem en certificering, men alligevel ikke har ordentligt styr på sikkerheden. Tendensen er dog, at har man en certificering er der som regel også et fornuftigt sikkerhedsniveau.

 

Desværre viser erfaringen gennem efterhånden mange år, at virksomheder og organisationer ikke automatisk etablerer et ordentligt sikkerhedsniveau, og der kræves et eksternt pres for at få det til at ske. Certificeringer – kombineret med krav fra kunder og samarbejdspartner – er et af de værktøjer der kan tvinge virksomheder og organisationer til at begynde at arbejde seriøst med cyber- og informationssikkerhed, samt at få etableret en kontinuerlig forbedringsproces.

Det danske D-mærke kan forhåbentlig være med til at skubbe på denne proces, og være med til at gøre certificeringer tilgængelige for væsentligt flere virksomheder end i dag, og dermed sikre den udbredelse som gør at kunder og samarbejdspartnere begynder at stille krav om mærket.