På toppen av det føler 83 prosent av de norske IT-beslutningstagerne seg presset til å bagatellisere alvorlighetsgraden av cyberrisikoen ovenfor eget styre.

- Forskningen viser klart og tydelig at dagens IT-ledere sensurerer seg selv i møte med sitt styre i frykt for å virke repeterende eller for negative. Og nesten hver tredje IT-leder hevder at dette er et konstant press. Disse funnene korresponderer godt med tidligere undersøkelser hvor det kom frem at hele 8 av 10 norske IT-beslutningstakere er i ferd med å bli utbrent og at nesten 9 av 10 virksomheter forventer å bli utsatt for cyberangrep i løpet av det kommende året, advarer kommunikasjonssjef i Trend Micro, Karianne Myrvold.

Mange vil ikke forstå alvoret

I undersøkelsen kommer det også frem at kun halvparten av IT-lederne og 38 prosent av beslutningstakerne tror at toppledelsen fullt ut forstår og tar inn over seg cyberrisiko. Og selv om enkelte tror at dette skyldes at cyberrisiko i seg selv er komplekst og i stadig endring, tror mange at det først og fremst skyldes at toppledelsen ikke forsøker godt nok å forstå (26 prosent) eller ikke vil forstå (20 prosent).

- Jeg tror det er avgjørende at IT-ledere og øvrige beslutningstakere blir gode på å snakke om risiko som en grunnleggende driver for vekst. Og at god IT-sikkerhet er fundamentalt for virksomhetens suksess. En felles forståelse er helt avgjørende for å få hele ledelsen til å kjempe for samme sak, påpeker Myrvold.

Hvem er egentlig ansvarlig?

Rapporten avdekker også at det er store uenigheter mellom IT- og bedriftsledere om hvem som er ansvarlig for å håndtere og redusere risikoen. Faktisk hevdet hele 49 prosent av respondentene at cyberrisiko blir behandlet som et IT-problem fremfor en forretningsrisiko. Blant norske ledere er dette derimot holdningen i nesten 6 av 10 tilfeller.

Friksjonen kan potensielt forårsake alvorlige skader på virksomheten;

• 52 prosent av respondentene er enige om at virksomhetenes holdning til cyberrisiko er inkonsekvent og varierer fra måned til måned.
• Samtidig mener hver tredje av de spurte at cybersikkerhet er den største forretningsrisikoen.
• Derfor blir det direkte motstridende, gitt den generelle viljen til å gå på akkord med egen cybersikkerhet, at hele 66 prosent hevder at cybersikkerhet har den høyeste kostnadseffekten av alle forretningsrisikoer.

- Det er interessant å se på forskjellene mellom Norge og verden, når det kommer til cybersikkerhet. Mens de norske lederne først og fremst definerer manglende innovasjonsevne som den fremste forretningsrisikoen, er det manglende cybersikkerhet som står øverst på listen når vi ser på det globale resultatet. Her bør flere ledere høre på IKT-Norge, som påpeker at den største trusselen mot Norge, er nettopp cybertrusler, advarer Myrvold.

I undersøkelsen kommer det også frem at blant norske virksomheter, er lederne mest av alt villig til å ta risiko når det kommer til innovasjon, mens det store flertallet i undersøkelsen svarer at risikoviljen er størst relatert til cybersikkerhet.

Respondentene i undersøkelsen peker på flere viktige områder/måter for at toppledelsen skal ta cyberrisiko på alvor, og da som en del av forretningsrisikoen:

• 62 prosent mener virksomheten må utsettes for et vellykket cyberangrep. 67 prosent av de norske respondentene mener det samme. Samtidig svarer 62 prosent av de norske respondentene at et innbrudd hos en konkurrent vil ha en tilsvarende effekt.
• 62 prosent mener det vil hjelpe om de klarte å kommunisere og rapportere forretningsrisikoene ved cybertrusler på en lettfattelig måte.

61 prosent mener det vil ha en innvirkning hvis kunder begynner å kreve mer sofistikert sikkerhetslegitimasjon. 64 prosent av de norske respondentene mener det vil ha en tilsvarende innvirkning hvis investorer krever mer sofistikert sikkerhetslegitimasjon.

Cybersikkerhet handler ikke om å lappe et hull i dressbuksa

- Det tok lang tid før IT ble sett på som forretningskritisk på styrenivå. Historien ser ut til å gjenta seg selv når det kommer til IT- og cybersikkerhet. Og for at toppledelsen og styret skal forstå hvorfor cybersikkerhet er viktig for forretningsveksten, må IT-lederne og IT-beslutningstakerne klare å snakke det språket som «business-lederne» forstår. At cybersikkerhet handler om å investere for fremtidig vekst. Ikke som nødvendige kostnader for å lappe et hull eller to i dressbuksa, avslutter Myrvold.

Andre funn fra undersøkelsen

• 7 av 10 virksomheter er komfortable med å la de ansatte jobbe hjemme, men kun
• 55 prosent er komfortable med å la de ansatte laste ned apper til deres arbeidsmaskiner.
• Og kun 53 prosent er komfortable med å la de ansatte logge seg på via offentlige trådløse nettverk.
• 6 av 10 svarer at de ansvar seg selv mer som en risikotaker nå, sammenlignet med tiden før pandemien.

Om undersøkelsen

Undersøkelsen ble utført av Sapio Research på oppdrag av Trend Micro. 5.321 IT- og forretningsbeslutningstakere fra virksomheter med over 250 ansatte i 26 land, ble intervjuet. Av disse var 207 IT- og forretningsbeslutningstakere fra Norge. Undersøkelsen ble gjennomført i oktober 2021 via en e-post-invitasjon til en nettundersøkelse.