Cybersikkerhed bliver ofte behandlet som et teknisk anliggende. Noget, IT-afdelingen håndterer med systemer, politikker og firewalls. Men i mit arbejde med bestyrelser og ledelse – og gennem min bestyrelsesuddannelse i digital omstilling samt fokus på cybersikkerhed på Aarhus Universitet – bliver én ting stadig tydeligere for mig:
Cybersikkerhed er i høj grad et ledelses- og adfærds spørgsmål.
Og det ansvar starter også et meget konkret sted: i vores indbakke.
For nylig deltog jeg i et arrangement om cybersikkerhed hos Business Viborg. Under oplægget faldt snakken på phishing-mails – dem, vi alle modtager i større eller mindre grad. Oplægsholderen fortalte, at han blot sletter dem. Jeg spurgte, om han ikke bruger rapporteringsfunktionen i Outlook i stedet – netop fordi det kan hjælpe andre. Svaret var ærligt: “Det kunne man da godt, men jeg sletter dem bare.”
Det er et svar, mange kan genkende sig selv i. Og det er forståeligt. Men det er også et svar, der illustrerer en vigtig udfordring.
Fra individuelt problem til fælles ansvar
Når vi blot sletter en phishing-mail, løser vi vores eget problem. Når vi rapporterer den, bidrager vi til at løse et fælles problem.
Rapporteringsfunktionen i Outlook sender phishing-mails videre til Microsofts sikkerhedssystemer, hvor de analyseres og bruges til at:
- forbedre spam- og phishingfiltre
- identificere nye angrebsmønstre, domæner og metoder
- stoppe igangværende phishing-kampagner, før flere rammes
Det betyder, at én handling fra én bruger kan være med til at beskytte tusindvis af andre – virksomheder, offentlige institutioner og privatpersoner.
Hvad har det med ledelse og bestyrelsesansvar at gøre?
Som ledere og bestyrelsesmedlemmer har vi et særligt ansvar. Ikke kun for strategier, risikostyring og compliance – men for kulturen i organisationen.
Vi ved, at:
- Mennesker er et af de største sårbarhedspunkter i cybersikkerhed
- Adfærd, vaner og rollemodeller betyder mere end endnu en politik
- Det, ledelsen gør i praksis, smitter mere end det, der står i retningslinjer
Når vi som ledere selv vælger den nemme løsning og “bare sletter mailen”, sender vi – ubevidst – et signal. Når vi derimod viser, at vi tager ansvar og rapporterer, sender vi et andet signal:
Cybersikkerhed er noget, vi tager alvorligt. Sammen.
Samfundssind i en digital og geopolitisk virkelighed
I en tid præget af geopolitisk uro, øget digital kriminalitet og systematiske cyber angreb er cybersikkerhed ikke længere et nicheområde. Det er en del af vores samfundsmæssige robusthed.
Derfor ser jeg rapportering af phishing-mails som et udtryk for moderne samfundssind. Ikke stort og højtravende – men konkret og handlingsorienteret. Et lille klik, der bidrager til noget større.
Ledelse handler ikke kun om beslutninger i bestyrelseslokalet.
Det handler også om de valg, vi træffer i hverdagen.
Også i indbakken.
