Flemming Kjærsdam • 25 maj 2023

Cybersikkerheden er “hot emne” hos topledelsen i NRGI

“Det første og vigtigste er at få cybersikkerheden bragt op på ledelsens bord. Det er helt nødvendigt at få ledelsesansvaret for cybersikkerheden på rette plads og at få afsat de nødvendige midler til de initiativer, der skal beskytte virksomhedens kritiske infrastruktur,” siger CIO Michael Warrer, NRGI, der holdt indlæg på KITA´s sikkerhedsnetværk i marts.     


Den 28. August 2015 blev det østjyske energiselskab NRGI hårdt ramt af et omfattende hackerangreb. Det var en alvorlig øjenåbner for CIO Michael Warrer og selskabet i al almindelighed. Det var efter det angreb, at virksomheden gik i gang med opbygning af et nyt cybersikkerhedsberedskab. Og selvom cybersikkerheden og beskyttelsen af de seks selskaber i NRGI driftsmæssigt ligger i it-afdelingen, er det stadig direktionen og koncernbestyrelsen, som har det endelige ansvar.
Michael Warrer: “Jeg er helt bevidst om, at NIS2 som EU-lovgivning vil skabe fornyet fokus på cybersikkerheden i private virksomheder og hos offentlige myndigheder. Men uanset NIS2-lovgivning, synes jeg, at alle har et ansvar, især hvis man har med kritisk infrastruktur at gøre og områder som man lovmæssigt skal beskytte.” Derfor skal kommunerne få ledelsen – altså kommunaldirektøren og byrådet - til at indgå i cybersikkerheds dialogen og i sidste ende påtage sig ansvaret for cybersikkerheden. Som it- og digitaliseringschef kan du kun rådgive. Du kan ikke som it-chef tage ansvaret for, hvilken risiko selskabet beslutter at løbe og hvor mange midler, der skal investeres i cybersikkerhed”.
Så udover at få ledelsens opmærksomhed og opbakning skal man også finde ressourcerne.
Uanset lovgivning fra EU, som med GDPR i maj 2018 og NIS2 i oktober 2024, er det vigtigt at gøre cybersikkerheden til en del af driften i kommunerne. Der er ingen grund til, ifølge Michael Warrer, at vente på om NIS2-lovgivningen kommer til at omfatte a eller ej. Cybersikkerheden skal implementeres rent teknisk, kommunen skal have en beredskabsplan, der omfatter alle afdelinger, da kommunerne gemmer på mange følsomme personoplysninger.
“Den tredje ting som også er væsentlig del af en cyberstrategi er “involvering af medarbejderne”. Alle medarbejdere begår før eller siden fejl. Derfor skal man gøre meget ud af at skabe opmærksomhed gennem relevant kommunikation. Det nytter ikke at lade it-folk skrive om
cybersikkerhed til sosuassistenter. Det skal formidles af folk, der forstår brugernes arbejde, og formår at sætte sig i deres sted. I NRGI har vi satset en del på de “bløde værdier” – altså bløde kvalifikationer til at hjælpe os med at kommunikere med alle vores brugere. Ikke snakke om teknikken. Men omsætte teknikken til noget, som brugerne kan forholde sig til i deres arbejde. Vi gør rigtig meget ud af kommunikation og awarenesskampagner,” siger Michael Warrer.
 

Møder med topledelsen
At cyberstrategien er forankret i topledelsen, betyder også at Michael Warrer mødes med koncernbestyrelsen en-to gange om året og hvert kvartal med direktionen. Så en gang hver sjette eller syvende uge, har cybersikkerheden fundet plads og taletid hos topledelsen.
“Jeg har konstateret, at der er meget stor interesse for emnet hos bestyrelsen og i topledelsen, og det er blevet et fast punkt på disse møder at rapportere om “rigets tilstand”. Jeg kalder disse for “bling-bling rapporter”. Både bestyrelsen og topledelsen kan godt lide at få at vide, hvad de får for de penge, de har investeret i cybersikkerhed. Så jeg har gjort det til en vane at rapportere om, hvor mange hackerforsøg og -angreb der har været i det seneste kvartal. Hvordan vi har afværget dem. Og er trusselsbilledet i al almindelighed voksende? Der er stor interesse for at blive opdateret om disse emner. Det handler om at beskytte virksomhedens informationer og kritiske infrastruktur”.
“Cybertruslen vokser sig stadigt større, derfor taler vi også om, at der skal sættes ind på nye områder. Som nævnt kan jeg som CIO kun rådgive ledelsen. Det er suverænt ledelsen, der beslutter, om vi skal bruge flere penge på området. Her er ledelsen fuldt bevidst om, at sikkerhed koster penge. At beskytte sig mod hackere er ingen spareøvelse,” siger Michael Warrer, der siger, at NRGI godt ved, at den ikke kan vinde kampen over hackerne, men hvis de kan spille uafgjort er de nået langt.
NRGI består af seks selskaber, og de er alle omfattet af cybersikkerhedsstrategien. Michael Warrer har to cyberteams under sine vinger, idet GDPR-teamet og Cyberteamet er blevet slået sammen under it-afdelingen.
“Der er nogle organisationer, der har skilt GDPR og cybersikkerhed ad, så de er placeret to forskellige steder i organisationen. Min erfaring er, at det giver god synergi at have dem sammen, da der er flere fællestræk end der er forskelle mellem GDPR og cybersikkerhed. Den store fordel ligger i, at begge teams rapporterer et sted og at vi kan arbejde sammen i tilspidsede situationer og sammen med resten af it-afdelingen”.
 

Der er 60 ansatte i IT-afdelingen i NRGI.
“Jeg synes at både IT og cybersikkerhed rent strategisk er placeret for langt nede i mange organisationer. I NRGI ligger vi lige under direktionen. Det betyder at både it, digitalisering og cybersikkerhed, får lidt mere bevågenhed. Både GDPR og NIS2 er meget svært at forstå. Vi har grebet det lavpraktisk an med NIS2, fordi at det er svært at forstå og meget svært at implementere. Det hjælper ikke at vente. Så vi har pakket NIS2 lovgivningen ud. Vi ved godt, at det først er om et år, at den træder i kraft, men vi har fået overblik over, hvilke procedurer vi mangler eller som vi kan forbedre. Det er vigtigt, at ledelsen og den tekniske drift arbejder sammen om dette,” siger Michael Warrer.
NRGI bruger omkring 15 pct. af sit it-budget på cybersikkerhed. For et år siden var de nede på 10-12 pct. Men beskyttelsen af den kritiske infrastruktur som både el-kabler og fiberkabler kræver flere investeringer i de kommende år.