CYBERATTACKERNA

Experten: Tystnadskultur om cyberbrott sänker förtroendet för svenska företag

Företag i Sverige är dåliga på att prata om cybersäkerhet. Det innebär en missad konkurrensfördel och ökade risker, anser säkerhetsexperten Gustav Ceder. ”Historiskt sett har en tystnadskultur sällan varit bra för innovation”, säger han till TN.

En språkanalys av årsredovisningen för de 10 största företagen på OMXS30, de mest omsatta aktierna på Stockholmsbörsen, visar att företagen lägger betydligt större vikt vid att berätta om sitt klimatarbete än vad gäller cybersäkerhet. Ordet ”cyber” nämndes 68 gånger i årsredovisningarna, medan ”klimat” och ”carbon” nämndes 1278 gånger.

Managementkonsulten och säkerhetsrådgivaren Gustav Ceder menar att detta inte är proportionerligt sett till vilket hot cyberattacker utgör för företagen i dag.

– Enligt World Economic Forums riskrapport för 2024 så rankas cybersäkerhet som den fjärde största materiella risken för företag på två års sikt, medan desinformation och misinformation, vilket är förknippat med cybersäkerhet, anses vara den största materiella risken. Risker från extrema klimatförhållanden är den andra största risken. Det är ett missförhållande att denna världsbild inte speglas i företagets riskrapportering och kommunikation till sina aktieägare, säger han.

En missad konkurrensfördel

Gustav Ceder menar att bristande kommunikation kring cybersäkerhet är problematiskt ur flera aspekter. Dels göder det en låg medvetandegrad och kunskap bland anställda, vilket i sin tur kan leda till säkerhetsincidenter. Dessutom kan kunder och partners bli osäkra på hur deras data hanteras och skyddas, vilket kan minska deras förtroende för företaget.

– Historiskt sett så har en tystnadskultur sällan varit bra för innovation och utveckling, oavsett om det gäller klimatarbete, mänskliga rättigheter, eller cybersäkerhet, säger han.

Han tycker att ”locket på-strategin” som finns hos många företag dels är en missad konkurrensfördel, dels försämrar möjligheten att bekämpa cyberbrotten.

– Transparens och kommunikation av säkerheten i det digitala ekosystemet är avgörande av flera skäl som rör både effektiviteten av säkerhetsåtgärder och det allmänna förtroendet för teknologier och organisationer, säger han.

– Polisen menar att mindre än tre procent av nordiska företag anmäler cyberattacker, och detta försvårar för de brottsbekämpande myndigheterna och skadar den allmänna kunskapsutvecklingen i samhället.

Svenska företag kan ta på sig ledartröjan

Gustav Ceder ser att svenska företag har en chans att leda utvecklingen av en större transparens i arbetet med cybersäkerhet. USA har redan i dag krav på redovisning av cybersäkerhetsarbetet, något han tror att EU kommer ta efter.

– Genom att vara transparenta med sina säkerhetsstandarder -policys, och grundläggande åtgärder, kan organisationer bygga och upprätthålla förtroende bland sina användare, kunder och partners. Transparenta processer skapar också ansvarsskyldighet och incitament för organisationer att hålla högre standard, säger han.

– Jag tror att på fem års sikt så kommer den ängslighet som idag präglar företagskommunikation av cybersäkerhet, att vara en disciplin som präglas av en mer nyanserad, materiell och omfångsrik kommunikation som har hittat en balans mellan öppenhet och hemlighet och som får ta lika mycket utrymme som arbetet med klimatrisker, avslutar han.