Malte Spence, der er partner i ACI, vil sammen med Michael Christensen, udviklingschef i Lægernes Pension & Bank, dele deres erfaringer og viden om kvantitativ opgørelse og risikovurderinger på konferencen Cybersikkerhed i den finansielle sektor den 20. & 21. september. I indlægget får du blandt andet en indflyvning i, hvordan man kan arbejde kvantitativt med risikostyring.
Inden konferencen kan du læse et spændende indlæg med Malte Spence her.
Hvad er din baggrund og professionelle erfaring med cybersikkerhed? Og hvordan arbejder du med cybersikkerhed til daglig?
Jeg er IT-risikospecialist og partner i konsulenthuset ACI. De seneste tre år har vi i ACI specialiseret os i at gennemføre kvantitative IT-risikovurderinger. Jeg er i dag produktejer for vores tværgående IT-risikovurderinger og er ansvarlig for at udvikle tilpassede løsninger til vores større kunder. En væsentlig del af min rolle i dag består i at følge den nyeste udvikling inden for kvantitative IT-risikovurderinger internationalt, omsætte den til praksis herhjemme, og videreformidle denne praksis til vores kunder og til de beslutningstagere, som de næste år står over for at implementere mere kvantitative tilgange til IT-risikostyring.
Hvilke udfordringer og muligheder ser du som de største inden for cybersikkerhed i den finansielle sektor lige nu?
Den største udfordring, jeg oplever aktuelt, er vores manglende evne til at måle og opgøre risiko på tværs af vores voksende IT-porteføljer og -leverandørkæder. Resultatet er, at vi prioriterer vores IT-sikkerhedsbudgetter baseret på mavefornemmelser, tilgængelighedsbias og andre mere eller mindre uhensigtsmæssige og arbitrære kriterier. Kan vi ikke beskrive, hvad vi står til at miste, er det også svært at demonstrere effekten af de tiltag, vi indfører over tid. Ofte betyder det, at finansiering af cybersikkerhedsområdet kommer til at bero på FUD (Fear, Uncertainty & Doubt). Jo større et skræmmebillede vi kan male af IT-sikkerhedsområdet, desto flere penge kan vi (måske) få til vores sikkerhedstiltag. De store, farlige, ondsindede hackere er nemmere at få penge til at beskytte sig imod end Bob i regnskabsafdelingen eller Alice på Infrastruktur-teamet, som med enkelte klik får betalt en falsk faktura eller bragt en central netværkskomponent i knæ, og koster forretningen væsentligt mere over tid end et potentielt cyberangreb. Dermed ikke sagt, at cybertruslen ikke er reel. Det er den absolut. Men måden vi i dag analyserer og vurderer sandsynligheden for – og konsekvenserne af IT-risici giver os ikke det værktøj, IT-ledere har brug for – Et let tilgængeligt, sammenligneligt og gennemsigtigt kvantitativt grundlag for prioritering af IT-sikkerhedsinvesteringer.
Hvad holder dig vågen om natten i forhold til cybersikkerhed i den finansielle sektor?
Det er der faktisk ikke noget, som gør. Det er mit indtryk, at vi i den danske finanssektor overordnet set har et ret solidt IT-sikkerhedsniveau. Det betyder ikke, at ting ikke kan gå galt. Jeg kan sagtens bekymre mig om ugennemsigtige leverandørkæder, koncentration af nøgleydelser på ganske få leverandører, vores afhængighed af aldrende, komplicerede legacy-systemer, (mis)brugen af nye teknologier, herunder AI, eller vores evne til at overvåge og mitigere systemiske risici, der kunne udspringe eller forværres af finansiel IT.
Udfordringer er der nok af, men jeg ser ikke umiddelbart udfordringer, som holder mig vågen om natten.
Hvordan ser fremtiden ud for cybersikkerhed? Hvad tror du, der kommer af udfordringer og muligheder?
Jeg tror, at cybersikkerhed vil glide ind under et større samlet felt af informationssikkerhed eller IT-risikostyring, som ikke blot behandler cyberangreb, men har et mere holistisk perspektiv på de risici, som er forbundet med virksomheders enorme afhængighed af IT-løsninger, uanset om truslen er fra eksterne aktører, fejl og mangler, leverandørafhængigheder eller noget fjerde. Det bliver i højere grad en disciplin, som kræver forståelse og kompetencer i bestyrelser og på de øverste direktionsgange, og jeg tror at forretningsrisici og IT-risici til en vis grad vil smelte sammen på samme måde, som mange IT-projekter i dag er blevet til IT-understøttede forretningsprojekter. IT er et means to an end. Når konsekvenserne rammer, er det sjældent ”IT” alene, som kan opgøre konsekvenserne. Det er forretningen, som er afhængig af ydelserne, som bedst forstår konsekvenserne, og skal eje de respektive risici.
Jeg er ikke et sekund i tvivl om, at kvantitativ opgørelse af IT-risici er noget, vi vil se markant mere af. Det bliver så enormt et potentielt cost-center for organisationer, at vi er nødt til at opgøre og modellere vores eksponering på en måde, som gør os i stand til at aggregere og sammenligne eksponeringer på tværs af funktioner og organisationer. Allerede nu begynder vi at se systemer, som kan understøtte det her arbejde, og jeg forventer at denne udvikling fortsætter. Hvis vi skal opgøre og modellere risici kvantitativt at-scale, skal vi ud af regnearkene, og ind i dedikerede løsninger, som hurtigt og gennemsigtigt kan opgøre vores risici, og som løbende kan udbygges med nye datakilder i takt med, at vi lærer vores miljøer og eksponeringer at kende. AI kan bidrage i dele af denne proces, men den manglende transparens gør, at vi skal være forsigtige med at anvende det i centrale dele af beregningsmodellerne. På den lidt længere bane vil kvantecomputere kunne hjælpe os med at gennemføre simulering af vores modeller med markant højere hastigheder i dag. Dette vil gøre os i stand til – i realtid – at undersøge, hvordan specifikke tiltag på ét område – fx entré på et nyt forretningsområde med nye eksponeringer – vil påvirke forretningens samlede risikoeksponering på cyberområdet.
Hvad taler du om på konferencen cybersikkerhed i den finansielle sektor, og hvad håber du, deltagerne får ud af det?
Jeg taler om kvantitativ opgørelse af IT-risiko. Jeg håber, at deltagerne går fra mit og Michaels oplæg med en bedre forståelse for, hvad risikokvantificering er – og særligt hvad det ikke er:
- Kvantitativ opgørelse af IT-risiko er ikke én teknik, ét værktøj eller én model. Det er en disciplin. Der eksisterer open-source modeller derude, man kan tage i brug allerede i dag, og få et forspring i processen, men der findes ikke én model derude hvor du kan putte dine eksisterende risikodata ned i, og få et (meningsfuldt) tal ud i den anden ende.
- Kvantitativ risikoanalyse handler ikke om at koge din risiko ned til ét tal. Det handler om at beskrive den usikkerhed I har om fremtidige udfald på en ens måde (fx i kr. og % sandsynlighed), og med intervaller, som giver udtryk for jeres usikkerhed. Hvis du skulle satse 100 kr. på at du har ret, hvilken mulighed vil du vælge? A. At “Malte er 175 cm høj” eller B. At “Malte er mellem 160 og 190 cm høj”? Intervaller er nøglen til de kvantitative risikovurderinger, og vi kan regne med intervaller ved hjælp af Monte Carlo simuleringer.
- Det er ikke uoverkommeligt svært at komme i gang. Du har ikke brug for at indsamle og rense store mængder data for at begynde. Men du må ikke forvente, at du har den perfekte model i første forsøg. Meningsfuld kvantificering af risiko er en disciplin du arbejder med løbende, og som skal indarbejdes i dine eksisterende arbejdsgange.
Hvad er dine egne forventninger til konferencen, og hvad glæder du dig til?
Jeg synes altid, at Cybersikkerhed i Finanssektoren giver et rigtigt godt indblik i, hvad der rører sig i alle hjørner af det danske finansielle IT sikkerhedsunivers. Insight Events formår at samle et bredt udvalg af talere fra både myndigheder, virksomheder af flere størrelser, rådgivere, ind- og udland, samt forskellige specialistområder som er højaktuelle. Jeg glæder mig til at høre om det videre arbejde med den seneste europæiske lovgivning, ligesom jeg især glæder mig til at høre om Jyske Banks tilgang til risikokvantificering. Vi kan altid lære af hinanden, og vi har brug for flere organisationer, som tør gå i front og dele ud af de succeser og knubs, de får undervejs. Der er meget, vi endnu skal lære om kvantificering af IT-risici. Men allerede nu er der gevinster at hente.
Vil du gerne høre mere om kvantitativ opgørelse af IT-risiko?
På konferencen Cybersikkerhed i den finansielle sektor den 20. & 21. september kan du glæde dig til et spændende indlæg med Malte Spence, når han går på scenen og taler om kvantitativ opgørelser og risikovurderinger. Læs mere om konferencen og tilmeld dig her.
