Han passer på en af Danmarks mest værdifulde virksomheder

Lars Fruergaard Jørgensen er CIO hos en af verdens førende medicinalvirksomheder – og Nordens mest værdifulde – Novo Nordisk. CXO Magasinet har talt med ham om, hvordan det er at leve med, at man skal beskytte viden og informationer for milliarder af kroner.

Med en markedsværdi på omkring 550 milliarder kroner er Novo Nordisk Danmarks mest værdifulde virksomhed. Det har taget mange år, kostet mange milliarder kroner, i tusindvis af forskertimer og utallige laboratorieforsøg at komme dertil. Resultatet er, at Novo Nordisk er verdens førende på sit område og sidder med nærmest uvurderlig viden inden for et attraktivt forretningsområde. Det er derfor naturligt at tage til hovedsædet i Bagsværd for at tale om, hvordan man beskytter den information.

Manden i centrum for informationssikkerheden er Lars Fruergaard Jørgensen. Foruden ansvaret for kvalitet og forretningsudvikling er han CIO for Novo Nordisk. Lars Fruergaard Jørgensens fornemste opgave er at sikre, at den viden, der gør Novo Nordisk til Danmarks og én af verdens mest værdifulde koncerner, forbliver hos Novo Nordisk. Det store ansvar synes nu ikke at tynge ham. Måske er det opvæksten i Skals lidt nord for Viborg, der træder frem. Mere realistisk er det dog, at Lars Fruergaard Jørgensen og Novo Nordisk er velforberedte på de angreb, der løbende rammer virksomheden. For Novo Nordisk er udsat for forskellige typer af trusler og angreb, ligesom alle andre virksomheder er.

“Hos Novo Nordisk er det helt afgørende, at vi sikrer det dyrebareste, vi har. Og det er vores viden. Hvor it-sikkerhed for bare få år tilbage handlede om at sikre sig mod at undgå online-angreb på virksomheden, så er it-sikkerhed i dag en langt mere kompleks øvelse. Grundlæggende kan man sige, at hvis man som virksomhed i dag stadig tror, at man helt kan sikre sig mod angreb udefra, så tager man grueligt fejl. Det kan man ikke. Alle virksomheder er udsat for angreb, og alle virksomheder har større eller mindre brud på deres sikkerhed – man skal bare kigge godt efter.”

Lars Fruergaard Jørgensen understreger gang på gang, at man ikke kan undgå at blive udsat for cybercrime. Man kan til gengæld være godt forberedt på, hvordan man undgår, at virksomheden lider alvorlig skade af angrebet. Og dette er én af de væsentligste udviklinger inden for it-sikkerhed de seneste år. En udvikling, der blandt andet betyder, at man i dag taler om informationssikkerhed fremfor it-sikkerhed. Det handler selvfølgelig om sikre it-systemer, men det handler også om sikkerhedsforanstaltninger omkring koncernens fysiske aktiver og personale.

“De virksomheder, der forventer, at virusscannere og firewalls er løsningen på problemerne, har et problem. Den eneste effektive måde at sikre sig mod angreb via virksomhedens it-systemer på, er at undlade at være på nettet, undlade at bruge mails og ganske enkelt trække stikket på virksomhedens computere. Da det selvsagt ikke er realistisk, må man som virksomhed acceptere, at man ikke kan undgå, at der kommer angreb på virksomheden. Det, man kan gøre, er at være forberedt på, at det sker, så man opdager det hurtigt og reagerer hurtigt på det,” forklarer Lars Fruergaard Jørgensen.

Småkriminelle hackere

Informationssikkerhed handler om at sikre virksomhedens informationer. Det hjælper ikke at bruge mange millioner på at sikre virksomhedens it-systemer mod hackerangreb, hvis folk kan gå uhindret ind i virksomheden og hente fortrolige oplysninger, skade forskning, produktionsapparat eller på anden måde skade virksomhedens aktiver.

“Hvis man udelukkende taler om it-sikkerhed, er der en risiko for, at man overlader det alene til it-afdelingen, og at man fokuserer for meget på selve beskyttelsen og for lidt på, hvad man gerne vil beskytte,” siger Lars Fruergaard Jørgensen.

Og hvem er det så, der angriber? Man kunne måske tro, at størstedelen af den cybercrime, der er rettet mod virksomheder, er industrispionage, men det er faktisk slet ikke tilfældet.

Meget af det, Novo Nordisk udsættes for, er det, Lars Fruergaard Jørgensen kalder “næsten uskyldigt”. Det er i langt de fleste tilfælde småkriminelle, der har nogle motiver, som godt nok kan være irriterende, men som ikke truer forretningen.

Fokusér på truslerne

“De småkriminelle kan eksempelvis være ude på at bruge vores it-infrastruktur til at drive ulovlig virksomhed fra eller alternativt at bruge vores systemer til at foretage hackerangreb på andre virksomheder. Det kan også være forsøg på at narre penge fra enten vores ansatte eller fra vores finansafdeling. Det er irriterende, men det er ikke en trussel mod vores eksistens,” siger han.

Der findes eksempler på den langt mere alvorlige industrispionage, hvor man forsøger at få adgang til it-systemerne for at trække fortrolige oplysninger ud af virksomheden. Lars Fruergaard Jørgensen ønsker ikke at gå i detaljer omkring konkrete angreb, men vil gerne fortælle, at industrispionage kunne omfatte forsøg på at få adgang til strategiplaner og informationer om forskningsprojekter. Det kunne også være, at man i forbindelse med forhandlinger ønsker et nærmere kendskab til modparten.

“Det, vi har brugt meget tid på at gøre os klart, er, hvad der er de mest kritiske informationsaktiver for Novo Nordisk. Hvad er det for informationer, vi ikke kan tåle, at andre kommer i besiddelse af? Hvad er essentielt for os? Det er eksempelvis de nærmere beskrivelser af vores produkter, og hvordan man laver dem. Det har vi brugt 90 år på at blive gode til – så det er rygraden i virksomheden.”

Der er forskel på fortrolig information og kritisk information. Der kan være finansiel information, hvor det er uheldigt, hvis det kommer ud. Og muligvis også skadeligt. I hvert fald for virksomhedens ry og rygte som en professionelt drevet aktør i branchen, men det ville ikke rykke ved virksomhedens eksistensberettigelse. Det ville det til gengæld, hvis de kritiske informationsaktiver blev lækket.

Hos Novo Nordisk har man en detaljeret beskrivelse af, hvad der er virksomhedens kronjuveler. Hvilke bygninger er de i? Hvilke medarbejdere har adgang til denne viden? Hvilke it-systemer har adgang? Og hvad gør man for at beskytte den? “Vi har kategoriseret vores informationer i tre niveauer, og vi implementerer løbende flere og flere sikkerhedsforanstaltninger for at sikre informationerne. Det betyder desværre også, at det bliver mere besværligt at være medarbejder, der har med disse informationer at gøre,” tilføjer it-direktøren.

Det drejer sig om ekstra sikkerhedsforanstaltninger på it-systemer, hvor kritiske informationer ligger. Det handler om, at kun folk med særlige adgangskort kan få adgang til bygninger og rum, hvor denne viden opbevares. Man kan heller ikke tage gæster med ind i de kritiske områder. Og helt lavpraktisk en clean desk policy i patentafdelingen. Så man har aldrig noget liggende fremme på skrivebordet, hvis man ikke selv er til stede.

Kendskab til styrker og svagheder

“Det er vigtigt, at hele ledelsen har taget informationssikkerhedsagendaen til sig, så man har gjort sig klart, hvad der er kernen i virksomheden, og hvordan man beskytter den kerne. Bestyrelsen bør sikre sig, at direktionen afrapporterer over for bestyrelsen omkring emnet, og hvad man gør for at sikre sig. Desuden er det fornuftigt at teste og benchmarke sit beredskabsniveau, så man ved, hvor sikkerhedsniveauet er stærkt og svagt, så man kan tage sine forholdsregler,” forklarer Lars Fruergaard Jørgensen.

Alle medarbejdere skal kende de regler og retningslinjer, man har indført for at sikre en høj informationssikkerhed. I realiteten kræver det bare, at én ud af Novo Nordisks 40.000 medarbejdere begår en fejl. Awareness, træning og kurser er helt afgørende for at bevare sikkerhedsniveauet.

“Derfor introduceres alle medarbejdere for vores sikkerhedsregler, og vi sørger for at informere dem grundigt om, hvilke forholdsregler, vi tager for at sikre vores informationer. Eksempelvis bliver alle pc’er monitoreret, så vi ved alt om, hvilken pc, der bliver brugt til hvad, hvordan og hvornår. Og vi er bevidste om at informere medarbejdere om, at vi overvåger alle pc’er og servere. Vi kan derfor se med det samme, der sker noget uventet på en pc, og vi får dermed besked, hvis der er mistanke om, at nogen forsøger at få adgang,” slutter Lars Fruergaard Jørgensen.

Del på:

Kontakt PwC for at høre mere om cybercrime og informationssikkerhed

Tlf: 3945 3945
E-mail

Novo Nordisk om informationssikkerhed

  • Novo Nordisk tænker informationssikkerhed frem for it-sikkerhed.
  • Virksomheder kan ikke undgå hackerangreb. Man skal forholde sig til dem, når de kommer.
  • Novo Nordisk kategoriserer informationer i tre sikkerhedsniveauer, hvoraf kritiske informationer er højeste niveau.

Novo Nordisk modtager omkring 13.000.000 mails per måned, omkring 25 procent blokeres automatisk som spammails, og omkring 1.000 per måned indeholder materiale, der kan udgøre en trussel som eksempelvis farlige links eller maskerede afsendere, der foregiver at være en anden afsender, end der reelt er tale om.

Novo Nordisks sikkerhedsteam håndterer på en typisk måned 100-200 sikkerhedshændelser, typisk pc’er inficeret med fremmed kode, der skal fjernes for ikke at udgøre en risiko.