Vem är ansvarig när bolaget tappar produktionstid och kapital på grund av dataintrång? Och vem kan ställas till svars inför ägarna när sviterna av ett datahaveri gör sig påminda vid aktieutdelningen? För Gunnar Ek på Aktiespararna är svaret solklart; bolagets styrelse bär alltid det yttersta ansvaret för IT-säkerheten.
Även om styrelsens ansvar är en självklarhet för Gunnar Ek ser verkligen mycket annorlunda ut. Gunnar började redan för tre och ett halvt år sedan att ta upp säkerhetsfrågor på bolagens stämmor. Hans frågor kring säkerhetstänkande möttes då med stort oförstående.
- Det slog mig ofta hur okunniga styrelserna var på IT-området, berättar Gunnar.
Han förklarar okunnigheten med att de stora bolagens styrelser till stor del består av män i 50-70 års åldern som inte har någon vana vid att arbeta med datorer. Av den anledningen prioriterar och förstår de inte heller vikten av att satsa på IT-säkerhet.
Sex miljoner svenskar äger idag aktier direkt eller indirekt genom fonder. Och allt fler lockas att köpa tack vare börsens fantastiska kursutveckling de senaste åren. Om bolagen då har ett obefintligt eller otillfredsställande skydd för IT-säkerhet kan konsekvenserna bli förödande.
- Ett haveri kan kosta ägarna en förmögenhet och ansvaret måste ligga hos styrelsen, säger Gunnar.
Även om IT-personal på företagen under många år påpekat behovet av IT-skydd har det varit tungrott och svårt att ta beslut kring stora IT-investeringar. Det har varit mycket svårt att få gehör och förståelse i styrelserummen.
- Många ledande personer i svenskt näringsliv har kommit till mig och frågat i förtroende om det verkligen är nödvändigt med IT-säkerhet. De upplever IT-verksamheten som ett stort svart hål som slukar pengar. De känner inte heller att de får något konkret ut av investeringarna, berättar Gunnar.
Trots att Gunnar tog upp frågorna kring IT-säkerhet på bolagsstämma efter bolagsstämma hände ingenting på området. Inga IT-policy, inga regler och inget beskrivet i årsredovisningarna. Det var först när medierna började ta upp frågorna kring millennieskiftet som det började rassla i styrelserummen.
-– IT-säkerhetenfick ett ansikte i och med år 2000-problemet. Man kunde plötsligt relatera till de problem som målades upp, förklarar Gunnar.
Tack vare medieuppbådet och Gunnar Eks enträgna påpekanden under stämmorna skedde en liten attitydförändring till IT-säkerhet lagom till millennieskiftet. Men målet är långt ifrån nått. Efter ett lugnt millennieskifte tappade säkerhetsarbetet fart. "Det hände ju inget", menade många.
Men kanske hände det mer kring millennieskiftet än vad som framgått i media. Det är i alla fall vad Gunnar Ek tror.
- Jag har haft kontakt med en del auktoriserade IT-revisorer som berättat att det hänt en hel del, säger han.
Problemet är att företagen tiger. De vill inte berätta om att de blivit drabbade av hackers eller att de på annat sätt råkat illa ut i IT-sammanhang. Det är helt enkelt för genant. Gunnar har under en längre tid försökt få fram fall där företag förlorat mycket pengar på grund av IT-brott, men exemplen lyser fortfarande med sin frånvaro trots att Gunnar vet att företag dagligen förlorar miljonbelopp på grund av bristande IT-säkerhet.
- Någon måste våga gå ut och berätta. Idag vågar man inte ens antyda typen av problem som inträffar, säger han med en suck.
Gunnar skulle helst se att företagen kunde berätta i medierna vad de drabbats av. Samtidigt skulle de även berätta vad de gjort för att rätta till felen och därefter förklara vad de gjort för att förebygga att IT-brott ska drabba dem i framtiden. På så vis kan man skynda på utvecklingen av och förståelsen för IT-säkerhet.
Gunnar tror att det behövs avskräckande exempel för att få styrelserna att förstå allvaret med IT-säkerhet. I väntan på att något företag vågar blotta strupen fortsätter Gunnar att pressa styrelser på landets bolagsstämmor.
Ägarna har rätt till all kurspåverkande information och IT är det i högsta grad, menar Gunnar.
På sikt hoppas han se IT som ett eget avsnitt i bolagens delårsrapporter. Det är först när styrelserna tvingas underteckna ett sådant dokument som de på allvar måste sätta sig in i vad IT-säkerhet innebär, avslutar Gunnar.