Vi må bli bedre på å regne ut digitaliseringen vår – og den sikkerhetsrisikoen vi tar. Her er modellen som hjelper deg å regne riktig.
I rapporten "Fra IT-sikkerhet til digital forretningsrisiko", fra analysebyrået Radar, presenteres en ny modell for beregning av digital forretningsrisiko. Modellen skal fungere som en bro mellom tradisjonelle finansielle risikoberegninger og tekniske IT-rammeverk. Akkurat som vi beregner kostnader for enhver risiko, må vi lære å sette en pris på den digitale forretningsrisikoen som vi bygger opp i et selskap.
– For at dette skal være mulig, må vi lære oss å beregne hva digital forretningsrisiko faktisk koster. Hvilke kostnader risikerer vi hvis vi ignorerer endepunktsbeskyttelse og blir utsatt for et vellykket malware-angrep? Det er bare å åpne hvilken som helst avis for å se at cybertrusselen konstant er til stede, sier Freddie Rinderud, seniorrådgiver i Radar.
Regn ut din digitale risiko i 3 steg
Slik fungerer modellen for digital forretningsrisiko i korte trekk. For mer informasjon om hvordan modellen er bygget opp, les rapporten "Fra IT-sikkerhet til digital forretningsrisiko".
Til rapportenHva koster et vellykket IT-angrep?
Slik fungerer modellen for digital forretningsrisiko i korte trekk. For mer informasjon om hvordan modellen er bygget opp, les rapporten "Fra IT-sikkerhet til digital forretningsrisiko".
Beregningsmodell for kostnader ved cybersikkerhetsrisiko
Type angrep | |||
---|---|---|---|
DDoS | Ransomware | ||
Forretningsmessig påvirkning | Tap av produksjo | ||
Lønn og svinn | |||
Gjenskaping | |||
Økonomisk skade | Tapte inntekter | ||
Tyveri og svindel | |||
Regulatoriske skader | GDPR | ||
Kredittdata | |||
Pasientdata | |||
Merkevare / Goodwilll | Kunder | ||
Samarbeidspartnere | |||
Alternativkostnad | 1,05 | ||
Tidsfaktor | 1,1 |
Forretningsmessig påvirkning
Direkte kostnader knyttet til produksjonstap. Lønn til ansatte som ikke kan jobbe effektivt, sløser med for eksempel ferskvarer (se angrepet på Coop) eller materiale. Restaureringskostnader, for eksempel databasegjenoppretting.
Økonomisk skade
Vanligvis av inntekter, men ikke sjelden også rent tyveri eller svindel. Eller tyveri av immaterielle rettigheter, intellektuell kapital, søksmål, forlik, sakskostnader og mer.
Reguleringsskade
Basert på data fra over 13 000 unike (vellykkede) angrep finnes det god kunnskap om kostnadene for konsekvenser av tapte data fordelt på tre ulike dataklasser. Til dette kan du også i noen tilfeller legge til eventuelle bøter utstedt av myndigheter.
Merkevare / Goodwill
Umiddelbar skade på bedriften i form av et dårligere omdømme. Som påvirker alt fra kunderelasjoner til rekruttering, muligheter for eksterne samarbeid og dårligere markedspotensial ved nyetableringer.
2. Hva koster et vellykket IT-angrep?
Når du har regnet ut hva et angrep koster deg, kan du overføre denne kostnaden til beregningen nedenfor. Dette er steg du kan ta for å beskytte deg mot de vanligste truslene. Her har vi investert cirka 20 millioner NOK som mal i kostnadene for et vellykket cyberangrep. Et relativt lavt tall (se fotnote over). Nøyaktig hvor mye et angrep koster, avhenger imidlertid av hvem du er og hvilken type bedrift du driver. Merk at tallene er basert på store selskaper. For deg som småbedriftseier er selvfølgelig både kostnadene ved angrep og kostnadene ved å beskytte deg lavere.
Beregningsmodell for risikokontrollens kostnad og ROI
Trussel | Tiltak: Risikokontroll | Kontrollens kostnad | Risiko-kostnad | RR faktor | ROI (upp till) |
---|---|---|---|---|---|
Advanced Persistent Threat | Security Information and Event Management | 1 300 000 | 20 000 000 | 48% | ≤ 638% |
Ransomware | Endpoint Protection | 600 000 | 20 000 000 | 97% | ≤ 3133% |
Compromised credentials | Zero Trust Security | 1 600 000 | 20 000 000 | 36% | ≤ 350% |
Phishing | Security Training | 5 000 000 | 20 000 000 | 85% | ≤ 240% |
Misconfiguration | Security Testing | 300 000 | 20 000 000 | 25% | ≤ 1567% |
- SIEM: Radars egne tall for et implementeringsprosjekt og første 12 månedenes kostnader inkludert.
- EP:Radars egne tall på cirka 600 kr / brukere / år.
- ZTS: Radars egne tall på cirka 1600 kr / brukere / år.
- Sikkerhetsopplæring: Radars standard på cirka 5000 kr/ ansatt / år.
- Sikkerhetsrevisjon: Radars egne tall, revisjonsselskap med omdømme innen cybersikkerhet, revisjon av prosesser, pen-tester, med mer, og en revisjon per år på 300 000 kroner.
Radar: Digital- og sikkerhetsmodenhet i små og mellomstore svenske bedrifter. September 2021
Beregningen er basert på hypotetiske standardverdier. Fra en virksomhet med cirka 1000 ansatte, 2 klienter per ansatt, 100 servere, 13 prosent av leveransen i form av skytjenester og så videre. Med en omsetning på i overkant av NOK 3 milliarder, i produksjonsindustrien med tilsvarende forventet grad av digitalisering. Risikokostnaden er basert på datainntrenging, og lagt litt lavere sammenlignet med det internasjonale gjennomsnittet fra IBM nevnt ovenfor. Risikoreduksjonsfaktoren (RR) er en vurdering basert på Radar-tall, leverandørenes egne data og åpne kilder. ROI gjelder for bruken av en individuell kontroll uavhengig av andre ting. Jo flere kontroller som brukes, jo mer synker ROI per kontroll, samtidig som den totale cybersikkerheten øker.
Fakta
Malware og ransomware
Malware er samlenavnet for skadelig programvare. Det er uønskede dataprogrammer, eller deler av dataprogrammer, som er utviklet for å forstyrre IT-system. De kan i all hemmelighet samle inn informasjon eller bruke datamaskinen på måter som ikke gagner brukeren, for eksempel å sende spam eller hacke andre datamaskiner. Ransomware er en type malware som brukes til utpressing, ofte ved å ta filer som gisler gjennom kryptering. For å løfte krypteringen eller gjenvinne kontrollen over datamaskinen, kreves det løsepenger eller andre handlinger som kommer gjerningsmannen bak programmet til gode.
DDos-attack
Denial-of-service-attack (DoS) er et angrep på et datasystem for å stoppe normal bruk av systemet. Den vanligste varianten er et overbelastningsangrep. Et DDoS-angrep (Distributed denial-of-service) er når det sendes et stort antall anrop samtidig og kontinuerlig fra flere datamaskiner, til et datasystem eller nettverk. For eksempel kan samtaler be om store filer fra en webserver. Det eksponerte systemet overbelastes av den store mengden anrop og det gjenstår liten kapasitet for annen kommunikasjon.
Legacy
Har du en applikasjon som ikke helt lever opp til forventningene når det gjelder moderne IT-drift og funksjonalitet, har du et såkalt legacy-system. Noen store utfordringer med eldre systemer er:
- De krever mye vedlikehold, og bruker opp tid og verdifulle ressurser som kan brukes på innovasjon.
- De låser deg inne i gamle, rigide IT-miljøer (som også kan føre til sikkerhetsproblemer).
- De har unødvendig høye kostnader.
- De har lav ytelse og har nedetid.
3. Hva blir kostnadene for digitaliseringen din?
Nå kan du ta din digitale risiko fra modellen over og legge den inn i en forretningsrisikomodell, som vist lenger ned. Det vil si at du tar kostnaden ved et vellykket angrep (20 millioner kroner), minus risikoreduksjonen gjennom kontroll. pluss kostnaden for kontrollen. I eksemplet har vi valgt Ransomware. Dette betyr cirka 20 millioner redusert med 97 prosent, pluss kostnaden for kontrollen: 600 000 NOK. Totalt 1 200 000 NOK. Ved å inkludere din digitale risiko i din forretningsrisiko-modell, får du et mer nøyaktig bilde av hva din digitalisering faktisk koster.
Regnestykket under inneholder et digitaliseringsprosjekt med tre scenarier - A, B og C. Alle er basert på en investering på 10 millioner NOK. Prosjektet skal effektivisere virksomheten din med 5 millioner per år. Investeringen har en avskrivningstid på 60 måneder, samtidig som løpende kostnader skal dekkes i perioden. Ytterligere fordeler i form av reduksjon av teknisk gjeld (kompensasjon av arv) er beregnet til å beløpe seg til 1 million NOK per år.
Igjen, husk at disse tallene gjelder for store selskaper. Som et lite selskap må du redusere summene etter størrelsen på akkurat ditt selskap.
Beregningsmodell for kostnaden ved cybersikkerhetsrisiko
Scenario | |||
A | B | C | |
Beregnet nytte | 5 000 000 | 5 000 000 | 5 000 000 |
---|---|---|---|
Sannsynlig utfall | 2 500 000 | 5 000 000 | 2 500 000 |
Prosjektkostnader | 2 000 000 | 2 000 000 | 2 000 000 |
Kompleksitet | 3 000 000 | 3 000 000 | 2 000 000 |
Alt. kostnad | 750 000 | 750 000 | 500 000 |
Teknisk gjeld | 1 000 000 | 1 000 000 | 1 000 000 |
Driftskostnader | 750 000 | 750 000 | 500 000 |
Digital risiko | 1 200 000 | 1 200 000 | 1 200 000 |
Netto/år | -2 200 000 | 300 000 | -700 000 |
TTR/TTC | x | x | x |
ROI 60 mån | -73% | 10% | -35% |
Ved å bruke denne modellen kan du kvantitativt beregne ut hva digitaliseringen faktisk koster. Denne kostnadsfokuserte analysen lar deg inkludere din digitale risiko i beregningene dine på riktig måte. Pensjoner magefølelsen din.
Estimert nytte / Sannsynlig utfall
I scenario A er effektiviseringen beregnet å føre til 50 prosent av de fem millionene per år. I scenario B er de beregnet til 100 prosent og i C 50 prosent.
Prosjektkostnader / kompleksitet
Dette er kostnadene for å gjennomføre selve digitaliseringsprosjektet. Hvor vanskelig det er. Nødvendige investeringer er økt med 50 prosent i scenario A og B på grunn av uforutsette utfordringer. Scenario C har klart å holde seg til den opprinnelige beskrivelsen.
Alternativ kostnad
Dette er «renten» på den totale investeringen i prosjektet (15 mill. kr for scenario A og B, 10 millioner i scenario C) som tapes årlig. Fordi de har valgt å bruke pengene på akkurat dette prosjektet og ikke noe annet. Her bruker vi en standard på 5 prosent.
Teknisk gjeld
Dette er en årlig gevinstrealisering på 1 million kroner, uavhengig av hva prosjektet koster eller leverer ellers, så lenge det leveres til rett tid.
Driftskostnader
En standard på 25 prosent av anslåtte prosjektkostnader.
Digital risiko
Som beskrevet over er dette en kostnad for selve risikoen (i dette tilfellet datainnbrudd som koster 20 millioner NOK), minus risikoreduksjon gjennom kontroll (97 prosent reduksjon), pluss kostnaden for kontroll (600 000 NOK). Merk også at risikokostnaden kan reduseres ytterligere ved høyere kostnader for kontroller. Over tid kan dette bli en svært lønnsom investering.
Time-to-Revenue eller Time-to-Cash (TTR / TTC)
Denne har vi latt stå tom fordi omstendighetene er unike og avhenger av ting som industri, konjunktur og produktsyklus, men også eierskapsdirektiver og ikke-sykliske parametere. For noen kunder er kontantstrømmen helt avgjørende. For andre kunder er raske lanseringer avgjørende. Forsinkelser i et prosjekt kan i disse sammenhengene, akkurat som med nedetid ved cyberangrep, ha eksponentielle effekter.
ROI
Detta är en rak avkastning på kapital över 60 månader, exklusive inflation eller ackumulerad Dette er avkastningen på kapital over 60 måneder, ekskludert inflasjon eller akkumulert avkastning. Ingen av scenariene ovenfor når digitaliseringsstandarden for en avkastning på 17 prosent årlig i vellykkede prosjekter. Den avgjørende faktoren er faktisk levert nytte. Det avgjør om tallene blir svarte eller røde på siste linje. Scenario B er i beste fall et tvilsomt prosjekt. Scenario A og C er ren ødeleggelse av kapital.
Tekst: Robert Långström