IT-sikkerhet

3-stegs guide – sånn regner du ut din IT-sikkerhet

Vi må bli bedre på å regne ut digitaliseringen vår – og den sikkerhetsrisikoen vi tar. Her er modellen som hjelper deg å regne riktig.

I rapporten "Fra IT-sikkerhet til digital forretningsrisiko", fra analysebyrået Radar, presenteres en ny modell for beregning av digital forretningsrisiko. Modellen skal fungere som en bro mellom tradisjonelle finansielle risikoberegninger og tekniske IT-rammeverk. Akkurat som vi beregner kostnader for enhver risiko, må vi lære å sette en pris på den digitale forretningsrisikoen som vi bygger opp i et selskap.

– For at dette skal være mulig, må vi lære oss å beregne hva digital forretningsrisiko faktisk koster. Hvilke kostnader risikerer vi hvis vi ignorerer endepunktsbeskyttelse og blir utsatt for et vellykket malware-angrep? Det er bare å åpne hvilken som helst avis for å se at cybertrusselen konstant er til stede, sier Freddie Rinderud, seniorrådgiver i Radar.

Regn ut din digitale risiko i 3 steg

Slik fungerer modellen for digital forretningsrisiko i korte trekk. For mer informasjon om hvordan modellen er bygget opp, les rapporten "Fra IT-sikkerhet til digital forretningsrisiko".

Til rapporten
Kvinne ser på dataskjermen

Hva koster et vellykket IT-angrep?

Slik fungerer modellen for digital forretningsrisiko i korte trekk. For mer informasjon om hvordan modellen er bygget opp, les rapporten "Fra IT-sikkerhet til digital forretningsrisiko".

Beregningsmodell for kostnader ved cybersikkerhetsrisiko

Type angrep
DDoSRansomware
Forretningsmessig påvirkningTap av produksjo
Lønn og svinn
Gjenskaping
Økonomisk skadeTapte inntekter
Tyveri og svindel
Regulatoriske skaderGDPR
Kredittdata
Pasientdata
Merkevare / GoodwilllKunder
Samarbeidspartnere
Alternativkostnad1,05
Tidsfaktor1,1
Fotnote De to siste linjene er faktorer som skal legges til når totalen for resten er lagt sammen: 1) Alternativkostnad (som kan variere dramatisk avhengig av bransje og risikoprofil) 2) Tidsfaktor (som skal indikere at skaden kan øke eksponentielt over tid avhengig av type selskap. For eksempel kan det for en nettbank være at hver time det er avbrudd i funksjoner som kundene trenger ha en eksponentiell skade. Helt frem til en hypotetisk konkurs. For ikke å skifte fokus har vi valgt å ikke vise tall i cellene. Personen som gjør beregningen bør være klar over at gjennomsnittskostnaden i 2021 for et større datainnbrudd er 4,24 millioner dollar. Ifølge IBM. Andre eksperter anslår kostnadene til mellom 2 og 4 millioner euro. Nøyaktig hvor mye et angrep koster, avhenger imidlertid av hvem du er og hvilken type virksomhet du driver.

Forretningsmessig påvirkning

Direkte kostnader knyttet til produksjonstap. Lønn til ansatte som ikke kan jobbe effektivt, sløser med for eksempel ferskvarer (se angrepet på Coop) eller materiale. Restaureringskostnader, for eksempel databasegjenoppretting.

Økonomisk skade

Vanligvis av inntekter, men ikke sjelden også rent tyveri eller svindel. Eller tyveri av immaterielle rettigheter, intellektuell kapital, søksmål, forlik, sakskostnader og mer.

Reguleringsskade

Basert på data fra over 13 000 unike (vellykkede) angrep finnes det god kunnskap om kostnadene for konsekvenser av tapte data fordelt på tre ulike dataklasser. Til dette kan du også i noen tilfeller legge til eventuelle bøter utstedt av myndigheter.

Merkevare / Goodwill

Umiddelbar skade på bedriften i form av et dårligere omdømme. Som påvirker alt fra kunderelasjoner til rekruttering, muligheter for eksterne samarbeid og dårligere markedspotensial ved nyetableringer.

2. Hva koster et vellykket IT-angrep?

Når du har regnet ut hva et angrep koster deg, kan du overføre denne kostnaden til beregningen nedenfor. Dette er steg du kan ta for å beskytte deg mot de vanligste truslene. Her har vi investert cirka 20 millioner NOK som mal i kostnadene for et vellykket cyberangrep. Et relativt lavt tall (se fotnote over). Nøyaktig hvor mye et angrep koster, avhenger imidlertid av hvem du er og hvilken type bedrift du driver. Merk at tallene er basert på store selskaper. For deg som småbedriftseier er selvfølgelig både kostnadene ved angrep og kostnadene ved å beskytte deg lavere.

Beregningsmodell for risikokontrollens kostnad og ROI

TrusselTiltak: RisikokontrollKontrollens kostnadRisiko-kostnadRR faktorROI (upp till)
Advanced Persistent ThreatSecurity Information and Event Management1 300 00020 000 00048%≤ 638%
RansomwareEndpoint Protection600 00020 000 00097%≤ 3133%
Compromised credentialsZero Trust Security1 600 00020 000 00036%≤ 350%
PhishingSecurity Training5 000 00020 000 00085%≤ 240%
MisconfigurationSecurity Testing300 00020 000 00025%≤ 1567%
  • SIEM: Radars egne tall for et implementeringsprosjekt og første 12 månedenes kostnader inkludert.
  • EP:Radars egne tall på cirka 600 kr / brukere / år.
  • ZTS: Radars egne tall på cirka 1600 kr / brukere / år.
  • Sikkerhetsopplæring: Radars standard på cirka 5000 kr/ ansatt / år.
  • Sikkerhetsrevisjon: Radars egne tall, revisjonsselskap med omdømme innen cybersikkerhet, revisjon av prosesser, pen-tester, med mer, og en revisjon per år på 300 000 kroner.
Standarden er basert på markedsstandarder for EP og ZTS, der hver lisensierte ansatt kan ha opptil 3 forskjellige klienter som bruker samme lisens. Noen leverandører godtar opptil 5 klienter.
Radar: Digital- og sikkerhetsmodenhet i små og mellomstore svenske bedrifter. September 2021

Beregningen er basert på hypotetiske standardverdier. Fra en virksomhet med cirka 1000 ansatte, 2 klienter per ansatt, 100 servere, 13 prosent av leveransen i form av skytjenester og så videre. Med en omsetning på i overkant av NOK 3 milliarder, i produksjonsindustrien med tilsvarende forventet grad av digitalisering. Risikokostnaden er basert på datainntrenging, og lagt litt lavere sammenlignet med det internasjonale gjennomsnittet fra IBM nevnt ovenfor. Risikoreduksjonsfaktoren (RR) er en vurdering basert på Radar-tall, leverandørenes egne data og åpne kilder. ROI gjelder for bruken av en individuell kontroll uavhengig av andre ting. Jo flere kontroller som brukes, jo mer synker ROI per kontroll, samtidig som den totale cybersikkerheten øker.

Fakta

Malware og ransomware

Malware er samlenavnet for skadelig programvare. Det er uønskede dataprogrammer, eller deler av dataprogrammer, som er utviklet for å forstyrre IT-system. De kan i all hemmelighet samle inn informasjon eller bruke datamaskinen på måter som ikke gagner brukeren, for eksempel å sende spam eller hacke andre datamaskiner. Ransomware er en type malware som brukes til utpressing, ofte ved å ta filer som gisler gjennom kryptering. For å løfte krypteringen eller gjenvinne kontrollen over datamaskinen, kreves det løsepenger eller andre handlinger som kommer gjerningsmannen bak programmet til gode.

DDos-attack

Denial-of-service-attack (DoS) er et angrep på et datasystem for å stoppe normal bruk av systemet. Den vanligste varianten er et overbelastningsangrep. Et DDoS-angrep (Distributed denial-of-service) er når det sendes et stort antall anrop samtidig og kontinuerlig fra flere datamaskiner, til et datasystem eller nettverk. For eksempel kan samtaler be om store filer fra en webserver. Det eksponerte systemet overbelastes av den store mengden anrop og det gjenstår liten kapasitet for annen kommunikasjon.

Legacy

Har du en applikasjon som ikke helt lever opp til forventningene når det gjelder moderne IT-drift og funksjonalitet, har du et såkalt legacy-system. Noen store utfordringer med eldre systemer er:

  1. De krever mye vedlikehold, og bruker opp tid og verdifulle ressurser som kan brukes på innovasjon.
  2. De låser deg inne i gamle, rigide IT-miljøer (som også kan føre til sikkerhetsproblemer).
  3. De har unødvendig høye kostnader.
  4. De har lav ytelse og har nedetid.

3. Hva blir kostnadene for digitaliseringen din?

Nå kan du ta din digitale risiko fra modellen over og legge den inn i en forretningsrisikomodell, som vist lenger ned. Det vil si at du tar kostnaden ved et vellykket angrep (20 millioner kroner), minus risikoreduksjonen gjennom kontroll. pluss kostnaden for kontrollen. I eksemplet har vi valgt Ransomware. Dette betyr cirka 20 millioner redusert med 97 prosent, pluss kostnaden for kontrollen: 600 000 NOK. Totalt 1 200 000 NOK. Ved å inkludere din digitale risiko i din forretningsrisiko-modell, får du et mer nøyaktig bilde av hva din digitalisering faktisk koster.

Kolleger ser på dataskjermen i serverrommet

Regnestykket under inneholder et digitaliseringsprosjekt med tre scenarier - A, B og C. Alle er basert på en investering på 10 millioner NOK. Prosjektet skal effektivisere virksomheten din med 5 millioner per år. Investeringen har en avskrivningstid på 60 måneder, samtidig som løpende kostnader skal dekkes i perioden. Ytterligere fordeler i form av reduksjon av teknisk gjeld (kompensasjon av arv) er beregnet til å beløpe seg til 1 million NOK per år.

Igjen, husk at disse tallene gjelder for store selskaper. Som et lite selskap må du redusere summene etter størrelsen på akkurat ditt selskap.

Beregningsmodell for kostnaden ved cybersikkerhetsrisiko

Scenario
ABC
Beregnet nytte5 000 0005 000 0005 000 000
Sannsynlig utfall2 500 0005 000 0002 500 000
Prosjektkostnader2 000 0002 000 0002 000 000
Kompleksitet3 000 0003 000 0002 000 000
Alt. kostnad750 000750 000500 000
Teknisk gjeld1 000 0001 000 0001 000 000
Driftskostnader750 000750 000500 000
Digital risiko1 200 0001 200 0001 200 000
Netto/år-2 200 000300 000-700 000
TTR/TTCxxx
ROI 60 mån-73%10%-35%

Ved å bruke denne modellen kan du kvantitativt beregne ut hva digitaliseringen faktisk koster. Denne kostnadsfokuserte analysen lar deg inkludere din digitale risiko i beregningene dine på riktig måte. Pensjoner magefølelsen din.

Estimert nytte / Sannsynlig utfall

I scenario A er effektiviseringen beregnet å føre til 50 prosent av de fem millionene per år. I scenario B er de beregnet til 100 prosent og i C 50 prosent.

Prosjektkostnader / kompleksitet

Dette er kostnadene for å gjennomføre selve digitaliseringsprosjektet. Hvor vanskelig det er. Nødvendige investeringer er økt med 50 prosent i scenario A og B på grunn av uforutsette utfordringer. Scenario C har klart å holde seg til den opprinnelige beskrivelsen.

Alternativ kostnad

Dette er «renten» på den totale investeringen i prosjektet (15 mill. kr for scenario A og B, 10 millioner i scenario C) som tapes årlig. Fordi de har valgt å bruke pengene på akkurat dette prosjektet og ikke noe annet. Her bruker vi en standard på 5 prosent.

Teknisk gjeld

Dette er en årlig gevinstrealisering på 1 million kroner, uavhengig av hva prosjektet koster eller leverer ellers, så lenge det leveres til rett tid.

Driftskostnader

En standard på 25 prosent av anslåtte prosjektkostnader.

Digital risiko

Som beskrevet over er dette en kostnad for selve risikoen (i dette tilfellet datainnbrudd som koster 20 millioner NOK), minus risikoreduksjon gjennom kontroll (97 prosent reduksjon), pluss kostnaden for kontroll (600 000 NOK). Merk også at risikokostnaden kan reduseres ytterligere ved høyere kostnader for kontroller. Over tid kan dette bli en svært lønnsom investering.

Time-to-Revenue eller Time-to-Cash (TTR / TTC)

Denne har vi latt stå tom fordi omstendighetene er unike og avhenger av ting som industri, konjunktur og produktsyklus, men også eierskapsdirektiver og ikke-sykliske parametere. For noen kunder er kontantstrømmen helt avgjørende. For andre kunder er raske lanseringer avgjørende. Forsinkelser i et prosjekt kan i disse sammenhengene, akkurat som med nedetid ved cyberangrep, ha eksponentielle effekter.

ROI

Detta är en rak avkastning på kapital över 60 månader, exklusive inflation eller ackumulerad Dette er avkastningen på kapital over 60 måneder, ekskludert inflasjon eller akkumulert avkastning. Ingen av scenariene ovenfor når digitaliseringsstandarden for en avkastning på 17 prosent årlig i vellykkede prosjekter. Den avgjørende faktoren er faktisk levert nytte. Det avgjør om tallene blir svarte eller røde på siste linje. Scenario B er i beste fall et tvilsomt prosjekt. Scenario A og C er ren ødeleggelse av kapital.

17 mars 2022

Tagger