IT-sikkerhed

Guide i 3 trin – sådan vurderer du din IT-sikkerhed

Vi skal blive bedre til at beregne vores digitalisering – og den sikkerhedsrisiko, vi løber. Her er modellen, der hjælper dig med at beregne rigtigt.

I analysevirksomheden Radars rapport ”Från IT-säkerhet till digital affärsrisk” bliver der præsenteret en ny model til beregning af digital forretningsrisiko. Modellen skal fungere som bro mellem traditionelle, økonomiske risiko-kalkyler og teknologiske IT-rammer. Ligesom vi beregner omkostninger for en hvilken som helst anden risiko, er vi også nødt til at lære at sætte en pris på den digitale forretningsrisiko, vi opbygger i en virksomhed.

– For at det kan lade sig gøre, skal vi lære at beregne, hvad digital forretningsrisiko egentlig koster. Hvilke omkostninger risikerer vi, hvis vi ignorerer endpoint protection og bliver udsat for et vellykket malware-angreb? Det er nok at kigge i en hvilken som helst avis, så vil vi se, at cyber-truslen er konstant til stede," siger Freddie Rinderud, seniorrådgiver hos Radar.

Regn på din digitale risiko i 3 trin

Sådan fungerer den digitale forretningsmodel i korte træk. Du kan finde flere oplysninger om, hvordan modellen er opbygget i rapporten ”Från IT-säkerhet till digital affärsrisk”.

Til rapporten
Kvinde ser på computerskærm

1. Hvad koster et vellykket IT-angreb?

Forskellige typer af IT-angreb påvirker forskellige dele af virksomheden. I tabellen herunder har vi indsat de to mest almindelige typer af angreb: DDoS-angreb og Ransomware.

Beregningsmodel for omkostninger ved IT-sikkerhedsrisici

Type af angreb
DDoSRansomware
Operationel effektProduktionstab
Løn og svind
Genetablering
Økonomisk skadeMistet omsætning
Tyveri og bedrageri
Lovgivningsmæssige skaderGDPR
Kreditdata
Patientdata
Varemærke / GoodwillKunder
Samarbejdspartnere
Alternative omkostninger1,05
Tidsfaktor1,1
Fodnote: De sidste to kolonner er faktorer, som skal tilføjes, når totalen for resten er lagt sammen: 1) Alternative omkostninger (som kan variere voldsomt afhængigt af branche og risikoprofil) 2) Tidsfaktor (som indikerer, at skaden kan stige eksponentielt over tid afhængigt af virksomheden). For eksempel for en online bank kan hver times afbrydelse af funktioner, som kunderne har brug for, resultere i en skade, der er eksponentiel stigende hele vejen til en hypotetisk konkurs. For ikke at flytte fokus har vi valgt ikke at vise tal i cellerne. Enhver, der foretager beregningen, skal være opmærksom på, at den gennemsnitlige omkostning i 2021 ved et større dataangreb er 4.24 millioner dollars. Ifølge IBMs beregninger. Andre eksperter anslår omkostningerne mellem 2 og 4 millioner euro. Men præcis hvor meget et angreb koster afhænger af, hvem du er, og hvilken type virksomhed du har.

Operationel effekt

Direkte omkostninger relateret til produktionstab. Lønninger til personale, der ikke har mulighed for at arbejde effektivt, svind i for eksempel friske råvarer (se angrebet på Coop) eller materialer. Omkostninger til genetablering for eksempel genskabelse af databaser.

Økonomisk skade

Normalt er der tale om manglende indtægter, men ikke sjældent handler det også om rent tyveri eller bedrageri. Eller tyveri af immaterielle rettigheder, intellektuel kapital, retssager, forlig, sagsomkostninger og meget mere.

Lovgivningsmæssige skader

Baseret på data fra mere end 13.000 unikke (vellykkede) angreb er der meget god viden, hvad angår omkostningerne ved konsekvenserne af tabte data fordelt på tre forskellige kategorier. Til dette kan du også i nogle tilfælde tilføje eventuelle bøder udstedt af myndighederne.

Varemærke/Goodwill

Øjeblikkelig skade på virksomheden i form af et forværret omdømme, der påvirker alt fra kunderelationer til rekruttering, muligheder for eksterne samarbejder og dårligere markedspotentiale i nystartede virksomheder.

2. Hvad koster det at beskytte sig mod IT-angreb?

Når du har beregnet, hvad et angreb kan komme til at koste dig, kan du overføre denne omkostning til beregningsmodellen nedenfor. Dette er et skridt, du kan tage for at beskytte dig mod de mest almindelige trusler. Vi har indsat 20 millioner DKK som en fast sats i omkostningerne ved et vellykket cyber-angreb. Et relativt lavt tal (se fodnote ovenfor). Men præcis hvor meget et angreb koster afhænger af, hvem du er, og hvilken type virksomhed du har. Bemærk, at tallene er baseret på store virksomheder. For dem af jer, der er ejere af små virksomheder, vil både omkostningerne ved angreb og omkostningerne ved at beskytte sig selvfølgelig skulle skaleres ned.

Beregningsmodel for omkostninger og ROI ved risikokontrol

TrusselModforanstaltning / risikokontrolOmkostninger ved kontrolOmkostninger ved risikoRR-faktorROI (op til)
Advanced Persistent ThreatSecurity Information and Event Management1 300 00020 000 00048%≤ 638%
RansomwareEndpoint Protection600 00020 000 00097%≤ 3133%
Compromised credentialsZero Trust Security1 600 00020 000 00036%≤ 350%
PhishingSecurity Training5 000 00020 000 00085%≤ 240%
MisconfigurationSecurity Testing300 00020 000 00025%≤ 1567%
  • SIEM: Radars egne tal for et opstartsprojekt inklusiv de første 12 måneders omkostninger
  • EP: Radars egne tal ved cirka 600 kr. / bruger / år
  • ZTS:Radars egne tal ved cirka 1.600 kr. / bruger / år
  • Uddannelse i sikkerhed: Radars skabelon ved cirka 5000 kr. / ansat / år
  • Sikkerhedsrevision: Radars egne tal, revisionsfirma med ekspertise i cyber-sikkerhed, revision af processer, pen-test, med mere samt en revision pr. år på 300.000 kr.
Skabelon baseret på markedsstandard for EP og ZTS, hvor hver medarbejder kan have op til tre forskellige klienter, der bruger samme licens.
Radar: Digital- og sikkerhedsmodenhed i små og mellemstore svenske virksomheder. September 2021.

Fodnote: Beregningen er baseret på en hypotetisk standardværdi. Der er valgt en virksomhed med omkring 1.000 medarbejdere, to klienter pr. medarbejder, 100 servere, 13 procent af leveringen i form af cloud-tjenester og så videre. Med en omsætning på lidt over tre mia. DKK i fremstillingsindustrien med tilsvarende forventet digitaliseringsgrad. Risikoomkostningerne, der er baseret på brud på datasikkerheden, er lige og noget undervurderet i forhold til det internationale gennemsnit fra IBM, som er nævnt ovenfor. Risikoreduktionsfaktoren (RR) er en vægtet bedømmelse baseret på Radars tal, leverandørernes egne data og åbne kilder. ROI gælder for anvendelsen af en individuel kontrol uafhængig af andre. Jo flere kontroller der anvendes, jo mere falder ROI’en pr. kontrol, mens den samlede cyber-sikkerhed stiger.

Fakta

Malware og ransomware

Malware er det kollektive navn på skadelig software. Det drejer sig om uønskede computerprogrammer eller dele af computerprogrammer, der er udviklet med det formål at forstyrre IT-systemet. De kan indsamle oplysninger i det skjulte eller udnytte computeren til formål, der ikke gavner brugeren, for eksempel at udsende spam eller trænge ind i andre computere. Ransomware er en form for malware, hvis formål er afpresning, ofte ved at tage filer som gidsler via kryptering. For at fjerne kryptering eller genvinde kontrollen over computeren, kræver ransomware-programmet en løsesum eller muligvis en anden handling, der gavner gerningsmanden bag programmet.

DDoS-angreb

Et denial-of-service-attack (DoS) er et angreb mod IT-systemet, der har til formål at forhindre normal brug af systemet. Den mest almindelige variant er et overbelastningsangreb. Et DDoS-angreb (Distributed denial-of-service) bygger på, at et stort antal opkald sendes samtidig og kontinuerligt fra flere computere til et computersystem eller et netværk. Opkaldene kan f.eks. anmode om store filer fra en webserver. Det eksponerede system overbelastes af den store mængde opkald, og der er kun meget lidt kapacitet tilbage til anden kommunikation.

Legacy

Hvis du har et program, der ikke fuldt ud lever op til forventningerne i form af moderne IT-drift og funktionalitet, har du et såkaldt legacy-system. Nogle af de største udfordringer ved legacy-systemer er:

  1. De kræver en masse vedligeholdelse og binder tid og værdifulde ressourcer, der kunne bruges på innovation.
  2. De låser dig fast i gamle, stive IT-miljøer (hvilket også kan føre til sikkerhedsproblemer).
  3. De har onödigt höga kostnader.
  4. De har låg prestanda och får driftavbrott.

3. Hvad kommer din digitalisering reelt til at koste?

Nu tager du din digitale risiko fra modellen ovenfor og indsætter den i en forretningsmodel, som nedenfor. Det vil sige, du tager omkostningerne ved et vellykket angreb (20 millioner DKK), minus risikoreduktionen ved kontrol plus omkostningerne ved kontrollen. I eksemplet har vi valgt ransomware. Det betyder, at de 20 millioner er reduceret med 97 procent plus omkostningerne ved kontrollen: 600.000 kroner. I alt 1.200.000 kroner. Ved at bringe din digitale risiko ind i din forretningsmodel får du et mere retvisende billede af, hvad din digitalisering reelt koster.

Kolleger ser på computerskærm i serverrum

Beregningen nedenfor indeholder et digitaliseringsprojekt med tre scenarier - A, B og C. Alle scenarier tager udgangspunkt i en investering på 10 millioner kroner. Projektet skal effektivisere din virksomhed med fem millioner om året. Investeringen har en afskrivningsperiode på 60 måneder, mens løbende omkostninger skal dækkes i perioden. Yderligere fordele i form af nedbringelse af den tekniske gæld (udskiftning af legacy) anslås til en million kroner pr. år.

Husk igen, at disse tal gælder kun for store virksomheder. Hvis du har en mindre virksomhed, skal du reducere beløbet i henhold til størrelsen af din virksomhed.

Beräkningsmodell för cybersäkerhetsriskens kostnad

Scenario
ABC
Beräknad nytta5 000 0005 000 0005 000 000
Sannolikt utfall2 500 0005 000 0002 500 000
Projektkostnader2 000 0002 000 0002 000 000
Komplexitet3 000 0003 000 0002 000 000
Alt. kostnad750 000750 000500 000
Teknisk skuld1 000 0001 000 0001 000 000
Driftskostnad750 000750 000500 000
Digital risk1 200 0001 200 0001 200 000
Netto/år-2 200 000300 000-700 000
TTR/TTCxxx
ROI 60 mån-73%10%-35%

Ved at bruge denne model kan du regne kvantitativt på, hvad din digitalisering reelt koster. Denne omkostningsfokuserede analyse giver dig mulighed for at inkludere din digitale risiko korrekt i beregningerne. Lad mavefornemmelsen gå på pension.

Forventet resultat

I scenarie A forventes effektiviteten at føre til 50 procent af de fem millioner pr. år. I scenarie B beregnes de at være 100 procent og i C 50 procent.

Projektomkostninger/Kompleksitet

Det er omkostningerne ved at gennemføre selve digitaliseringsprojektet, og hvor vanskeligt det er. Nødvendige investeringer er øget med 50 procent i scenarie A og B på grund af uforudset kompleksitet. Scenarie C har formået at holde sig til den oprindelige kompleksitet.

Alternative omkostninger

Dette er "renten" af den samlede investering i projektet (15 mio. DKK i scenarie A og B, 10 mio. i scenarie C), som går tabt pr. år. Det skyldes, at man har valgt at bruge pengene på netop dette projekt og intet andet. Her bruger vi en standard på fem procent.

Teknisk gæld

Dette er en årlig utility realization på en million DKK, uanset hvad projektet koster eller på anden måde leverer, så længe det leveres til tiden.

Driftsomkostninger

En standard på 25 procent af forventede projektomkostninger.

Digital risiko

Som beskrevet ovenfor er dette en omkostning ved selve risikoen (i dette tilfælde dataovertrædelse som koster 20 millioner DKK), minus risikoreduktion ved kontrol (97 procent reduktion) plus omkostningerne ved kontrollen (600.000 DKK). Bemærk også, at risikoomkostningerne kan reduceres yderligere ved at afsætte højere omkostninger til kontrol. Over tid kan dette blive en meget rentabel investering.

Time-to-Revenue eller Time-to-Cash (TTR/TTC)

Her har vi ladet feltet være blankt, fordi omstændighederne er unikke afhængigt af ting som branche, konjunktur- og produktcyklus, men også ejerskabsdirektiver og ikke-cykliske parametre. For nogle kunder er pengestrømme afgørende. For andre kunder er hurtige lanceringer kritiske. Forsinkelser i et projekt kan i disse sammenhænge have eksponentielle effekt, ligesom ved nedetid under et cyber-angreb.

ROI

Dette er et direkte afkast af kapitalen over 60 måneder, eksklusive inflation eller akkumuleret rentabilitet. Ingen af ovenstående scenarier opfylder digitaliserings-standarder for afkast på 17 procent årligt ved vellykkede projekter. Den afgørende faktor er faktisk den leverede fordel. Det afgør, om tallene bliver sorte eller røde. På den sidste linje. Scenarie B er i bedste fald et tvivlsomt projekt. Scenarier A og C er ren kapital-ødelæggelse.

Tekst: Robert Långström

17 marts 2022

Tags