Det er naturligvis ikke muligt at give et eksakt tal på hvor meget et angreb vil koste i din virksomhed. Der er dog en række faktorer, som du selv har indflydelse på, hvis du vil minimere risikoen og sandsynligheden for og konsekvenserne af et angreb.
Du er ikke alene
Det formodes at omkring 9 ud af 10 virksomheder oplever et eller flere cyberangreb og at 500-1000 virksomheder dagligt oplever et målrettet angreb. Sandsynligheden for at din virksomhed står i skudlinjen, afhænger bl.a. af branche og geo-lokation. Disse 2 faktorer kan næppe ændres, men forberedelsen på et angreb kan. De seneste tal fra ”The Cost of a Databreach” fra The Ponemon Institute indikerer, at et databreach i Skandinavien koster gennemsnitligt 15 millioner DKK, men historier i nyhederne har eksempler på endog væsentligt højere beløb som fx Demant i 2019, hvor et ransomware angreb skønnes at have kostet mellem 550-650 millioner DKK (inklusive en fratrukket forsikringsdækning på 100 millioner) og et fald i aktiekursen på 6%, mens angrebet mod Mærsk i 2017 skønnes at have kostet mellem 1,3 og 1,9 milliarder. På den lidt mindre skala forventes brud på databeskyttelses-forordningen at koste op mod 1,5 millioner DKK, mens eksempler fra udlandet peger på bødestørrelser på op mod 1,5 milliard DKK.
Forberedelse i ledelsen
Udgangspunktet for virksomhedens forberedelse er, at
forståelse ikke er det samme som erkendelse. Hvis alle medlemmer af bestyrelsen ikke har stillet sig selv spørgsmålet ”Forstår jeg virksomhedens cyberrisici og har vi en tilsvarende cyberstrategi” så mangler fundamentet og forberedelsen til cyberrisikoprogrammet. Vurderinger af virkelige eksempler på omkostninger til et Cyberrisikostyringsprogram synes at ligge på mellem 0 og 12% af det samlede IT-budget med en median på 5,6% – svarende til et beløb på mellem 7-70 millioner DKK (omregnet og tal fra 2016). Angivelserne er helt afhængigt af branche, hvor de brancher som er mest udsatte, er Finans og Forsikring, Forsyning, Sundhed, Transport, Rådgivning, Detailhandel og Produktion.
Markant omkostningsreduktion
Baseret på vurderinger fra det årlige studie ”The Cost of a Databreach” kan 3 tiltag være med til at reducere omkostningerne ved et sikkerhedsbrud med omkring 33%. Det er kombinationen af et
incident response team (opdagelse og håndtering),
udbredt brug af kryptering (relevant for databreaches) og
awarenesstræning (forberedelse og forsvar). Hvor tit har du ikke hørt at awarenesstræning er spild af tid, fordi der jo alligevel er en eller anden der klikker på et ondsindet link i en mail og det er alt hvad der skal til? Fordi man ikke kan gøre noget 100%, skal det ikke være en undskyldning for slet ikke at gøre noget, og det er faktisk muligt at begrænse risikoen MÅLBART for, at et cyberangreb sker og hvordan det udvikler sig. Har din virksomhed fx en cyberforsikring, er den af en relevant størrelse og opfylder virksomheden beviseligt forudsætningerne i policen?
Hvad bør du gøre og i hvilken rækkefølge
Der findes mange referencer og standarder at læne sig op af, men en smule snusfornuft er heller ikke af vejen, hvis man vil bevare jordforbindelsen. Vi foreslår, at du overvejer følgende 4 punkter i nævnte rækkefølge og har du allerede gjort dig disse overvejelser og evt. implementeret dem, så gå på jagt efter svaghederne i programmet.
Det gælder særligt hvis virksomhedens cyberprogram overvejende bygger på compliance (som fx ISO27001) og ikke på målbar it-sikkerhed / informationssikkerhed som f.eks.
Center for Internet Security’s anbefalinger eller
NIST Cyber Security Framework”.
1.
Er forankringen af cybersikkerhedsprogrammet klar og tydelig for hele organisationen?
Se evt. hvordan du kan måle modenheden hos ledelsen i følgende artikler
A) Se vores
modenhedsmodeller
B) Er ledelsens modenhed på cybersikkerhedsinitiativet beskeden (hvilket en undersøgelse fra 2019 indikerer i artiklen ”Hacks me, hacks me not… Cybersecurity is the Achilles heel of Danish businesses”), kan du med fordel starte med at bruge artiklen ”Cyberforsvar der virker” som du bl.a. kan finde på >
https://fe-ddis.dk/cfcs/publikationer/Documents/Cyberforsvar%20der%20virker%20-%202017_110117.pdf
Få vores modenhedsmodel gratis som et regneark du nemt og hurtigt kan udfylde for at vurdere dette ved at skrive til Christian Schmidt,
chr@dediko.dk, +45 40 20 26 96
2.
Er it-sikkerheden målbar? Inkluderer cyberprogrammet en metrisk score for det nuværende niveau og det målsatte niveau, en tidsramme for at nå det målsatte niveau og et realistisk budget, som matcher de processer, kontroller, værktøjer og personaleressourcer, der skal til for at nå det målsatte niveau indenfor den udstukne tidsramme.
Få en snak med Dediko om, hvordan du måler virksomhedens niveau af IT-sikkerhed på en overskuelig og kommunikerbar måde via vores it-sikkerhedsbarometer.
3.
Kommunikeres de opnåede resultater på en klar og tydelig måde mellem bestyrelsen, C-Level og de udførende dele af organisationen (inklusive awareness resultater fra hele organisationen) og er disse målepunkter (KPI) helt eller delvist relateret til den forretningsmæssige risiko (KRI). Se fx vores
cyberstatitik på hjemmesiden
4.
Hvad er organisationens risikoappetit i forhold til andre sammenlignelige virksomheder? Ud fra devisen om at ”hvis man skal løbe fra løven, behøver man ikke være den hurtigste, men man skal helt sikkert ikke være blandt de langsomste” kan et peer-review være på sin plads. Der findes mange muligheder for at få oplysninger til et peer-review, og du er velkommen til at kontakte Christian Schmidt,
chr@dediko.dk, +45 40 20 26 96 og få inspiration til hvordan det kan gøres.
Kilder:
Finans:
https://finans.dk/erhverv/ECE11762329/demant-hackerangreb-sender-samlet-vaekst-ned-paa-niveau-med-markedet/
Medwatch:
https://medwatch.dk/Medico___Rehab/article11681097.ece
GDPR:
https://www.enforcementtracker.com/#
Databreach:
https://www.ibm.com/security/data-breach
SANS:
https://www.sans.org/reading-room/whitepapers/analyst/security-spending-trends-36697
FE:
https://fe-ddis.dk/cfcs/publikationer/Documents/Cybersikkerhed-for-bestyrelser.pdf