IT-säkerhet

Guide i 3 steg – så räknar du på din IT-säkerhet

Vi behöver bli bättre på att räkna på vår digitalisering – och den säkerhetsrisk vi tar. Här är modellen som hjälper dig räkna rätt.

I analysbyrån Radars rapport ”Från IT-säkerhet till digital affärsrisk” presenteras en ny modell för att räkna på digital affärsrisk. Modellen ska fungera som en brygga mellan traditionella finansiella riskkalkyler och tekniska IT-ramverk. Precis som vi beräknar kostnader för vilken risk som helst, måste vi lära oss att sätta ett pris på den digitala affärsrisken som vi bygger upp i ett företag.

– För att det ska vara möjligt måste vi lära oss att räkna på vad digital affärsrisk egentligen kostar. Vilka kostnader riskerar vi om vi struntar i ett endpoint-skydd och blir utsatta för en lyckad malware-attack? Det är bara att öppna valfri tidning så ser vi att cyberhotet är ständigt närvarande, säger Freddie Rinderud, senior rådgivare på Radar.

Räkna på din digitala risk i 3 steg

Så här fungerar modellen för digital affärsrisk i korthet. För mer information om hur modellen är uppbyggd, läs rapporten ”Från IT-säkerhet till digital affärsrisk”.

Till rapporten
Kvinna som tittar på datorskärm

1. Vad kostar en lyckad IT-attack?

Olika typer av IT-angrepp påverkar olika delar av verksamheten. I tabellen nedan har vi placerat in två av de vanligaste angreppen: DDos-attack och Ransomware.

Beräkningsmodell för cybersäkerhetsriskens kostnad

Typ av attack
DDoSRansomware
VerksamhetspåverkanProduktionsbortfall
Löner och Svinn
Återskapande
Finansiell skadaFörlorade intäkter
Stöld och bedrägeri
Regulatorisk skadaGDPR
Kreditdata
Patientdata
Varumärke/GoodwillKunder
Samarbetspartners
Alternativkostnad1,05
Tidsfaktor1,1
Fotnot: De sista två raderna är faktorer som ska tillföras när totalen för resten är summerad: 1) Alternativkostnad (som kan variera dramatiskt beroende på bransch och riskprofil). 2) Tidsfaktor (som ska indikera att skadan kan öka exponentiellt över tid beroende på företag. För till exempel en internetbank kan varje timmes avbrott för funktioner som kunderna behöver, ha en skada som är exponentiell hela vägen fram till en hypotetisk konkurs. I syfte att inte flytta fokus har vi valt att inte visa siffror i cellerna. Den som gör kalkylen bör vara medveten om att snittkostnaden 2021 för ett större dataintrång ligger på 4,24 miljoner dollar. Detta enligt IBM. Andra experter uppskattar kostnaden mellan 2 och 4 miljoner euro. Exakt hur mycket en attack kostar beror dock på vem du är och vilken typ av verksamhet du bedriver.

Verksamhetspåverkan

Direkta kostnader relaterade till produktionsbortfall. Löner för personal som inte kan arbeta produktivt, svinn på till exempel färskvaror (se attacken på Coop) eller material. Kostnader för återskapande, som återställande av databaser.

Finansiell skada

Vanligtvis intäkter, men inte sällan också ren stöld eller bedrägerier. Eller stöld av immateriella rättigheter, intellektuellt kapital, stämningar, förlikning, rättegångskostnader med mera.

Regulatorisk skada

Baserat på data från över 13 000 unika (lyckade) attacker finns mycket god kunskap vad gäller kostnader för konsekvenser av förlorad data fördelat över tre olika dataklasser. Till detta kan du också i vissa fall lägga till eventuella böter utfärdade av myndigheter.

Varumärke/Goodwill

Omedelbar skada för företaget i form av sämre rykte som påverkar allt ifrån kundrelationer till rekrytering, möjligheter till externa samarbeten och sämre marknadspotential vid nyetableringar.

2. Vad kostar det att skydda sig mot IT-attacker?

När du räknat ut vad ett angrepp kostar dig, kan du föra över den kostnaden till kalkylen nedan. Det är åtgärder du kan ta för att skydda dig mot de vanligaste hoten. Här har vi lagt in 20 miljoner svenska kronor som schablon i kostnad för ett lyckat cyberangrepp. En relativt låg siffra (se fotnot ovan). Exakt hur mycket en attack kostar beror dock på vem du är och vilken typ av verksamhet du bedriver. Observera att siffrorna baseras på stora företag. För dig som är småföretagare skalas förstås både kostnaden för attacker och kostnaden för att skydda dig ner.

Beräkningsmodell för riskkontrollers kostnad och ROI

HotMotmedel: RiskkontrollKontrollens kostnadRisk-kostnadRR faktorROI (upp till)
Advanced Persistent ThreatSecurity Information and Event Management1 300 00020 000 00048%≤ 638%
RansomwareEndpoint Protection600 00020 000 00097%≤ 3133%
Compromised credentialsZero Trust Security1 600 00020 000 00036%≤ 350%
PhishingSecurity Training5 000 00020 000 00085%≤ 240%
MisconfigurationSecurity Testing300 00020 000 00025%≤ 1567%
  • SIEM: Radars egna siffror för ett införandeprojekt och första 12 månaders kostnader inkluderade.
  • EP: Radars egna siffror på cirka 600 kr/användare/år.
  • ZTS: Radars egna siffror på cirka 1 600 kr/användare/år.
  • Säkerhetsutbildning: Radars schablon på cirka 5 000 kr/anställd/år.
  • Säkerhetsrevision: Radars egna siffror, revisionsbyrå med cybersäkerhetsrenommé, revision av processer, pen-tester, med mera, samt en revision per år á 300 000 kr.
Schablon baseras på marknadsstandard för EP och ZTS där varje licensierad anställd kan ha upp till 3 olika klienter som använder samma licens. vissa leverantörer accepterar upp till 5 klienter.
Radar: Digital och säkerhetsmognad i små och medelstora svenska företag. September 2021.

Fotnot: Kalkylen baseras på en hypotetiska schablonvärden. Detta från en verksamhet med cirka 1 000 anställda, 2 klienter per anställd, 100 servrar, 13 procent av leveransen i form av molntjänster och så vidare. Med en omsättning på drygt 3 miljarder svenska kronor, i tillverkande industri med motsvarande förväntad digitaliseringsgrad. Riskkostnaden baseras på dataintrång, är rak och något underskattad jämfört med internationellt snitt från IBM som nämnts ovan. Riskreduktionsfaktorn (RR) är en sammanvägd bedömning utifrån Radars siffror, leverantörernas egna uppgifter och öppna källor. ROI gäller för applikation av en enskild kontroll oberoende av annat. Ju fler kontroller som appliceras desto mer sjunker ROI:n per kontroll, samtidigt som den totala cybersäkerheten ökar.

Fakta

Malware och ransomware

Malware är samlingsnamnet på skadlig programvara. Det är oönskade datorprogram eller delar av datorprogram som har utvecklats i syfte att störa IT-systemet. De kan samla in information i smyg eller utnyttja datorn för ändamål som inte gagnar användaren, såsom utskick av skräppost, intrång på andra datorer. Ransomware är en typ av malware vars syfte är utpressning, ofta genom att ta filer som gisslan via kryptering. För att häva krypteringen eller återfå kontrollen över datorn kräver utpressningsprogrammet en lösensumma eller eventuellt annan handling som gynnar förövaren som ligger bakom programmet.

DDos-attack

En denial-of-service-attack (DoS) en attack mot ett datasystem i syfte att hindra normal användning av systemet. Den vanligaste varianten är en överbelastningsattack. En DDoS-attack (Distributed denial-of-service) bygger på att en stor mängd anrop, samtidigt och kontinuerligt från flera datorer, skickas till ett datorsystem eller nätverk. Till exempel kan anropen begära stora filer från en webbserver. Det utsatta systemet överbelastas av den stora mängden anrop och endast en liten kapacitet blir kvar för övrig kommunikation.

Legacy

Har du en applikation som inte helt lever upp till förväntningarna vad gäller modern IT-drift och funktionalitet, har du ett så kallat legacy-system. Några stora utmaningar med legacy-system är att:

  1. De kräver mycket underhåll och binder upp tid och värdefulla resurser som skulle kunna läggas på innovation.
  2. De låser in dig i gamla, stela IT-miljöer (vilket också kan leda till säkerhetsproblem).
  3. De har onödigt höga kostnader.
  4. De har låg prestanda och får driftavbrott.

3. Vad blir kostnaden för din digitalisering?

Nu tar du din digitala risk från modellen ovan och för in denna i en modell för affärsrisk, enligt nedan. Det vill säga, du tar kostnaden för ett lyckat angrepp (20 miljoner SEK), minus riskreduktionen genom kontroll plus kostnaden för kontrollen. I exemplet har vi valt Ransomware. Det innebär 20 miljoner reducerat med 97 procent, plus kostnaden för kontrollen: 600 000 SEK. Totalt 1 200 000 SEK. Genom att föra in din digitala risk i din modell för affärsrisk, får du en mer rättvisande bild av vad din digitalisering faktiskt kostar.

Kollegor som tittar på datorskärm i serverrum

Kalkylen nedan innehåller ett digitaliseringsprojekt med tre scenarier - A, B och C. Alla har utgångspunkt i en investering om 10 miljoner svenska kronor. Projektet ska effektivisera din verksamhet med 5 miljoner per år. Investeringen har en avskrivningsperiod på 60 månader samtidigt som löpande kostnader skall täckas under perioden. Ytterligare nyttor i form av reducering av teknisk skuld (ersättning av legacy) beräknas uppgå till 1 miljon kronor per år.

Återigen, kom ihåg att dessa siffror gäller stora företag. Du som mindre företag behöver minska summorna efter storleken på just ditt företag.

Beräkningsmodell för cybersäkerhetsriskens kostnad

Scenario
ABC
Beräknad nytta5 000 0005 000 0005 000 000
Sannolikt utfall2 500 0005 000 0002 500 000
Projektkostnader2 000 0002 000 0002 000 000
Komplexitet3 000 0003 000 0002 000 000
Alt. kostnad750 000750 000500 000
Teknisk skuld1 000 0001 000 0001 000 000
Driftskostnad750 000750 000500 000
Digital risk1 200 0001 200 0001 200 000
Netto/år-2 200 000300 000-700 000
TTR/TTCxxx
ROI 60 mån-73%10%-35%

Genom att använda denna modell kan du räkna kvantitativt på vad din digitalisering faktiskt kostar. Denna analys med kostnadsfokus gör att du får med din digitala risk i beräkningarna på ett korrekt sätt. Låt magkänslan gå i pension.

Beräknad nytta/Sannolikt utfall

I scenario A beräknas effektiviseringen leda till 50 procent av de fem miljonerna per år. I scenario B beräknas de bli 100 procent och i C 50 procent.

Projektkostnader/Komplexitet

Detta är kostnaderna för att genomföra själva digitaliseringsprojektet. Hur svårt det är. Nödvändiga investeringar har ökats med 50 procent i scenario A och B på grund av oförutsedd komplexitet. Scenario C har lyckats hålla sig till den ursprungliga komplexiteten.

Alternativ kostnad

Detta är ”räntan” på den totala investeringen i projektet (15 miljoner svenska kronor för scenario A och B, 10 miljoner kronor i scenario C) som går förlorad årligen. Detta därför att man valt att lägga pengarna just på detta projekt och inte annat. Här använder vi en schablon på 5 procent.

Teknisk skuld

Detta är en årlig nyttorealisering på 1 miljon kronor, oberoende av vad projektet kostar eller levererar i övrigt, så länge som det levereras i tid.

Driftskostnad

En schablon på 25 procent av prognosticerade projektkostnader.

Digital risk

Som beskrivits ovan är detta en kostnad för själva risken (i detta fall dataintrång som kostar 20 miljoner svenska kronor), minus riskreduktion genom kontroll (97 procent reduktion), plus kostnaden för kontrollen (600 000 kronor). Notera också att riskkostnaden kan reduceras ytterligare genom att ta högre kostnader för kontroller. Över tid kan detta bli en mycket lönsam investering.

Time-to-Revenue eller Time-to-Cash (TTR/TTC)

Här har vi lämnat blankt eftersom omständigheterna är unika beroende på saker som bransch, konjunkturcykel och produktcykel men också ägardirektiv och icke-cykliska parametrar. För vissa kunder är kassaflöden helt avgörande. För andra kunder är det kritiskt med snabba lanseringar. Förseningar i ett projekt kan i dessa sammanhang, precis som med nedtid under cyberattacker, få exponentiella effekter.

ROI

Detta är en rak avkastning på kapital över 60 månader, exklusive inflation eller ackumulerad räntabilitet. Inget av ovanstående scenarier når upp till digitaliseringens schablon för avkastning på 17 procent årligen i lyckade projekt. Den avgörande faktorn är faktiskt levererad nytta. Det avgör om siffrorna blir svarta eller röda på sista raden. Scenario B är ett i bästa fall tveksamt projekt. Scenario A och C är ren kapitalförstöring.

17 mars 2022

Taggar