Vi behöver bli bättre på att räkna på vår digitalisering – och den säkerhetsrisk vi tar. Här är modellen som hjälper dig räkna rätt.
I analysbyrån Radars rapport ”Från IT-säkerhet till digital affärsrisk” presenteras en ny modell för att räkna på digital affärsrisk. Modellen ska fungera som en brygga mellan traditionella finansiella riskkalkyler och tekniska IT-ramverk. Precis som vi beräknar kostnader för vilken risk som helst, måste vi lära oss att sätta ett pris på den digitala affärsrisken som vi bygger upp i ett företag.
– För att det ska vara möjligt måste vi lära oss att räkna på vad digital affärsrisk egentligen kostar. Vilka kostnader riskerar vi om vi struntar i ett endpoint-skydd och blir utsatta för en lyckad malware-attack? Det är bara att öppna valfri tidning så ser vi att cyberhotet är ständigt närvarande, säger Freddie Rinderud, senior rådgivare på Radar.
Räkna på din digitala risk i 3 steg
Så här fungerar modellen för digital affärsrisk i korthet. För mer information om hur modellen är uppbyggd, läs rapporten ”Från IT-säkerhet till digital affärsrisk”.
Till rapporten1. Vad kostar en lyckad IT-attack?
Olika typer av IT-angrepp påverkar olika delar av verksamheten. I tabellen nedan har vi placerat in två av de vanligaste angreppen: DDos-attack och Ransomware.
Beräkningsmodell för cybersäkerhetsriskens kostnad
Typ av attack | |||
---|---|---|---|
DDoS | Ransomware | ||
Verksamhetspåverkan | Produktionsbortfall | ||
Löner och Svinn | |||
Återskapande | |||
Finansiell skada | Förlorade intäkter | ||
Stöld och bedrägeri | |||
Regulatorisk skada | GDPR | ||
Kreditdata | |||
Patientdata | |||
Varumärke/Goodwill | Kunder | ||
Samarbetspartners | |||
Alternativkostnad | 1,05 | ||
Tidsfaktor | 1,1 |
Verksamhetspåverkan
Direkta kostnader relaterade till produktionsbortfall. Löner för personal som inte kan arbeta produktivt, svinn på till exempel färskvaror (se attacken på Coop) eller material. Kostnader för återskapande, som återställande av databaser.
Finansiell skada
Vanligtvis intäkter, men inte sällan också ren stöld eller bedrägerier. Eller stöld av immateriella rättigheter, intellektuellt kapital, stämningar, förlikning, rättegångskostnader med mera.
Regulatorisk skada
Baserat på data från över 13 000 unika (lyckade) attacker finns mycket god kunskap vad gäller kostnader för konsekvenser av förlorad data fördelat över tre olika dataklasser. Till detta kan du också i vissa fall lägga till eventuella böter utfärdade av myndigheter.
Varumärke/Goodwill
Omedelbar skada för företaget i form av sämre rykte som påverkar allt ifrån kundrelationer till rekrytering, möjligheter till externa samarbeten och sämre marknadspotential vid nyetableringar.
2. Vad kostar det att skydda sig mot IT-attacker?
När du räknat ut vad ett angrepp kostar dig, kan du föra över den kostnaden till kalkylen nedan. Det är åtgärder du kan ta för att skydda dig mot de vanligaste hoten. Här har vi lagt in 20 miljoner svenska kronor som schablon i kostnad för ett lyckat cyberangrepp. En relativt låg siffra (se fotnot ovan). Exakt hur mycket en attack kostar beror dock på vem du är och vilken typ av verksamhet du bedriver. Observera att siffrorna baseras på stora företag. För dig som är småföretagare skalas förstås både kostnaden för attacker och kostnaden för att skydda dig ner.
Beräkningsmodell för riskkontrollers kostnad och ROI
Hot | Motmedel: Riskkontroll | Kontrollens kostnad | Risk-kostnad | RR faktor | ROI (upp till) |
---|---|---|---|---|---|
Advanced Persistent Threat | Security Information and Event Management | 1 300 000 | 20 000 000 | 48% | ≤ 638% |
Ransomware | Endpoint Protection | 600 000 | 20 000 000 | 97% | ≤ 3133% |
Compromised credentials | Zero Trust Security | 1 600 000 | 20 000 000 | 36% | ≤ 350% |
Phishing | Security Training | 5 000 000 | 20 000 000 | 85% | ≤ 240% |
Misconfiguration | Security Testing | 300 000 | 20 000 000 | 25% | ≤ 1567% |
- SIEM: Radars egna siffror för ett införandeprojekt och första 12 månaders kostnader inkluderade.
- EP: Radars egna siffror på cirka 600 kr/användare/år.
- ZTS: Radars egna siffror på cirka 1 600 kr/användare/år.
- Säkerhetsutbildning: Radars schablon på cirka 5 000 kr/anställd/år.
- Säkerhetsrevision: Radars egna siffror, revisionsbyrå med cybersäkerhetsrenommé, revision av processer, pen-tester, med mera, samt en revision per år á 300 000 kr.
Radar: Digital och säkerhetsmognad i små och medelstora svenska företag. September 2021.
Fotnot: Kalkylen baseras på en hypotetiska schablonvärden. Detta från en verksamhet med cirka 1 000 anställda, 2 klienter per anställd, 100 servrar, 13 procent av leveransen i form av molntjänster och så vidare. Med en omsättning på drygt 3 miljarder svenska kronor, i tillverkande industri med motsvarande förväntad digitaliseringsgrad. Riskkostnaden baseras på dataintrång, är rak och något underskattad jämfört med internationellt snitt från IBM som nämnts ovan. Riskreduktionsfaktorn (RR) är en sammanvägd bedömning utifrån Radars siffror, leverantörernas egna uppgifter och öppna källor. ROI gäller för applikation av en enskild kontroll oberoende av annat. Ju fler kontroller som appliceras desto mer sjunker ROI:n per kontroll, samtidigt som den totala cybersäkerheten ökar.
Fakta
Malware och ransomware
Malware är samlingsnamnet på skadlig programvara. Det är oönskade datorprogram eller delar av datorprogram som har utvecklats i syfte att störa IT-systemet. De kan samla in information i smyg eller utnyttja datorn för ändamål som inte gagnar användaren, såsom utskick av skräppost, intrång på andra datorer. Ransomware är en typ av malware vars syfte är utpressning, ofta genom att ta filer som gisslan via kryptering. För att häva krypteringen eller återfå kontrollen över datorn kräver utpressningsprogrammet en lösensumma eller eventuellt annan handling som gynnar förövaren som ligger bakom programmet.
DDos-attack
En denial-of-service-attack (DoS) en attack mot ett datasystem i syfte att hindra normal användning av systemet. Den vanligaste varianten är en överbelastningsattack. En DDoS-attack (Distributed denial-of-service) bygger på att en stor mängd anrop, samtidigt och kontinuerligt från flera datorer, skickas till ett datorsystem eller nätverk. Till exempel kan anropen begära stora filer från en webbserver. Det utsatta systemet överbelastas av den stora mängden anrop och endast en liten kapacitet blir kvar för övrig kommunikation.
Legacy
Har du en applikation som inte helt lever upp till förväntningarna vad gäller modern IT-drift och funktionalitet, har du ett så kallat legacy-system. Några stora utmaningar med legacy-system är att:
- De kräver mycket underhåll och binder upp tid och värdefulla resurser som skulle kunna läggas på innovation.
- De låser in dig i gamla, stela IT-miljöer (vilket också kan leda till säkerhetsproblem).
- De har onödigt höga kostnader.
- De har låg prestanda och får driftavbrott.
3. Vad blir kostnaden för din digitalisering?
Nu tar du din digitala risk från modellen ovan och för in denna i en modell för affärsrisk, enligt nedan. Det vill säga, du tar kostnaden för ett lyckat angrepp (20 miljoner SEK), minus riskreduktionen genom kontroll plus kostnaden för kontrollen. I exemplet har vi valt Ransomware. Det innebär 20 miljoner reducerat med 97 procent, plus kostnaden för kontrollen: 600 000 SEK. Totalt 1 200 000 SEK. Genom att föra in din digitala risk i din modell för affärsrisk, får du en mer rättvisande bild av vad din digitalisering faktiskt kostar.
Kalkylen nedan innehåller ett digitaliseringsprojekt med tre scenarier - A, B och C. Alla har utgångspunkt i en investering om 10 miljoner svenska kronor. Projektet ska effektivisera din verksamhet med 5 miljoner per år. Investeringen har en avskrivningsperiod på 60 månader samtidigt som löpande kostnader skall täckas under perioden. Ytterligare nyttor i form av reducering av teknisk skuld (ersättning av legacy) beräknas uppgå till 1 miljon kronor per år.
Återigen, kom ihåg att dessa siffror gäller stora företag. Du som mindre företag behöver minska summorna efter storleken på just ditt företag.
Beräkningsmodell för cybersäkerhetsriskens kostnad
Scenario | |||
A | B | C | |
Beräknad nytta | 5 000 000 | 5 000 000 | 5 000 000 |
---|---|---|---|
Sannolikt utfall | 2 500 000 | 5 000 000 | 2 500 000 |
Projektkostnader | 2 000 000 | 2 000 000 | 2 000 000 |
Komplexitet | 3 000 000 | 3 000 000 | 2 000 000 |
Alt. kostnad | 750 000 | 750 000 | 500 000 |
Teknisk skuld | 1 000 000 | 1 000 000 | 1 000 000 |
Driftskostnad | 750 000 | 750 000 | 500 000 |
Digital risk | 1 200 000 | 1 200 000 | 1 200 000 |
Netto/år | -2 200 000 | 300 000 | -700 000 |
TTR/TTC | x | x | x |
ROI 60 mån | -73% | 10% | -35% |
Genom att använda denna modell kan du räkna kvantitativt på vad din digitalisering faktiskt kostar. Denna analys med kostnadsfokus gör att du får med din digitala risk i beräkningarna på ett korrekt sätt. Låt magkänslan gå i pension.
Beräknad nytta/Sannolikt utfall
I scenario A beräknas effektiviseringen leda till 50 procent av de fem miljonerna per år. I scenario B beräknas de bli 100 procent och i C 50 procent.
Projektkostnader/Komplexitet
Detta är kostnaderna för att genomföra själva digitaliseringsprojektet. Hur svårt det är. Nödvändiga investeringar har ökats med 50 procent i scenario A och B på grund av oförutsedd komplexitet. Scenario C har lyckats hålla sig till den ursprungliga komplexiteten.
Alternativ kostnad
Detta är ”räntan” på den totala investeringen i projektet (15 miljoner svenska kronor för scenario A och B, 10 miljoner kronor i scenario C) som går förlorad årligen. Detta därför att man valt att lägga pengarna just på detta projekt och inte annat. Här använder vi en schablon på 5 procent.
Teknisk skuld
Detta är en årlig nyttorealisering på 1 miljon kronor, oberoende av vad projektet kostar eller levererar i övrigt, så länge som det levereras i tid.
Driftskostnad
En schablon på 25 procent av prognosticerade projektkostnader.
Digital risk
Som beskrivits ovan är detta en kostnad för själva risken (i detta fall dataintrång som kostar 20 miljoner svenska kronor), minus riskreduktion genom kontroll (97 procent reduktion), plus kostnaden för kontrollen (600 000 kronor). Notera också att riskkostnaden kan reduceras ytterligare genom att ta högre kostnader för kontroller. Över tid kan detta bli en mycket lönsam investering.
Time-to-Revenue eller Time-to-Cash (TTR/TTC)
Här har vi lämnat blankt eftersom omständigheterna är unika beroende på saker som bransch, konjunkturcykel och produktcykel men också ägardirektiv och icke-cykliska parametrar. För vissa kunder är kassaflöden helt avgörande. För andra kunder är det kritiskt med snabba lanseringar. Förseningar i ett projekt kan i dessa sammanhang, precis som med nedtid under cyberattacker, få exponentiella effekter.
ROI
Detta är en rak avkastning på kapital över 60 månader, exklusive inflation eller ackumulerad räntabilitet. Inget av ovanstående scenarier når upp till digitaliseringens schablon för avkastning på 17 procent årligen i lyckade projekt. Den avgörande faktorn är faktiskt levererad nytta. Det avgör om siffrorna blir svarta eller röda på sista raden. Scenario B är ett i bästa fall tveksamt projekt. Scenario A och C är ren kapitalförstöring.
Text: Robert Långström