Så räknar du på vad en cyberattack (egentligen) kostar företaget
Har du koll på vad en cyberattack skulle kosta företaget? Allt ifrån förlorade kunder och anseende till incidenthantering? Inte. Då ska du läsa den här artikeln där vi redogör för 14 faktorer - som många företag faktisk glömmer.
Den här artikeln baseras på rapporten: Beneath the surface of a cyberattack - A deeper look at business impacts, från Deloitte, 2016. Rapporten handlar om hur företag kan få en djupare insikt i om vad en cyberattack kan få för direkta och indirekta konsekvenser.
Innehåll:
14 viktiga faktorer som påverkar totalkostnaden för en cyberattack
Kända kostnader (Vad alla tänker på)
Okända kostnader (Vad många tyvärr missar)
Exempel 1: Försäkringsbolag inom sjuk- och hälsovård
Exempel 2: Tillverkningsbolag inom teknik
Så förbereder du dig på en cyberattack
Den tekniska utvecklingen har som bekant gått snabbare än säkerheten. Idag handlar det inte längre OM ni kommer att bli attackerade utan NÄR. Ett oundvikligt faktum, helt enkelt. Många av konsekvenserna av ett dataintrång är kända men det finns också många dolda kostnader som många tyvärr missar i sin analys. Men fler och fler styrelser och ledningsgrupper har på sista tiden vaknat till liv och insett att detta inte längre är något som drabbar andra utan kommer obönhörligt att till slut även drabba dem själva. Den digitala infrastrukturen är idag helt kritisk för företagen och kunderna.
En djupare kunskap om hur affärsverksamheten drabbas
Många företag har ökat sin förmåga att reagera snabbare och mer effektivt vid en incident. Men för att kunna prioritera på bästa sätt bör organisationer förstå till fullo vilka typer av cyberrisker som de står inför och kunna bedöma sannolikheten för att de inträffar. Men lika viktigt är det att förstå hur affärsverksamheten drabbas om olyckan är framme. Detta för att kunna göra smartare och mer relevanta investeringar i olika säkerhetssystem.
En av de största utmaningarna när det gäller cyberattacker är att många fortfarande verkar tro att den största kostnaden handlar om böter och avgifter. Om att informera kunder, städa upp i IT-systemen och ha rejäl övervakning. Allt detta som många pratar om är såklart viktigt - men det är faktiskt bara en del av vad en cyberattack kostar på riktigt.
Inte bara det som syns
De kostnader som vi brukar tänka på när det gäller attacker och intrång är till exempel förstörd/korrupt data eller inaktivering av kritisk information. Dessa skador har såklart en initial kostnad till en början.
Men det finns också mer betydande alternativkostnader för organisationen, som tyvärr är svårare att kvantifiera och därmed också att förstå. Därför är det också svårt att förstå den fulla effekten på hur affärsverksamheten drabbas. Men med bättre insyn och ett bredare perspektiv kan ledare förändra sättet som företag hanterar sina cyberrisker på och därmed också öka sin förmåga att återhämta sig när attacken väl är ett faktum.
14 viktiga faktorer som påverkar kostnaden för en cyberattack
Ett dataintrång kan påverkar en organisation på tusentals sätt och effekterna kan variera. Deloitte har identifierat 14 olika faktorer som påverkar kostnaden för en cyberattack. Dessa 14 faktorer är något varje företagsledare bör känna till och ha i åtanken när de förbereder sitt skydd för cyberangrepp. Deloitte har delat upp faktorerna i "kända" och "okända" kostnader. Eftersom vissa av dessa faktorer är omtalade medans andra är mer långtgående och svårare att kvantifiera och ofta dolda för allmän insyn.
Kända kostnader för ett dataintrång
1. Teknisk undersökning
Denna faktor är förknippad med alla de tekniska undersökningar och direkt utgifter för själva analysen när det kommer till att fastställa vad som hänt under ett cyberangrepp. Kostnaderna kan handla om allt ifrån kriminalteknik och analys av skadlig kod för att fastställa grundorsaken till att informera och framtida förbättringar.
2. Kommunikation till drabbade kunder
Endast kostnaden för att kommunicera och informera kunder och andra externa intressenter om exakt vad som har hänt och i vilken grad de är drabbade underskattas ofta. En siffra som Deloitte använder sig av är ungefär 25 kronor per individ. Att kommunicera till de som drabbas är oftast lagstadgat så det är inget som man som företag kan dra ner på även om man önskar.
3. Skydd av kunders tillgångar
Hit hör alla kostnader som är förknippade med tjänster för att upptäcka potentiella försök att använda till exempel kunders stulna personuppgifter för otillåtna ändamål. Detta är en kostnads som Deloitte har uppskattat till att variera från 100 till 300 kronor per kund.
4. Böter och avgifter
Här hamnar alla kostnader för böter och avgifter som tas ut till följd av bristande lagefterlevnad.
5. Hantering av kommunikation och varumärke
Hit hör de direkta kostnaderna som är knutna till att hantera extern kommunikation och övervakning av varumärket efter en incident. Enligt Deloitte så hamnade företagetens initiala PR-kampanj för att styra upp varumärket efter ett intrång på nästan 4 miljoner kronor. Många gånger så utökar dessutom också företagen sina kampanjer vid sådana här tillfällen för att ytterligare reparera skadorna för förtroendekapitalet.
6. Advokat- och rättegångskostnader
Gäller alla kostnader som handlar om allt ifrån juridisk rådgivning och förlikningar till rättegångskostnader. Hit hör också om man som företaget har betalat pengar till angriparen för att få tillbaka sin förlorade data. Deloitte nämner så höga siffror som upp emot 100 miljoner kronor när det gäller dessa kostnader - en kostnad som ofta är utdragen under flera år.
7. Ökade investeringar i Cyber Security-lösningar
Som en följd av ett dataintrång så ökar företagen omfattningen av sina säkerhetslösningar på många olika områden. Både när det gäller monitorering och inhyrda konsulter.
Okända (eller mindre kända) kostnader för ett dataintrång
8. Höjda försäkringspremier
Som en följ av ett dataintrång ökar också kostnaderna när det kommer till att förnya försäkringar när det gäller cybersäkerhet. Det finns faktiskt relativt lite offentlig information tillgänglig om premiehöjningar, men Deloittes egna undersökning bland ledande leverantörer av cyberförsäkringar visade en ökning av sin premier med upp till 200 procent för samma försäkring som tidigare. Vissa försäkringsbolag uppgav att de vid tillfällen också nekat kunder försäkringar eftersom de inte uppfyllde villkoren efter en incident.
9. Sänkt kreditvärdighet / högre låneräntor
Många företag drabbas också av sänkt kreditvärdighet vilket resulterar i att de får högre låneräntor än tidigare. Både när det gäller att ta nya lån eller omförhandla befintliga skulder. Organisationer som har varit utsatta för ett dataintrång uppfattas helt enkelt som låntagare med högre risk efter de utsatts för dataintrång.
10. Driftstörningar
Kostnader som är förknippade med att reparera system, infrastruktur eller bygga om funktioner som har förstörts vid intrånget. Det kan vara allt från leveranser av produkter och tjänster till att inte kunna koppla upp rätt typ av utrustning vid en sjukhus. Detta är en mycket rörlig kostnad som kan vara extremt olika vid olika typer av intrång.
11. Högre kostnad för att förvärva en ny kund
Vad kostar det att få in en kund? Avdelningar på sälj och marknad brukar sätta ett pris på vad varje ny kund är värd och därmed också veta - ofta så delar man kostnader för sälj och marknadsföring med antalet nya kunder man fått in och får en summa. Denna summan har visat sig stiga kraftigt för företag som blivit utsatta för ett cyberattack - det blir helt enkelt dyrare att få in en ny kund.
12. Förlorade kunder
För att få en prislapp på detta så måste man som företag ha koll på vad en genomsnittlig kund är värd - då får man samtidigt också en prislapp på vad man har förlorat i tappade kunder.
13. Devalvering av varumärket
Kanske en av de svåraste sakerna att räkna på. Effekterna på en minskning av varumärkets styrka kan konkret ses i förlusten av både befintliga och nya kunder. När man jämför styrkan i sitt varumärke före och efter en cyberattack är det viktigt att ha bra koll på vad varumärket var värt innan. Att bygga ett varumärke är bland de svåraste som som finns - men enkelt att rasera.
14. Förlust av immateriell egendom
Förluster av immateriella tillgångar handlar om kostnader som till exempel affärshemligheter, upphovsrätter, investeringsplaner eller annan konfidentiell information som kan leda till förlust av konkurrensfördelar, eller i värsta fall att företaget kanske måste göra om stora jobb som det har tagit flera år att slutföra.
Cyberattackens tre faser
Cyberattackens 14 olika faktorer utspelar sig över tre olika faser. Ofta överlappar de varandra och sträcker sig över lite olika tid, beroende på typ av attack.
Fas 1: Incidenten
Den första fasen sträcker sig från attackens första minut till dagar eller veckor efter att den upptäckts. I denna fas ta beslut som handlar om att begränsa och minimera den uppkomna skadan samt att informera externa parter om vad som har hänt. Här inleder man också analysen om vad som hände för att kunna täppa till eventuella säkerhetsluckor och hål så snabbt som möjligt.
Fas 2: Incidenthanteringen
Den här perioden handlar om veckorna eller månaderna efter attacken. Här försöker man att minska och ta itu med de direkta konsekvenserna av skadorna som uppkommit. Det kan handlar om allt ifrån att bygga upp ny eller laga befintlig infrastruktur till att skademinimera affärsrelationer och svara på juridiska frågor.
Fas 3: Återhämtningen
Den sista fasen varar i månader och ofta i flera år efter attacken. Det är också ofta här som de stora kostnaderna börjar synas. Här gäller det att bygga upp förlorad verksamhet igen och förhindra att liknande händelser inträffar i framtiden. Det kan handlar om att designa om affärssystem, applikationer eller utveckla nya strategier i grunden. Bygga säkerhetslösningar, öka sin beredskapskapacitet och återuppbygga sitt rykte. Allt med målet att ta sig ur krisen så fort som möjligt och se till att riskerna för att det händer igen är så små som möjligt.
Exempel på två stora cyberattacker
För att visa hur dessa 14 olika faktorer spelar en stor roll när en attack sker i verkligheten har Deloitte byggt två fiktiva exempel som illustreras nedan. Företagen och situationerna är påhittade men illustrerar på ett mycket verklighetstroget konsekvenserna av en riktig attack.
Exempel 1: Försäkringsbolag inom sjuk- och hälsovård
Om företaget:
- 600 miljarder SEK årliga intäkter
- 50 000 anställda
- 23,5 miljoner medlemmar
- Betalar 70 miljoner SEK årlig premie för en cyberförsäkring på 1 miljard SEK
Om attacken
En bärbar dator som innehöll 2,8 miljoner personuppgifter stals från företagets leverantör av programvara för hälso- och sjukvårdsanalys. När intrånget upptäcktes fann företaget att angriparen dessutom lyckats ladda ned ytterligare en miljon patientjournaler från applikationsdatabasen.
Kända kostnader för dataintrånget
- Teknisk undersökning - 10 miljoner SEK
- Kommunikation till drabbade kunder - 100 miljoner SEK
- Skydd av kunders tillgångar - 210 miljoner SEK
- Böter och avgifter - 20 miljoner SEK
- Hantering av kommunikation och varumärke - 10 miljoner SEK
- Advokat- och rättegångskostnader - 100 miljoner SEK
- Ökade investeringar i Cyber Security-lösningar - 140 miljoner SEK
Okända kostnader för dataintrånget
- Höjda försäkringspremier - 400 miljoner SEK
- Sänkt kreditvärdighet / högre låneräntor- 600 miljoner SEK
- Driftstörningar - 300 miljoner SEK
- Högre kostnad för att förvärva en ny kund - 4,3 miljarder SEK
- Förlorade kunder - 8,3 miljarder SEK
- Devalvering av varumärket - 2,3 miljarder SEK
TOTAL KOSTNAD: 16,7 miljarder SEK
Exempel 2: Tillverkningsbolag inom teknik
Om företaget
400 miljarder SEK årliga intäkter
60 000 anställda
Betalar 37 miljoner SEK årligen för 1,5 miljarder SEK i cyberförsäkring
Om attacken
När teknikföretaget var sex månader från en större release av en rad nya IoT-produkter skedde ett intrång. 30 dagar efter intrånget var företagets samtliga nya IoT-produkter ute på den globala marknaden och ett företag hade redan börjat att tillverka kopior.
Kända kostnader för dataintrånget
- Teknisk undersökning - kostnad: 10 miljoner SEK
- Hantering av kommunikation och varumärke - 10 miljoner SEK
- Advokat- och rättegångskostnader - 110 miljoner SEK
- Ökade investeringar i Cyber Security-lösningar - 130 miljoner SEK
Okända kostnader för dataintrånget
- Höjda försäkringspremier - 10 miljoner SEK
- Driftstörningar - 12 miljarder SEK
- Förlust av immateriell egendom - 1.51 miljarder SEK
- Förlorade kunder - 16 miljarder SEK
- Devalvering av varumärket - 2,8 miljarder SEK
TOTAL KOSTNAD: 32.6 miljarder SEK
Gör skillnad genom att förbereda dig
Trots att många cyberattacker får stor uppmärksamhet så ser vi sällan vad som händer inne i organisationerna som drabbas. Hur lång tid tar skadorna att reparera? Hur påverkas företagen på lång sikt? På vilket sätt förändrar en cyberattack ett företag? Alla de här frågorna har vi faktiskt ganska lite insikt om.
Därför är det viktigt att hjälpa ledare och företag att få en djupare och bredare förståelse för vilka konsekvenser en cyberattack får. På så sätt kan vi bli bättre informerade och därmed också skapa bättre skydd och bättre bättre förmåga till återhämtning när en attack är ett faktum.
Vi pratar för lite om de faktorer som påverkar mest
I det första exemplet om försäkringsbolaget inom sjukvården som får patientjournaler stulna är det just de mindre kända faktorerna de som orsaker mest betydande skada för affärsverksamheten. Där kostnaden för förlorade kunder med tiden uppgått till ett värde för flera miljarder kronor.
Effekten av en cyberattack utspelar sig över lång tid
De omedelbara och direkta kostnaderna för en cyberattack är höga. Men det är ingenting mot de långsiktiga kostnaderna som ett förbrukat förtroendekapital kan föra med sig. När man jämför kostnaderna för de tekniska skadorna med de affärsmässiga skadorna så blir det helt uppenbart vad vi måste börja prata mer om. En cyberattack är initialt en teknisk ansträngning, men sedan övergår den i något mer betydande. Det är verkligen något som många glömmer, att det kan ta många år för lönsamheten att återhämta sig till samma nivå som innan attacken.
Vad du gör spelar roll
Vad du gör innan en attack spelar roll. Vad du gör efter en attack spelar roll. Även om det på lång sikt är oundvikligt att drabbas av en cyberattack så kan du som företag påverka skadans omfattning. Att ha goda rapporteringsfunktioner och relationer till alla partners och leverantörer som man som företag arbetar med kan göra stor skillnad. Att snabbt kunna rapportera ett fel för att sedan snabbt kunna vidta åtgärder kan göra enorm skillnad. För ett stort företag kan en så enkel sak som snabbhet i början av en incident göra att skadan begränsas och på så sätt undviker enorma utgifter i framtiden.
Ett brett perspektiv ökar förmågan att stå emot ett angrepp
Avslutningsvis vi uppmana alla på ledningsnivå i företag att utmana alla vanliga antagande om konsekvenserna för en cyberattack. Det är viktigt att vi börjar intressera oss för de mer långtgående kostnaderna för ett angrepp. På så sätt kan man få en bättre helhetsbild och också en bättre förståelse av vilket cyberförsvar man måste ha på plats som företag.
Vilken typ av cyberförsvar krävs för din verksamhet? Det är värt att ta reda på det.
Vi lovar.
Läs även:
Uppdatera din DR-plan med Ransomware försvar
Vad säger MSB om Cyberhygien (inspelat webinar)
Lär dig mer om hoten och hur det fungerar
Hur testar du ditt data och blir proaktiv?