Martin Ernst bloghoved

Cyberangreb – hvad koster det din forretning, hvis det sker for dig?

Illustration: pexels

I min rolle som business case ekspert, så får jeg tit spørgsmålet ”Hvad er business casen for (indsæt selv et emne her)”. Alt har været i spil her; lige fra en lægtehammer og vildtmarksbade over marsvin og el-ladcykler. Fantasien vil ingen ende tage. Mere relevante emner i et forretningsperspektiv er dog, hvad business casen er for CRM, IoT, Blockchain etc.

Senest pga. debatten omkring cybertruslen er spørgsmålet; hvad business casen er i forbindelse med cybertruslen? Det talte jeg med en ven af huset, Mogens Nørgaard, om. Han slår netop på tromme for den øget risiko for cyberangreb. Samme tema behandles i en nylig artikel i Version2.

Mit umiddelbare svar ligger i skuffen med business casen for gement tyveri. Her er risikoelementerne ved en hacking:

• Omkostninger til generhvervelse af stjålne ejendele
• Omkostninger/tid, der skal bruges på genetablering/generhvervelse
• Tab af potentielle indtægter dels pga. produktionsudstyr er utilgængelig og dels pga. virksomhedshemmeligheder er blevet kompromitteret, og nu bruges af en konkurrent
• Repressalier/krav i relation til følsomme data, som er kommet i tredje mands hænder
• Image-tab i forbindelse med kompromittering

Alt sammen ganget med en sandsynlighed for det sker.

Den reelle trussel

Nuvel – nu skal vi tættere på cyber end indbo. For det er en meget seriøs trussel. Hvis det står til trone – alt det, som Mogens fremfører i disse tider (og der plejer at være bundtræk i det, han siger), så er vi i den grad under angreb. Og langt størsteparten er fra Kina.

Mogens sammenligner det med, at vores hjem er uden døre og vinduer. Alle kan komme og gå. Jeg tænker, at man også kan sammenligne det med, at vi har fået installeret en dør med lås, men Kina (som et eksempel) har hovednøglen og kan komme ind, når de har lyst. Så vi skal gøre noget mere for at sikre os mod gement tyveri.

Dvs. den sandsynlighed, som jeg talte om, er tæt på 100%. Maersk er ikke et enestående tilfælde, heller ikke den tyske regering eller et hotel mistede data. Det er nok også derfor Norge ikke har tillid til Huawei og vores egen Forsvarsminister får en række spørgsmål.
Senest er det aktualiseret ved regeringens tiltag omkring CsCF.

Omkostninger til generhvervelse af stjålne ejendele

Fra hjemmet ved vi alle, at hvis der har været indbrud, så skal vi i gang med købe nyt. Man kan lige høre ejendomsmægler Jeppe K sige: ”Nyt, nyt, nyt”.
Men nyt er ikke altid fedt. Vi kender alle til eksemplet med, at en harddisk bliver låst eller stjålet af 3. mand, som vil have penge for at låse den op. I værste fald skal vi ud og købe en ny, men det genskaber jo ikke indholdet af den gamle. Specielt hvis der ikke er taget backup af børnebillederne de sidste ti år eller taget backup af ens produktionsopsætning, så kan man ikke genskabe sit produktionsapparat.

Omkostninger/tid brugt på genetablering/generhvervelse

Fra et indbrud ved vi, at vi skal i gang med at samle glasskår op fra den ødelagte terrassedør, som de brugte til at komme ind i huset, rejse de væltede møbler etc.
På helt samme måde, så skal man indregne tiden og evt. køb af leverandør til genetablering/generhvervelse af ens ødelagte IT. Det kender vi alt for godt. Vi skal bruge en del tid på at etablere os igen.

Kan I med sikkerhed sige, at I har en plan for total disaster-recovery? Ved I, hvor længe der vil gå fra jeres produktionssystem/-miljø er smadret til ukendelighed til det er oppe at køre igen?

Rigtig mange af jer ved det ikke. Og mange af jer ved ikke, hvordan man skal genetablere det. Og det koster dyrt!

Tab af potentielle indtægter dels pga. produktionsudstyr er utilgængelig og dels pga. virksomhedshemmeligheder er blevet kompromitteret og nu bruges af en konkurrent

Jeg har tidligere skrevet en blog på businesscase.dk om, hvad det koster. Den var også skrevet i relation til Black Friday – men den er lige så aktuel alle andre dage af året. Den havde den mundrette titel ”Det er nederen at være nede – og det koster” – dels er der et tab i selve nedetiden, men der kan også være et varigt tab, da kunderne har søgt et andet sted hen.
Der er en fin lille model, som også er gengivet i min seneste bog.

Et er at være ”nede” et andet er, at ens forretningsmodel er blevet kopieret. Her har kineserne været på spil før. De har i flere omgange planket et eller andet fra os i vesten, produceret og solgt det. Derefter har kineserne lært det, de skal lære og kan selv. Huaweis net er et eksempel, da det oprindeligt skulle være planket fra Cisco. Jeg er ret sikker på, at Cisco piber lidt i denne tid – for ikke at nævne US regering, som angiveligvis også havde en hovednøgle, som kineserne nu har.

Repressalier/krav i relation til at følsomme data er kommet i tredje mands hænder

Nu kommer vi så til det, som er lidt mere kildent, at man mister fortrolig information. Hvad koster det?
Ud over en kæmpe dummebøde af den store størrelse, så kommer det meget an på, hvilken branche man er i. Dog virker det til, at virksomhederne ikke betaler for, at tabt personlig data kommer i andre folks hænder. Hvis det sker, bliver det gemt godt.

Image-tab i forbindelse med kompromittering.

Det tabte ansigt er svær at sætte et beløb på, men alligevel kan det godt lade sig gøre. Stil jer det spørgsmål, hvor mange kunder vil I tabe, hvis kunderne mistede tillid til, at I har en stabil forretning – dvs. en forretning, der ikke kan modstå cyberangreb? Det kan få både personlige konsekvenser og konsekvenser for den organisation, man arbejder for. Så det har man ikke lyst til, hvis man er en nogenlunde velfungerende ansvarlig person.

Det her handler alene om risikovillighed – eller dumhed vil nogle påstå. For ”rigtige mænd” tager ikke backup, de græder bare meget mere end dem, som gør.

Relateret indhold

Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Tine Løvstrand

Ja, der er ingen tvivl om at et cyberangreb har omkostninger, nogle kan være særdeles vanskelige at vurdere på forhånd.

Vigtigt er det at pointere, at det aldrig må koste mere at beskytte aktivet end det, aktivet er værd.
Hvis en dims har en værdi for fimaet på 100 kr, giver det ikke mening at bruge mere end 99 kr på at beskytte denne dims.

Eller sagt på en anden måde, har du en meget værdifuld dims for din virksomhed, som er 100 kr værd, kan du bruge op til 99 kr på at sikre den.

  • 1
  • 0
Martin J. Ernst Blogger

Eller sagt på en anden måde, har du en meget værdifuld dims for din virksomhed, som er 100 kr værd, kan du bruge op til 99 kr på at sikre den.

Tine, jeg er helt enig. Her kender mig også prisen på grisen.

Men det er specielt de to sidste bidrag "Repressalier/krav i relation til at følsomme data er kommet i tredje mands hænder" og "Image-tab i forbindelse med kompromittering", som er svære at værdisætte. Hvordan vil du værdisætte det?

  • 0
  • 0
Tine Løvstrand

Jeg er helt på linje med dig i forhold til vanskeligheden af at værdisætte feks imagetab mm, og jeg har ikke noget godt bud på hvad det rigtige svar er.
Det var også derfor jeg skrev at "nogle kan være særdeles vanskelige at vurdere på forhånd"

Image tab er i sig selv en meget kompliceret størrelse, som afhænger af mange faktorer.
I den forbindelse kan jeg kun fremhæve Mærsk og deres krisehåndtering i særdeleshed deres kommunikation på et eksempel til efterfølgelse.
Jeg menes at have læst at deres image tab var minimalt grundet deres håndtering af krisen.

Kan man deraf konkludere at god krisehåndtering er omvendt proportional med imagetab??

  • 2
  • 0
Mike Mikjær Blogger

"Han slår netop på tromme for den øget risiko for cyberangreb."

... for den øgeDE risiko ...

"Her er risikoelementerne ved en hacking"

Her er risikoelementerne ved et hackerangreb.

Derudover er det ikke nødvendigvis alle "cybertrusler" der er hackerangreb.

Det er iøvrigt heller ikke noget nyt at vi er under angreb, det nye er at vi er begyndt at tale om det. At store virksomheder og særligt det offentligt er lidt rundforvirrede er der heller ikke noget nyt i.

Der er helt sikkert grundlag for at sælge noget IT Sikkerhedssovs til mellemstore virksomheder og offentlige styrelser i disse dage :)

  • 0
  • 2
Morten Fordsmand

Du gør selvfølgelig fint rede for omkostningerne, selv om jeg savner den sædvanlige GDPR bøde, som man jo også kan ifalde hvis man taber persondata.

Herudover kan man jo også tabe markedsandel hvis en webservice er nede og kunderne vender sig til at gå et andet sted hen, men den er svær at kvantificere.

Men du skriver jo netoip businesscase og her bliver det lidt uldent:

1) Hvad nu hvis det maksimale tab er større end virksomheden kan bære?
2) Der er jo ingen tiltag, der giver 100% beskyttelse mod Cyberangreb?

Det er netop her det bliver lidt mere spændende når vi i fremtiden skal argumentere for Cybersikkerhed når sexappealen er dampet af igen.

(I øvrigt minder denne diskussion en del om baggrunden for beredskabsplanlægning / disaster recovery, selv om det vist egnetlig aldrig har været hypet eller sexet)

  • 0
  • 0
Claus Bobjerg Juul

Kan man deraf konkludere at god krisehåndtering er omvendt proportional med imagetab??

Måske 1. gang det sker, men hvad med 2. gang og hvis det samme sker for en anden virksomhed i morgen og de håndtere det lige så godt, vil imagetabet være det samme, eller vil de blive vurderet hårdere fordi dette er sket en gang tidligere, omend til en anden virksomhed.

  • 1
  • 0
Martin J. Ernst Blogger

Du gør selvfølgelig fint rede for omkostningerne, selv om jeg savner den sædvanlige GDPR bøde, som man jo også kan ifalde hvis man taber persondata.

Tak for de pæne ord.

Men du skriver den sædvanlige GDPR bøde. Det eneste som kommer tæt på men alligevel ikke er blevet til en bøde? Jf. https://www.fdih.dk/nyheder/2018/november-18/forste-gdpr-bode-er-sendt-a...
Men har du eksempler på disse bøder?

Mht. den manglende sexappeal er jo skrammende, men ledelsen er ikke sin rolle værdig, hvis de ikke tænker i risci ind. Uanset om man taler om risici relateret til personer, finansielt, teknisk eller truslen fra cyperspace. Som jeg kan forstå det, så er risikoafdækning i virksomheder virkelig en forsømt disiplin.

  • 0
  • 0
Martin J. Ernst Blogger

Kan man deraf konkludere at god krisehåndtering er omvendt proportional med imagetab??

Der er noget kan tyde på det, hvis man tager Maersk som eksempel.

Men som Claus Juul skriver, så afhænger det af om det sker igen. Det og en 1000 andre ting kan være med til at gøre det svært at isolere betragtninger, så man kan se den kasualitet, som du har set.

Hvis man tager Danske Bank som et eksempel, så lider de lige nu under et seriøst imagetab. Selv den bedste krisehåndtering er bare ikke nok i deres tilfælde. Jeg tænker, at det bl.a. handler om at branchen generelt har flere eksempler på "sorte får" over en meget lan periode. Dvs. man har ikke goodwill på samme måde som Maersk har det. Det understøtter faktisk også Claus' bemærkning.

Hvad kunne det ellers være? Hit me!

  • 1
  • 0
Jesper Frimann

Hvad kunne det ellers være? Hit me!


Jeg tror lidt problemet er manglen på (nok) konsekvens i store organisationer, koblet med den 'short term gains' "liderlighed", som måske igen skyldes, at medarbejdere (og det er især relevant i denne kontekst for ledere) er kortere tid i en stilling.

Det betyder, at appetitten for risiko i en organisation bliver større, og villigheden til at lave initiativer af typen 'det lange træk' som IT-sikkerhed typisk er. Også selv om det ikke er noget man ønsker fra topledelsens side.

// Jesper

  • 0
  • 0
Hans Nielsen

Eller sagt på en anden måde, har du en meget værdifuld dims for din virksomhed, som er 100 kr værd, kan du bruge op til 99 kr på at sikre den.

Du glemmer nu de efter følgende børder og tab af troværdighed.

Hvis du får en bøde på 100.000 kr, og mister omsætning på 10% af 250.000 på grund af nedetider og efterfølgene fravalg fra kunder.

Så har det kostet dig 350000, at spare 100 kr.

Men du kan da hørre Maersk, om de har samme købmands tilgang til sikkerhed.

  • 0
  • 0
Martin J. Ernst Blogger

Jeg tror lidt problemet er manglen på (nok) konsekvens i store organisationer, koblet med den 'short term gains' "liderlighed", som måske igen skyldes, at medarbejdere (og det er især relevant i denne kontekst for ledere) er kortere tid i en stilling.

Jesper, den problemstilling kommer et par kon-kollegaer ind på i denne artikel: https://ledelse.borsen.dk/artikel/1/374959/er_der_overhovedet_en_busines...

"I den klassiske model er virksomhedens retning drevet af shareholders kortsigtede tankegang og profitrealiserende strategi, som lægger pres på lederne. For den moderne leder er det derfor svært at udleve de værdier, som han/hun er ansat til at efterleve. Dette er oftest på bekostning af de vækst- og udviklingsplaner, som ledelsen har skabt med øje for virksomhedens stakeholders – hele vejen fra leverandører og distributører til medarbejdere og kunder. Det skaber et splittet lederskab og et system i ubalance."

  • 2
  • 0
Tine Løvstrand

"Hvis du får en bøde på 100.000 kr, og mister omsætning på 10% af 250.000 på grund af nedetider og efterfølgene fravalg fra kunder.

Så har det kostet dig 350000, at spare 100 kr."

Men så er dimsen i dette tilfælde jo reelt også 350.000 kr værd for virksomheden - eller rettere konsekvensen ved ikke at gøre noget er 350.000 kr, og dermed kan du bruge op til 349.999 kr på at sikre at det ikke sker.

  • 0
  • 0
Jens Bech Madsen

Hvis man tager Danske Bank som et eksempel, så lider de lige nu under et seriøst imagetab. Selv den bedste krisehåndtering er bare ikke nok i deres tilfælde.

Hvordan kan man vide det? Jeg tror en stor del af deres store image-tab netop skyldes deres elendige krisehåndtering. Hvis man fra starten havde håndteret problemet på en ordentlig (Mærsk-definition af ordentlighed) måde, så ville problemet nok ikke være stå stort.

Danske Bank ville givetvis stadig have et problem i forbindelse med hvidvask-sagen, men offentlighedens opfattelse af bankens måde at drive forretning på kunne have været væsentligt bedre end tilfældet er i dag.

  • 0
  • 0
Povl H. Pedersen

er vel noget der giver løbende fejl/ændringer i systemer.
Forestil dig at gamle filer eksmpelvis krypteres løbende, og man først opdager det efter et år, når alle backups er overskrevne ?

Eller andre systemet hvor man ikke rigtigt kan restore, da man ikke aner hvad der er op og ned.

Derudover har forretningen også en cost til at gøre et eller andet så det ikke sker igen. For nogle virksomheder hører man om mange penge der pumpes i værktøjer som symbolpolitik.

  • 0
  • 0
Log ind eller Opret konto for at kommentere