Af Martin J. Ernst, Head of Financial Services i Devoteam
I en tid hvor digitale trusler er en konstant realitet, er cybersikkerhed blevet et essentielt fokusområde for virksomheder verden over. Men selvom nødvendigheden af cybersikkerhed er indlysende, kan det være en udfordring at konkretisere dens værdi og legitimere investeringer på dette område.
Denne artikel undersøger business casen for cybersikkerhed med særligt fokus på, hvordan sikkerhedsforanstaltninger kan beskytte virksomhedens aktiver, forbedre driften og endda fungere som en konkurrencefordel.
DORA og NIS2 er højaktuel for mange
DORA, som står for Digital Operational Resilience Act, er en EU-forordning, der trådte i kraft i januar 2023. Den sigter mod at styrke IT-sikkerheden i finanssektoren indenfor EU. DORA gælder for finansielle virksomheder såsom banker, forsikringsselskaber og investeringsselskaber. Det gælder også for deres leverandører og andre relaterede virksomheder, som har en central funktion. Den næste hårde deadline for DORA ligger den 17. januar 2025.
Finanstilsynet i Danmark har til opgave at håndhæve kravene. Dette omfatter at foretage inspektioner, pålægge bøder og kræve, at institutioner foretager afhjælpende foranstaltninger.
NIS2 står for Net og Informationssikkerhed version 2. Det er et EU-direktiv, der har til formål at styrke cyber- og informationssikkerheden i hele EU. Direktivet blev vedtaget i november 2022 og skal implementeres af medlemslandene senest den 18. oktober 2024.
Nogle virksomheder vil både implementere DORA og NIS2. Uanset så er begge et vigtigt skridt i retning af at styrke cybersikkerheden i EU. Ved at efterleve dem kan du hjælpe med at beskytte din virksomhed og kritisk infrastruktur mod cyberangreb.
Cybersikkerhed har en værdi, men bliver set som hygiejne
Det har været svært for mange at etablere en business case omkring cybersikkerhed. Hvad er værdien og dermed en rimelig investering inden for dette område?
Business casen for at øge cybersikkerhed har ofte været forankret i at beskytte virksomhedens værdier, som taler ind i essentielle systemer og data. Her lyder spørgsmål som “hvilke konsekvenser vil et cyberangreb få for virksomheden?” og “hvor stort et IT-hegn skal vi have?”
Eksempler på hovedbidrag til business casen og værdiskabelsen er:
- Genetablering af IT-kapabiliteter
- Tab af indtægter
- Tab af driftsoptimering
- Bøder og krav
- Image
Ovenstående hovedbidrag handler primært om at undgå tab. Industriens Fond har ad flere omgange italesat cybersikkerhed som en mulig konkurrenceparameter. Dvs. de har flyttet fokus fra at undgå nedbrud til i stedet at blive mere konkurrencedygtige, fordi virksomheder med god cybersikkerhed kan dokumentere, at de kan finde ud af at passe på deres data.
Typen af business case elementer
Som intro til business casens forskellige bidrag, skal du vide, at der findes forskellige typer af gevinster, når det kommer til elementer i business casen. Det er fx muligt at skelne mellem, hvorvidt gevinsten er:
- en reduktion af omkostninger
- en forbedring
- en reduktion af risiko
Der kan også være tale om andre gevinster. Figuren herunder beskriver, at gevinster enten kan ses på bundlinjen, det vil sige i regnskabet, eller i operationelle KPI’er. Tesen er, at alt kan måles, og at målingen er med til at skabe transparens og fokus.
Cybersikkerhed handler ikke længere om, hvorvidt en hændelse kan ske eller ej, da alvorlige hændelser sker hele tiden. Det handler derfor om, at hvad der før var enkeltstående hændelser, nu udvikler sig til at være en konstant udfordring, virksomheder skal tage bestik af.
Læs også: Nuancer i IT-beredskabet – og de andre former for beredskab
I de efterfølgende afsnit beskrives et par af de mest typiske bidrag til business casen for cybersikkerhed.
Genetablering af IT-kapabiliteter
I den digitale tidsalder er IT blevet en hjørnesten for virksomheders drift og succes. Men denne afhængighed gør dem også sårbare over for cyberangreb, der kan forårsage betydelige skader og omkostninger. En af de mest ødelæggende konsekvenser af et cyberangreb kan være behovet for at genetablere IT-udstyr, der er blevet beskadiget eller ødelagt.
Omkostningerne ved genetablering af IT-udstyr efter et cyberangreb kan variere markant afhængigt af en række faktorer, herunder:
- Omfanget af angrebet: Størrelsen og kompleksiteten af angrebet kan have en direkte indflydelse på mængden af beskadiget udstyr.
- Typen af IT-udstyr: Prisen på at udskifte servere, netværksudstyr, bærbare computere og andre enheder kan variere betydeligt.
- Hvilken slags data er blevet berøvet: Hvad koster det at genskabe data?
Med andre ord: Hvad koster det for at få genetableret de IT-kapabiliteter, som organisationen havde før angrebet?
Bidrag til business casen:
- Omkostninger til generhvervelse af udstyr – ødelagt som låst.
- Omkostninger og tid brugt på genetablering af ødelagt eller låst udstyr og software.
- Omkostninger og tid på genetablering eller generhvervelse af data.
Tab af indtægter
I dag er alle virksomheder afhængige af IT for at kunne gennemføre en handelstransaktion. Dvs. intet salg kan gennemføres uden brug af IT, uanset om det gælder registrering af salget, betaling for varen osv. Et cyberangreb har derfor ødelæggende konsekvenser for indtægterne, da der ikke er noget til “at tage imod ordren og pengene”.
Et godt eksempel er, når en webshop går i sort efter et cyberangreb. Illustrationen nedenfor viser, at indtægter går fra et niveau til 0 i det øjeblik, at angrebet sker. Først senere er it-løsningen “tilbage online” og kunderne vender tilbage.
Det samlede indkomst-tab bliver derfor et produkt af:
- Længden af nedbruddet. Hvor hurtigt kan vi være “tilbage”?
- Tiden det tager før alle potentielle kunder er vendt tilbage efter nedbruddet. Hvor hurtigt kan vi få kunderne tilbage, efter vi selv er tilbage?
- Størrelsen af det antal tabte kunder, som kan tilbageføres til selve nedbruddet. Hvor mange har vi generelt mistet pga. nedbruddet?
Som du måske allerede har gennemskuet, vil ovenstående model også kunne bruges i forbindelse med andre IT-driftsnedbrud. Dertil skal lægges det tab af indtægter, hvis datatyvene bruger dine data til at danne produkter eller services ud af det, som kannibaliserer det marked, som du er i.
Bidrag til business casen:
- Tab af potentielle indtægter på grund af tilgængelige salgskanaler, produktionsudstyr osv.
- Tab af potentielle indtægter, da virksomhedshemmeligheder er blevet kompromitteret, og nu bruges af en konkurrent eller er blevet værdiløse.
- Tab af innovationsfremdriften, da fokus er på genetablering og på at sikre driften.
Tab af driftsoptimering
Driftsoptimering handler om at sikre, at en virksomhed kører så effektivt som muligt. Dette omfatter at optimere processer, ressourcer og omkostninger for at maksimere produktivitet og rentabilitet. Så hvordan kan cyberangreb føre til tab af driftsoptimering?
Svaret er, at cyberangreb kan føre til tab af driftsoptimering på en række måder, herunder:
- Forstyrrelse af systemer og processer: Cyberangreb kan forstyrre eller deaktivere kritiske systemer, hvilket kan føre til driftsstop og tab af produktivitet.
- Data: Cyberangreb kan føre til tab eller ødelæggelse af data, hvilket kan have en betydelig indvirkning på en virksomheds evne til at fungere effektivt.
Med andre ord: Cyberangreb kan reducere virksomhedens effektivitet ved at forstyrre driftsprocesserne og skade vigtige data, hvilket har stor indvirkning på rentabiliteten.
Bidrag til business casen:
- Øget omkostning til supply chain, da optimering ikke kan nås pga. manglende software.
- Øget omkostning til driften, da der ikke er en rapportering, som ledelsen kan tage effektive beslutninger ud fra.
Bøder og krav
Udover de direkte omkostninger forbundet med datatab, driftsforstyrrelser og gendannelse kan cyberangreb også føre til betydelige juridiske og finansielle konsekvenser i form af bøder og krav. Eksempler er:
- Overtrædelse af databeskyttelseslovgivning: GDPR (General Data Protection Regulation) og andre databeskyttelseslove pålægger virksomheder et ansvar for at beskytte personoplysninger. Overtrædelser af disse love kan resultere i bøder på op til 4 % af den globale årlige omsætning eller 20 millioner euro, alt efter hvad der er højest.
- Svig og identitetstyveri: I tilfælde af svig eller identitetstyveri forårsaget af et cyberangreb kan virksomheder blive pålagt at betale erstatning til ofrene.
- Søgsmål fra kunder og partnere: Kunder og partnere, der har lidt tab som følge af et cyberangreb, kan sagsøge virksomheden for at få erstatning for deres tab.
Med andre ord: Cyberangreb kan medføre betydelige juridiske og finansielle konsekvenser for virksomheder i form af bøder og krav, udover de direkte omkostninger forbundet med datatab og driftsforstyrrelser.
Bidrag til business casen:
- Repressalier eller krav fra kunder i forhold til følsomme data, som er kommet i hænderne på tredjemand.
- GDPR-bøder – krav fra kunder og andre interessenter.
Image
Når et cyberangreb rammer, kan det føre til tab af kundernes tillid og loyalitet. Kunder, der føler sig utrygge ved at dele deres personlige data med en virksomhed, der har været udsat for et angreb, er mere tilbøjelige til at søge alternative løsninger.
Derudover kan negativ medieomtale og skade på virksomhedens brandværdi have langvarige konsekvenser. En negativ offentlig opfattelse kan føre til tab af markedsandel, investorernes mistillid og vanskeligheder med at tiltrække og fastholde talenter.
Dette område er nok det som har den største værdi, men som er svær at estimere og måle, når ulykken er sket.
Bidrag til business casen:
- Tab i aktieværdi
- Tab af potentielle ordrer
- Tab af samarbejdsmuligheder
- Tab af tillid internt i organisationen.
Opsummering
Cybersikkerhed er ikke længere blot en omkostning eller en hygiejnefaktor, men en strategisk nødvendighed, der kan beskytte mod tab, forbedre driftseffektiviteten og styrke konkurrenceevnen.
Ved at forstå og artikulere de forskellige elementer af business casen for cybersikkerhed kan virksomheder bedre forsvare deres investeringer i sikkerhedsteknologier og -praksis. Den rette cybersikkerhedspolitik er ikke kun en beskyttelse mod tab, men en aktiv bidragsyder til virksomhedens samlede succes og konkurrencedygtighed.
Har du spørgsmål, eller er du interesseret i at høre, hvordan business casen for cybersikkerhed i din forretning vil se ud, så tøv ikke med at tage kontakt.
