Cybergæld – omkostningen, du ikke kommer uden om!

af Jesper Helbrandt, IFCR

 

I erhvervslivet er man ofte tvunget til at træffe svære valg med håb om, at det var det rigtige valg. IT er ikke fritaget for disse vanskelige beslutninger. Oprindeligt opstod begrebet teknisk gæld tilbage i 1992 som et resultat af hurtig og dårlig kodning i softwareudvikling. I dag har det udviklet sig til at afspejle de indirekte omkostninger ved at måtte lave ting om, som resultat af at vælge en let løsning i stedet for at gøre tingene rigtigt fra start.

I dag er cyber risk støt stigende, og organisationer kæmper for at få deres arme omkring de nye, hurtigt fremrykkende risici. Derfor opstår der en variation af teknisk gæld – cybergæld. Problemet med cybergæld i forhold til teknisk gæld er, at konsekvenserne er helt anderledes, og omkostningerne er af en helt anden størrelse. Manglende opdatering af en patch kan resultere i tab af data, konkurrencefordel eller imagetab med mere. For at gøre ondt værre er cybergæld ikke længere kun et internt problem, der er lige pludselig kommet et nyt element med i ligningen – nemlig den cyberkriminelle, angriberen. Uanset hvordan vi vender og drejer det, så er det uundgåeligt, at enhver virksomhed er et mål for cyberrisiko, hvorfor det kræver, at man tager stilling til sin risikoappetit.

Som med enhver gæld er der to dele: renter og hovedstol. I tilfælde af cybergæld er renter det potentielle tab over tid, der skyldes et cyberangreb. Hvert tab påvirker virksomheden gennem forstyrrelser, indtægter, bøder, imagetab med mere. Disse konsekvenser afspejler omkostningerne ved ikke at gøre noget. For at forstå disse tab vil de succesrige virksomheder starte med at kvantificere cyberrisici i økonomiske termer. Dette vil give et fælles referencepunkt og gøre det muligt for ledere at prioritere den stadigt voksende liste over cyberrisici.

 

Hvornår skal vi betale denne cybergæld?

 

Den sidste halvdel af ligningen, hovedstol, er simpelthen en funktion af det efterslæb, virksomhederne bærer rundt på, og som skal ryddes af vejen. Hvert tab vil have en trigger, og det vil falde i et af tre områder: mennesker, processer eller teknologi. For eksempel, hvis en cyberrisiko udløses ved, at en medarbejder klikker på en phishing-e-mail, kan afhjælpningsindsatsen omfatte øget awareness-træning for de ansatte. Omkostningerne til dette vil omfatte rådgivning, cyber awareness-træningsmateriale og arbejdskraft til koordinering. Denne halvdel af ligningen starter med at identificere cyber-triggeren for potentielle tab, estimere omkostningerne til at afhjælpe eksponeringen og derefter afveje mod renterne – er det nu værd at afhjælpe det potentielle tab? Eller er organisationen villig til at tage risikoen for tab for at undgå at investere? Det er en simpel cost-benefit-analyse.

På grund af cybers intensiverende karakter genereres der stadigt nye risici til listen, og dermed mere gæld. Hvis det ignoreres, kan konsekvenserne blive enorme – som det ses hos et stigende antal virksomheder, der alle har mærket det med fatale følger. Målet er ikke at afskrive gælden – det vil være umuligt. Derimod skal organisationer give deres sikkerhedsteam mulighed for at styre denne gæld med konstant overvågning og prioritering. Når det er opnået, kan man ændre spørgsmålet fra “Skal vi betale denne cybergæld?” TilHvornår skal vi betale denne cybergæld?”

 

Løs også artiklen “Tre gode råd til at skabe en god cybersikkerhedskultur”