God sikkerhet er en forsikring – dårlig sikkerhet kan koste deg svært mye

De reelle kostnadene knyttet til cyberangrep overstiger ofte det mange bedriftsledere tror er mulig. Akkurat som en god forsikring, er det derfor smart å investere i god sikkerhet – samtidig som det kan gi bedriften en rekke konkurransefortrinn. 

– Tenk deg at du driver en nettbutikk, og ordresystemet ditt havarerer like før Black Friday. Eller at du mister alle kundedata – inkludert ordrene som allerede er lagt inn. Eller at logistikksystemet rammes, slik at du ikke får kjørt ut varene dine til jul. Hvordan ville dette rammet driften din – og kunne det i verste fall ha veltet den?

Tankeeksperimentet kommer fra Kjell Kjebekk, Head of Security Portfolio & Market i Telenor. Han sier at de reelle kostnadene knyttet til et cyberangrep ofte overstiger det mange bedriftsledere hadde kunnet tro ville være mulig:

– Konsekvensene av nedetid, produksjonsstopp, tapte kundeforhold, ødelagt rennomé og andre uforventede, kritiske skader kan bli svært omfattende, sier Kjebekk.

Han sammenligner det å investere i god sikkerhet med å ha forsikringene i orden:

– Forsikringer er jo noe du helst ikke vil ha – men som du likevel skjønner at det er smart å betale for. Brenner bygget ditt ned, så er det lett å forstå og føle på kostnaden. Men selv om sikkerhet også er en form for forsikring, skjønner mange ikke omfanget av de mulige konsekvensene godt nok – og har da heller ikke gjort de nødvendige investeringene som gjerne må til for å sikre bedriften.

Mange bedrifter trenger å styrke sin sikkerhet.

De mange og omfattende konsekvensene av cyberkriminalitet fremstår ofte helt hypotetiske – av typen «det skjer jo ikke med oss». Men det er altså inntil de rammer virksomheten i virkeligheten.

– Det skjer oftere enn mange tror. Og mange venter dessverre til de har hatt en hendelse og kjent på konsekvensene før de tar grep for å sikre seg, sier Kjebekk.

Det er også en vanlig missforståelse at trusselaktører bare er ute etter de aller største bedriftene – der man gjerne også hører om tap i hundremillionersklassen. Sannheten er imidlertid at alle norske bedrifter kan anses som attraktive mål for de kriminelle.

Ifølge Næringslivets sikkerhetsråd (NSR) undervurderer også norske bedrifter hvor store verdier som går tapt i cyberangrep hvert år – og flere eksperter mener at tallet langt overgår NSRs anslag på 19 milliarder kroner årlig.

– Dette er ting som de IT-ansvarlige i bedriften ofte forstår. Problemet er bare at de ikke snakker «management-språk», og dermed ikke klarer å få ledelsen eller styret til å forstå hvorfor de skal ha mer fokus på sikkerhet, sier Kjebekk.

Dette oppfattes som regel som en ren utgiftspost, uten at det settes i sammenheng med de potensielt store besparelsene et avverget angrep kan innebære.

– Da gjelder det å kunne legge fram et helt tydelig risikobilde. Hvilke sårbarheter har vi, hva er sannsynligheten for at de kan bli rammet – og hva betyr det i praksis? God sikkerhet krever en investering … og det kan fort koste langt mer å ikke sikre seg, sier Kjebekk.

Ønsker du å lære mer om hvem som står bak cyberangrepene, hvorfor de gjør det og hvordan du kan beskytte deg? Da anbefaler vi deg å ta en titt på e-boken "Lær mer om cybersikkerhet". Del den gjerne med dine ansatte slik at de også kan være obs på farene som lurer på nettet.

Hva er det med de forskjellige angrepsformene de kriminelle benytter seg av som kan koste norske bedrifter så store summer?

– Det første mange tenker på, er såkalt ransomware – som har vært med oss i over 15 år. Her får de kriminelle tilgang på bedriftens systemer, og låser ned alt med en kryptering som er umulig å knekke. Deretter krever de kriminelle en sum, typisk via bitcoin, for å låse opp filene og systemene, forteller sikkerhetsrådgiver Jan Roger Wilkens ved Telenors Sikkerhetssenter (TSOC).

Han forteller at trusselaktørenes inngangsvei til bedriftens systemer typisk kan gå via phishing, svært enkle eller gjenbrukte passord eller upatchede tjenester.

– De kriminelle opererer som en ulveflokk, som sirkler rundt bedriften og leter etter svakheter – og angriper så fort de ser en mulighet. I det siste har vi sett at de ikke bare låser ned PC-er og servere, men også laster ned interne data før utstyret blir gjort ubrukelig. Deretter truer de med å slippe disse bedriftssensitive dataene på åpne nettsider, og tilbyr gjerne «smakebiter», forteller Wilkens.

Denne nye løsepenge-taktikken kalles «dobbel utpressing»: Ikke bare er du stengt ute fra egne systemer, men du risikerer også at de kriminelle sprer konfidensiell, kompromitterende eller på andre måter sensitiv informasjon. Og selv om bedriften betaler, vil de aldri ha noe garanti mot nye trusler om offentliggjøring i fremtiden.

– Kostnadene knyttet til slike utpressingsangrep doblet seg i siste kvartal 2019. Men så er kostnadene knyttet til løsepengene er bare én del av bildet. Utover dette har du gjerne enda større kostnader knyttet til bedriftens nedetid, tap av kunder, kontrakter, leverandøravtaler og rennomé – i tillegg til at det kan vanke en saftig GDPR-bot om sikkerheten knyttet til lagring av persondata ikke har vært god nok, sier Wilkens.

Hvorfor ikke starte med en innsiktsrapport – for å finne bedriftens svakheter?

Det å investere i sikkerhet trenger ifølge Kjebekk imidlertid ikke bare å være en ren utgiftspost – om du selvfølgelig ser bort fra de potensielle store kostnadene du muligens unngår ved å ha avverget et digitalt angrep:

– Dette er faktisk også en mulighet til å ta en posisjon i markedet. Det å ha et tydelig og godt fokus på sikkerhet kan tiltrekke seg nye samarbeidspartnere, i tråd med at stadig flere bedrifter setter strengere sikkerhetskrav til leverandører og partnere. Ikke minst ser vi at det å ha sikkerheten på stell er et stadig viktigere krav om du skal jobbe med det offentlige, sier han.

Lær mer om hvordan du kan trygge din bedrift

Ønsker du å bedre sikkerheten i din bedrift hjelper vi deg gjerne. Våre sikkerhetseksperter kan finne ut om det finnes sikkerhetshull og tette disse, slik at du og dine ansatte kan konsentrere dere om det dere er best på, drift av kjernevirksomheten.