När vi pratar om säkerhet är en av de saker som ofta förbises eller inte fullt ut beräknas den faktiska risken. Vilken faktisk risk har ni som företag? Vad är det som har värde för er? Vad är det ni inte vill ska läcka, exponeras eller stjälas? Detta är i de flesta fall någon form av information. Information är den mest värdefulla tillgång vi har. Och eftersom den har ett värde, är det alltid en viss grad av risk förknippad med den.
För att kunna beräkna risk måste du först veta vad det är som du anser vara värdefullt för ditt företag och hur mycket värde den informationen faktiskt har. Detta kan vara den initiala kostnaden du betalade för något, den tid det tog att utveckla det, det framtida marknadsvärdet och till och med hur mycket det skulle kosta att ersätta det. En hårddisk är en relativt billig produkt, men informationen på den kan potentiellt vara värd miljarder – för dig eller till och med för någon annan.
Hot är också en faktor när man beräknar risk. Vilka är de största hoten ni står inför? Dessa kan sträcka sig från naturkatastrofer, företags-spionage, spioner, missnöjda anställda… I princip, om ni är ett företag som erbjuder något som någon vill ha, så är chansen stor att någon annan också vill veta vad ni vet, eller ha det ni har. Hot är de faktorer som orsakar skador på er organisation.
Sårbarheter är ingångspunkten till organisationen eller sätt att ge åtkomst till den värdefulla informationen. När det gäller IT-säkerhet kan sårbarheter vara exponering på internet, lätt åtkomst till företagsnätverket, eller komprometterade klientmaskiner och servrar. Men sårbarheter inkluderar också att inte kontrollera alla som kommer in i byggnaden, olåsta eller omonterade sidodörrar, förlorad eller borttappad information, eller till och med en utekväll med cheferna. Tänk aldrig bort människors misstag och ego. Fulla personer gillar att prata och är ofta inte medvetna om sin omgivning. Du vet aldrig när någon kanske lyssnar på dina samtal eller går igenom fickorna på din kappa som du lämnade in i garderoben.
Företag X är ett enormt globalt företag. De har kontor och tillverkning spridda över hela världen. De har växt mycket snabbt och har inte hållit jämna steg med sin säkerhet (skämmigt…). De har naturligtvis information som någon annan kan vilja ha, men de är också ett mål, precis som alla andra företag, bara för att de existerar. Vad skulle hända om en liten del av deras verksamhet stängdes ner? Låt oss säga en region där de tillverkar produkt Z. Hur många människor skulle påverkas? Vad skulle kostnaderna bli? Kan vi sätta ett värde på denna attack? Ja, det kan vi.
Denna hypotetiska attack slog ut regionen med en klassisk crypto locker som kom in via en riktad phishing-kampanj och utnyttjade föråldrade system som saknade viktiga säkerhetspatcher.
Den första kostnaden vi tittar på är förlusten av produktionen av det de tillverkar. Låt oss säga att deras dagliga produktion är värd 1 000 000 € och de var nere i 2 veckor! Det innebär 10–14 miljoner euro i förluster (beroende på om de får helgerna lediga). Och nu är de efter, så när de startar igen kan de behöva öka sin produktion för att kompensera för detta. Men det är inte den enda kostnaden. Det kommer garanterat att behövas personer som jobbar dygnet runt för att stoppa attacken, försöka fixa den och ta reda på vad som gick fel. Låt oss säga att cirka 100 personer jobbade intensivt i en månad för att hantera och åtgärda detta så att produktionen skulle kunna börja igen. 100 personer med en genomsnittlig kostnad för företaget på (låt oss uppskatta) 50 €/timme, 10 timmar om dagen. Det innebär en extra kostnad på 1 500 000 €! Bara för att hantera denna incident. Andra kostnader kan inkludera ersättning av utrustning som kan ha blivit skadad.
Det finns också ett par dolda kostnader som man inte tänker på direkt. Innan angriparna släppte lös crypto lockern, stal de någon data också? Det är möjligt att de stulit värdefull information. Kan det vara en konkurrent som nu vet dina hemligheter? Eller någon som säljer dem till din konkurrent? Detta kan leda till förlorad affärsverksamhet när någon erbjuder din produkt till ett något lägre pris.
En annan dold kostnad är varumärkesskada. Om incidenten hamnar i nyheterna kan det få kunder att tappa intresset och inte köpa det som företaget försöker sälja. Detta kan potentiellt vara det svåraste att återhämta sig från.
Nu, med tanke på det skrämmande scenariot, vad hade kunnat göras för att motverka detta och hur mycket hade det kostat? Snabbt och enkelt – systemen borde ha hållits uppdaterade och patchade, samt implementerat viss e-postfiltrering och användarsäkerhetsträning. Låt oss anta att det skulle ha kostat dem ytterligare 2 000 000 € per år i resurser, programvara och utrustning för att mildra attacken till en rimlig nivå. Det är bara 166 666 € per månad. När man tänker på att deras förluster översteg 15 000 000 € på en månad är det ett litet pris att betala för förebyggande åtgärder.
För fler användbara resurser om detta ämne, läs gärna Ira Winklers bok “Spies Among Us”. Ira’s ekvation sätter ett monetärt värde på risken, vilket gör det till en bra motivationsfaktor. Eller Tony UcedaVelez bok “Risk Centric Threat Modeling”.
Sammanfattningsvis bör företag fokusera mer på sin verkliga risk och sätta ett monetärt värde på den. Det är alldeles för vanligt att incidenter som exemplet ovan faktiskt inträffar. Kostnaderna kan och har varit stora. Men med lite planering för förebyggande kan många av dessa incidenter minskas drastiskt. Vissa saker kommer alltid att hända, och det är omöjligt att förhindra varje enskild attack, men det finns många sätt att upptäcka dem tidigt och stoppa dem innan de blir för allvarliga.
"De enda som påstår att de kan ge dig fullständig säkerhet är dårar eller lögnare."
Ira Winkler – Spies Among Us