Det nya hotet CFO:n bör ta på allvar

Annons

Vi som arbetar med risk management ser tydligt att världen förändras. Brand, stöld och vattenskador är välkända risker i den ”verkliga” världen, men vet vi vad som väntar runt hörnet i cyberspace, med tanke på den galopperande tekniska utvecklingen?

Vilka är de bolag som idag utsätts för cyberrelaterade risker? Svaret är: i princip varje bolag i hela världen.

Kort sagt, cyberrisker är ett allvarligt hot som i dag berör alla företag – inte bara e-handelsföretag. Vilka är de faror som lurar i vassen?

Man kan grovt dela in cyberrisker i fyra kategorier:

1. Dataintrång

Ett dataintrång kan resultera i förlorad, förstörd eller manipulerad data och är i dag den absolut vanligast förekommande cyberrisken.
Det kan vara följden av en mer eller mindre ondsint attack, till exempel från en hacker eller missnöjd medarbetare, eller så kan det bottna i oförsiktighet – i form av en borttappad laptop, surfplatta eller smartphone.
Ett numera välkänt exempel på ett dataintrång är hackernätverket Anonymous cyberattack mot Sony, som resulterade i en halv miljon stulna person- och kontouppgifter.

2. System- och nätverksavbrott

De system och nätverk som ett företag förlitar sig på är av många olika slag – de som kopplar samman olika enheter med varandra, de som finns inom en enhet och de som övervakar trafiken och funktionen i andra system och nätverk.
Oavsett vilket finns risken för ett avbrott – antingen till följd av rent operationella fel i hård- eller mjukvara, eller till följd av en hackning, till exempel i form av en så kallad ”denial of service”-attack. Ett exempel från verkligheten är Tieto Enators nätverkshaveri under 2011, som fick stora konsekvenser för många företag och myndigheter.

3. Risker relaterade till sociala medier
Sociala medier ger de flesta bolag oanade möjligheter till smart marknadsföring. Men samtidigt skapar de också oanade risker för förtal och missbruk eller exponering av företagets immateriella tillgångar – från såväl missnöjda medarbetare, leverantörer som kunder.

4. Cyberutpressning
Cyberutpressning innebär en attack – eller ett hot om en attack – mot ett företag i kombination med ett krav på lösensumma för att stoppa attacken. Vanligast är fortfarande ”denial of service”-attacker, men i dag har också cyberbrottslingar utvecklat krypteringsprogram som används för att kryptera det drabbade företagets data. Därefter avkrävs företaget en lösensumma för att få tag i koden.

Kostnaderna ökar

Varför förtjänar cyberrisker då vår uppmärksamhet? Teknologisk utveckling och globalisering har på djupet förändrat vårt sätt att samla in, använda och ge åtkomst till data. För 15 år sedan använde mindre än en procent av Europas befolkning internet. I dag förs enorma mängder data över hela världen inom bråkdelen av en sekund genom bland annat exploderande e-handel, sociala medier, onlinespel och cloud computing.

En ökad it-användning har i allt större utsträckning dragit till sig de kriminella nätverkens intresse, där brottsskalan i dag löper från relativt oskyldiga e-mail med titeln ”Skicka pengar” via företagsspioneri till regelrätt terror. Tilltagande cyberbrottslighet har i sin tur fått myndigheter världen över att mobilisera sina krafter i syfte att skydda framför allt privatpersoner, men också företag. Baksidan av myntet stavas växande reglering, vilket medför att de redan höga kostnader som cyberbrottsligheten för med sig drivs upp ytterligare.

Tittar vi särskilt på dataintrång, visar en studie av Ponemon Institute att kostnaden per förlorad datauppgift i USA nu ökat fem år i rad till 2010 års genomsnittliga nivå på USD 214. Per incident uppgår kostnaden i genomsnitt till USD 7,2 miljoner, upp från USD 6,6 miljoner år 2008. Beloppen innefattar direkta kostnader såsom information till kunder, kreditbevakning, utredningar, pr-kostnader, legala processer och böter liksom indirekta kostnader i form av förlorade kundrelationer. Kostnadsnivåerna i Europa och Sverige ligger fortfarande något under de amerikanska på grund av färre regleringar – framför allt i fråga om informationsplikten. Kostnaden per förlorad datauppgift uppgår i Storbritannien till USD 114, USD 191 i Tyskland och USD 136 i Frankrike.

Detta är inga små summor, särskilt inte med tanke på att de flesta dataintrång omfattar mellan 10 000 och 100 000 förlorade, förstörda eller manipulerade datapunkter.

Varför har vi då hittills hört relativt lite om cyberrisker? I Sverige, liksom i många andra länder, finns ännu vare sig rapporteringsskyldighet eller anmälningsplikt för den här typen av incidenter. Därför undviker de flesta företag att gå ut offentligt och berätta om att de blivit drabbade, då konsekvensen ofelbart blir dålig publicitet och ett skadat varumärke.

Ändå har några begrepp lyckats fästa på våra radarskärmar, som till exempel Advanced Persistent Threat (APT, återkommande attacker för åtkomst till intellektuellt kapital), ”Operation Aurora” (APT mot Google och 24 andra bolag) och ”Nightdragon” (APT mot den västerländska olje- och gasindustrin).

Men, med kontinuerligt ökande kostnader kommer cyberrisker obönhörligt att migrera från kategorin affärsrisker till risker som på olika sätt behöver minimeras eller transfereras – en central uppgift för risk management.

Den springande punkten är att cyberrisker i dag inte omfattas av traditionella försäkringar. Data ses som en immateriell tillgång, och omfattas därför inte av vare sig egendoms- eller avbrottsförsäkringar. Vissa professions-ansvarsförsäkringar omfattar förlust av data hos tredje part, men endast om detta skett som en del av tjänsteutövningen – inte till följd av en utifrån kommande händelse. Allriskförsäkringar för datorer täcker endast reparationer av skadad hårdvara, inte förlust av immateriella data.

Det finns inget som talar för att den teknologiska utvecklingen, it-användandet och det därmed parallellt växande intresset från kriminella kommer att avstanna – tvärtom. Föga förvånande utnämndes cyberrisker till en av de fem viktigaste globala riskerna i World Economic Forums rapport Global Risks 2012. I länder med större rapporteringsskyldigheter, som Storbritannien, stiger antalet rapporterade dataintrång snabbt – med hela 58 procent under 2011.
Med största sannolikhet kommer därför Europa inom de närmsta åren att få se en regleringstillväxt som mer eller mindre tar EU-länderna till den nivå som USA i dag befinner sig på.

Lite slarvigt kan man säga att regleringen kring cyberrisker på allvar tog fart i USA år 2003, då Kalifornien etablerade sin ”Notice of Security Breach Act” – något som de flesta stater i dag tagit efter. Den innebär att företag som drabbas av ett dataintrång enligt lagen är skyldiga att informera sina kunder om att så skett – annars väntar böter.

USA:s Securities and Exchange Commission beslutade nyligen att höja ribban ytterligare för börsnoterade företag, som nu är skyldiga att offentligt rapportera i vilken utsträckning de är exponerade för cyberrisker, och hur de avser att finansiellt hantera den potentiella förlusten.

En kvalificerad gissning säger att Europa kommer att följa USA:s bana, där ett första stort steg togs i januari 2012 då EU-kommissionären Viviane Reding lade fram ett nytt direktiv om datasäkerhet. Direktivet röstas troligen igenom i Europaparlamentet senare i år, och kan därefter träda i kraft genom EU-medlemmarnas nationella lagstiftningar under 2014. De viktigaste förändringarna för svenska företag är:

  • Att allvarliga dataintrång måste meddelas till såväl myndigheter som kunder så snart som möjligt, helst inom 24 timmar.
  • Att oförmåga att leva upp till regleringarna medför böter. För mindre allvarliga förseelser börjar prislappen på EUR 250 000 eller 0,5 procent av företagets årliga, globala omsättning. Allvarligare förseelser kostar upp till EUR 1 miljon eller 2 procent av den årliga omsättningen.
  • Att bolag med över 250 anställda måste tillsätta en så kallad ”Data Protection Officer”, med särskilt ansvar för att reglerna följs.

Dessa förändringar kommer med stor sannolikhet att öka företagens kostnader relaterade till cyberrisker – om så sker till USA:s nivåer återstår att se.

Om skribenten: Silvi Wompa är gästkrönikör på CFOworld och client advocate, major accounts, på Willis.