Digitalisaatioinvestointien kustannuksissa on otettava huomioon myös tietoturvariskit. Tämä malli auttaa tekemään laskelmat oikein.
Analyysiyhtiö Radarin Tietoturvasta digitaaliseksi liiketoimintariskiksi -raportti esittelee uudenlaisen mallin digitaalisten liiketoimintariskien laskemiseen. Malli toimii siltana perinteisen taloudellisen riskilaskelman ja teknisen IT-viitekehyksen välillä. Digitaalisten liiketoimintariskien hinta on arvioitava entistä paremmin. Laskelmat on tehtävä samalla tavalla kuin minkä tahansa muun investoinnin kohdalla.
– On opittava laskemaan, kuinka paljon digitaaliset liiketoimintariskit oikeastaan maksavat. Millaisia kustannuksia on luvassa, jos säästetään päätepistesuojauksessa ja haittaohjelmahyökkäys onnistuu? Lehtiä lukiessa ei ole vaikea huomata, että kyberuhat ovat likellä, kertoo Radarin vanhempi neuvonantaja Freddie Rinderud.
Näin lasket digitaalisten riskien kustannukset 3 vaiheessa
Näin Radarin malli toimii pähkinänkuoressa. Lisätietoa mallista saat Tietoturvasta digitaaliseksi liiketoimintariskiksi -raportista.
Raporttiin
1. Kuinka kalliiksi onnistunut hyökkäys tulee?
Erilaiset kyberrikokset vaikuttavat liiketoiminnan eri puoliin. Alla olevassa taulukossa on esitelty kaksi tavallisinta hyökkäystä: DDos-hyökkäys ja ransomware- eli kiristyshyökkäys.
Laskentamalli kyberturvallisuusriskien kustannuksille
| Hyökkäyksen tyyppi | |||
|---|---|---|---|
| DDoS | Ransomware | ||
| Liiketoimintavaikutukset | Häiriöt tuotannossa | ||
| Palkat ja hukka | |||
| Uudelleen tekeminen | |||
| Taloudelliset vaikutukset | Menetetyt tulot | ||
| Varkaudet ja petokset | |||
| Oikeusvaikutukset | GDPR | ||
| Luottotiedot | |||
| Asiakastiedot | |||
| Tavaramerkki/goodwill | Asiakkaat | ||
| Yhteistyökumppanit | |||
| Vaihtoehtoiskustannukset | 1,05 | ||
| Aikakerroin | 1,1 | ||
Liiketoimintavaikutukset
Suorat tuotannon häiriintymiseen liittyvät kustannukset. Työntekijöiden palkat sekä esimerkiksi raaka-aineisiin tai tuoretavaraan kohdistuva hukka (esim. Coop-päivittäistavaraketjuun kohdistunut hyökkäys). Kustannukset uudelleen tehtävistä asioista, esimerkiksi tietokantojen asentamisesta.
Taloudelliset vaikutukset
Yleensä tulonmenetys, mutta usein myös varkaudet ja petokset. Myös immateriaalioikeuksien tai aineettoman pääoman varastaminen, oikeusjutut, sovittelut ja oikeudenkäyntikustannukset.
Oikeusvaikutukset
13 000 ainutkertaiseen (ja onnistuneeseen) hyökkäykseen perustuen on paljon tietoa kadonneen datan kustannuksista kolmessa eri kategoriassa. Tähän voidaan lisätä myös mahdolliset viranomaisten määräämät maksut.
Tavaramerkki/goodwill
Yrityksen maineeseen kohdistuvat haitat, jotka vaikuttavat esimerkiksi asiakassuhteisiin, rekrytointiin, yhteistyömahdollisuuksiin ja uusien hankkeiden heikompaan markkinapotentiaaliin.
2. Kuinka paljon IT-hyökkäyksiltä suojautuminen maksaa?
Kun olet laskenut hyökkäyksen kustannukset, voit siirtää ne alla olevaan laskelmaan. Siinä on esitelty vaiheita, joilla voit suojautua yleisimpiä uhkia vastaan. Laskelmassa on käytetty mallina 2 miljoonaa euroa maksanutta hyökkäystä, mikä on edelleen suhteellisen matala luku (ks. yllä). Onnistuneen hyökkäyksen taloudelliset vaikutukset riippuvat paljon yrityksestä ja toimialasta. Huomioi, että luvut perustuvat suuryritysten kustannuksiin. Pienyritykset voivat skaalata sekä hyökkäyksen että suojautumisen kustannuksia alemmas.
Laskentamalli riskienhallinnan kustannuksille ja ROI:lle
| Uhka | Vastalääke: riskienhallinta | Hallinnan kustannus | Riskin kustannus | RH-tekijä | ROI (jopa) |
|---|---|---|---|---|---|
| Advanced Persistent Threat | Security Information and Event Management | 1 300 000 | 20 000 000 | 48% | ≤ 638% |
| Ransomware | Endpoint Protection | 600 000 | 20 000 000 | 97% | ≤ 3133% |
| Compromised credentials | Zero Trust Security | 1 600 000 | 20 000 000 | 36% | ≤ 350% |
| Phishing | Security Training | 5 000 000 | 20 000 000 | 85% | ≤ 240% |
| Misconfiguration | Security Testing | 300 000 | 20 000 000 | 25% | ≤ 1567% |
- SIEM: Radarin omat luvut käyttöönottoprojektista, sis. ensimmäisten 12 kk kustannukset
- EP: Radarin omat luvut, n. 60 €/käyttäjä/vuosi
- ZTS: Radarin omat luvut, 160 €/käyttäjä/vuosi
- Turvallisuuskoulutus: Radarin malli, 500 €/työntekijä/vuosi
- Turvallisuustestaus: Radarin omat luvut, testausyhtiö, prosessien tarkastus, pentestit jne. 30 000 €/v.
Radar: Digitaaliset ja turvallisuusvalmiudet pienissä ja keskisuurissa ruotsalaisyrityksissä, syyskuu 2021
Huom: Laskelma perustuu hypoteettisiin esimerkkiarvoihin. Kyseessä on yritys, jolla on noin 1 000 työntekijää, 2 asiakasohjelmaa per työntekijä, 100 serveriä, 13 prosenttia liikenteestä pilvipalveluissa jne. Yrityksen liikevaihto on n. 300 miljoonaa euroa, se toimii valmistavassa teollisuudessa ja on digitalisaatioasteeltaan alan keskiarvoa. Riskikustannukset perustuvat tietomurtoon ja ovat osin aliarvioituja suhteessa edellä mainittuihin IBM:n keskivertokustannuksiin. Riskienhallintakerroin (RH) on samaan tapaan laskettu arvio Radarin lukuihin, palveluntarjoajien omiin lukuihin ja avoimiin lähteisiin perustuen. ROI pätee yksittäisen, muista riippumattoman riskin hallintaan. Mitä enemmän yksittäisiä uhkia hallitaan, sitä enemmän yksittäisen uhan hallinnan ROI laskee samalla kun kokonaiskyberturvallisuus nousee.
Faktat
Malware ja ransomware
Malware tai haittaohjelma on yleisnimi erilaisille epätoivotuille ohjelmille tai ohjelmien osille, jotka on kehitetty IT-järjestelmien häiritsemiseen. Ne voivat kerätä tietoa salassa tai käyttää kaappaamansa tietokonetta esimerkiksi roskapostin lähettämiseen tai muiden koneiden saastuttamiseen. Ransomwarella eli kiristyshaittaohjelmalla yritetään yleensä kiristää rahaa kryptaamalla järjestelmän tiedot. Kryptaus puretaan tai tiedot annetaan takaisin käyttäjän haltuun lunnaita vastaan.
DDos-hyökkäys
Denial-of-service (DoS) eli palvelunestohyökkäys on tietojärjestelmähyökkäys, jonka tavoitteena on estää järjestelmän normaali käyttö. Sen yleisin muoto on tulvahyökkäys. DDoS (Distributed denial-of-service) eli hajautettu palvelunestohyökkäys perustuu suureen määrään samanaikaisia ja jatkuvia palvelupyyntöjä, esimerkiksi serveriltä ladattavia suuria tiedostoja. Ylikuormittunut järjestelmä ei kestä pyyntöjen suurta määrää eikä muulle viestinnälle jää kapasiteettia.
Legacy
Legacy-järjestelmät eivät vastaa modernin IT:n odotuksiin ja niillä on puutteelliset toiminnallisuudet. Legacy-teknologian haasteita ovat:
- Se vaatii paljon ylläpitoa ja vie aikaa ja arvokkaita resursseja, joita voitaisiin käyttää innovointiin.
- Se pakottaa käyttämän vanhoja, kömpelöitä IT-ympäristöjä (mikä voi johtaa myös turvallisuusonegelmiin).
- Sillä on tarpeettoman korkeat kustannukset.
- Se ei toimi hyvin ja palvelussa on katkoja.
3. Mikä on digitalisoinnin kustannus?
Seuraavaksi digitaalinen riski lisätään alla olevaan liiketoimintariskien malliin. Toisin sanoen onnistuneen hyökkäyksen kustannuksista (2 miljoonaa euroa) vähennetään riskienhallinnan vaikutus ja summaan lisätään riskienhallinnan kustannukset. Esimerkkiin olemme valinneet ransomwaren: Hyökkäyksen kustannukset ovat 2 miljoonaa euroa, josta on vähennetty 97 prosenttia. Tähän on lisätty riskienhallinnan kustannukset eli 60 000 euroa. Yhteensä siis summa on 120 000 euroa. Kun otat digitaaliset riskit huomioon liiketoimintariskien mallissasi, saat tarkemman kuvan siitä, kuinka paljon digitalisointi oikeasti maksaa.
Alla olevassa laskelmassa on esitetty digitalisaatioprojekti, jolla on kolme skenaariota, A, B ja C. Kaikkien lähtökohtana on 1 miljoonan euron investointi. Projekti tehostaa yrityksen toimintaa 500 000 euron arvosta vuodessa. Investoinnin poistoaika on 60 kuukautta, käyttökustannukset katetaan periodin aikana. Lisähyöty, 100 000 euroa vuodessa, saadaan vähentämällä teknistä velkaa (eli siirtymällä pois legacy-teknologiasta).
On jälleen syytä muistaa, että luvut koskevat suuria yrityksiä. Pienyritykset voivat pienentää summia yrityksen kokoon suhteutettuna.
Kustannuslaskentamalli kyberturvallisuusriskille
| Scenario | |||
| A | B | C | |
| Arvioitu hyöty | 5 000 000 | 5 000 000 | 5 000 000 |
|---|---|---|---|
| Todennäköinen tulos | 2 500 000 | 5 000 000 | 2 500 000 |
| Projektikustannukset | 2 000 000 | 2 000 000 | 2 000 000 |
| Kompleksiteetti | 3 000 000 | 3 000 000 | 2 000 000 |
| Vaihtoehtoiskustannukset | 750 000 | 750 000 | 500 000 |
| Tekninen velka | 1 000 000 | 1 000 000 | 1 000 000 |
| Käyttökustannukset | 750 000 | 750 000 | 500 000 |
| Digitaalinen riski | 1 200 000 | 1 200 000 | 1 200 000 |
| Netto/vuosi | -2 200 000 | 300 000 | -700 000 |
| TTR/TTC | x | x | x |
| ROI 60 kk | -73% | 10% | -35% |
Tätä mallia käyttämällä voit laskea kvantitatiivisesti, mitä digitalisaatio oikeasti maksaa. Tämä kustannuskeskeinen analyysi auttaa ottamaan digitaaliset riskit huomioon oikealla tavalla, ei aavistuksiin perustuen..
Arvioitu hyöty/Todennäköinen tulos
Skenaariossa A tehostaminen johtaa 50 prosenttiin vuosittaisesta 0,5 miljoonasta. Skenaariossa B tehostus on 100 % ja C:ssä 50 %.
Projektikustannukset/kompleksiteetti
Kustannukset varsinaisesta digitalisointiprojektista ja kuinka monimutkainen se on. Tarvittavat investoinnit ovat kasvaneet 50 % skenaarioissa A ja B odottamattoman kompleksiteetin takia. Skenaario C:ssä on onnistuttu pitäytymään alkuperäisessä kompleksiteetissa.
Vaihtoehtoiskustannus
Tämä on projekti-investoinnin (1,5 miljoonaa euroa skenaarioissa A ja B, 1 miljoona skenaariossa C) ”korko” joka menee hukkaan vuosittain. Tämä siksi, että on valittu laittaa rahat juuri tähän projektiin eikä muualle. Tässä mallissa 5 %.
Tekninen velka
Tämä on 100 000 euroa vuodessa riippumatta projektin kustannuksista tai tuottavuudesta, kunhan se vain toteutetaan aikataulussa.
Käyttökustannukset
25 % arvioiduista projektikustannuksista.
Digitaalinen riski
Kuten kuvattiin yllä, tämä on itse riskin kustannus (tässä tapauksessa 2 miljoonaa euroa maksava tietomurto), josta on vähennetty riskit riskienhallinnan kautta (97 prosentin vähennys) ja lisätty hallinnan kustannukset (60 000 euroa). Huomioi myös, että riskikustannuksia voidaan edelleen vähentää kasvattamalla riskienhallinnan kustannuksia. Ajan myötä se voi olla hyvin kannattava investointi.
Time-to-Revenue tai Time-to-Cash (TTR/TTC)
Tämän olemme jättäneet tyhjäksi, koska olosuhteet ovat aina erilaiset toimialan, suhdanteiden ja tuotantosyklien takia. Myös omistajaohjaus ja ei-sykliset parametrit vaikuttavat. Tietyille yrityksille kassavirta on keskeistä, toisille taas on kriittistä lanseerata nopeasti. Viivästykset voivat tässä yhteydessä, samoin kuin kyberhyökkäyksten tapauksessa, kumuloitua eksponentiaalisesti.
ROI
Tämä on suora pääomatuotto 60 kuukauden ajalta inflaatio ja kumuloituva tuottavuus pois lukien. Yksikään yllä olevista skenaarioista ei yllä onnistuneen digitalisaatioprojektin tyypilliselle 17 prosentin vuosituoton tasolle. Aito tuotettu hyöty määrittää, onko alin rivi musta vai punainen. Skenaario B on parhaimmassakin tapauksessa epävarma projekti, skenaariot A ja C taas puhdasta pääoman hukkaamista.
Teksti: Robert Långström