IT-turvallisuus

Opas: Näin lasketaan tietoturvan arvo

Digitalisaatioinvestointien kustannuksissa on otettava huomioon myös tietoturvariskit. Tämä malli auttaa tekemään laskelmat oikein.

Analyysiyhtiö Radarin Tietoturvasta digitaaliseksi liiketoimintariskiksi -raportti esittelee uudenlaisen mallin digitaalisten liiketoimintariskien laskemiseen. Malli toimii siltana perinteisen taloudellisen riskilaskelman ja teknisen IT-viitekehyksen välillä. Digitaalisten liiketoimintariskien hinta on arvioitava entistä paremmin. Laskelmat on tehtävä samalla tavalla kuin minkä tahansa muun investoinnin kohdalla.

– On opittava laskemaan, kuinka paljon digitaaliset liiketoimintariskit oikeastaan maksavat. Millaisia kustannuksia on luvassa, jos säästetään päätepistesuojauksessa ja haittaohjelmahyökkäys onnistuu? Lehtiä lukiessa ei ole vaikea huomata, että kyberuhat ovat likellä, kertoo Radarin vanhempi neuvonantaja Freddie Rinderud.

Näin lasket digitaalisten riskien kustannukset 3 vaiheessa

Näin Radarin malli toimii pähkinänkuoressa. Lisätietoa mallista saat Tietoturvasta digitaaliseksi liiketoimintariskiksi -raportista.

Raporttiin
Nainen katsomassa tietokoneen näyttöä

1. Kuinka kalliiksi onnistunut hyökkäys tulee?

Erilaiset kyberrikokset vaikuttavat liiketoiminnan eri puoliin. Alla olevassa taulukossa on esitelty kaksi tavallisinta hyökkäystä: DDos-hyökkäys ja ransomware- eli kiristyshyökkäys.

Laskentamalli kyberturvallisuusriskien kustannuksille

Hyökkäyksen tyyppi
DDoSRansomware
LiiketoimintavaikutuksetHäiriöt tuotannossa
Palkat ja hukka
Uudelleen tekeminen
Taloudelliset vaikutuksetMenetetyt tulot
Varkaudet ja petokset
OikeusvaikutuksetGDPR
Luottotiedot
Asiakastiedot
Tavaramerkki/goodwillAsiakkaat
Yhteistyökumppanit
Vaihtoehtoiskustannukset1,05
Aikakerroin1,1
Alahuomautus: Kustannusten yhteenlaskettu määrä kerrotaan kahden alimman rivin kertoimilla. 1) Vaihtoehtoiskustannukset (voivat vaihdella dramaattisesti riippuen alasta ja riskiprofiilista) 2) Aikakerroin (Ottaa huomioon, että haitat voivat kasvaa eksponentiaalisesti ajan myötä yrityksestä riippuen. Esimerkiksi verkkopankille jokainen käyttökatkotunti voi aiheuttaa eksponentiaalisia haittoja aina konkurssiin asti.) Jotta huomio kiinnittyy itse kategorioihin, olemme valinneet olla näyttämättä lukuja soluissa. Laskelmia tehdessä on hyvä tiedostaa, että suurten tietomurtojen keskivertokustannukset vuonna 2021 olivat IBM:n mukaan 4,24 miljoonaa euroa. Toiset asiantuntijat arvioivat kustannusten olevan 2–4 miljoonaa euroa. Hyökkäyksen lopulliset vaikutukset riippuvat paljon yrityksestä ja toimialasta.

Liiketoimintavaikutukset

Suorat tuotannon häiriintymiseen liittyvät kustannukset. Työntekijöiden palkat sekä esimerkiksi raaka-aineisiin tai tuoretavaraan kohdistuva hukka (esim. Coop-päivittäistavaraketjuun kohdistunut hyökkäys). Kustannukset uudelleen tehtävistä asioista, esimerkiksi tietokantojen asentamisesta.

Taloudelliset vaikutukset

Yleensä tulonmenetys, mutta usein myös varkaudet ja petokset. Myös immateriaalioikeuksien tai aineettoman pääoman varastaminen, oikeusjutut, sovittelut ja oikeudenkäyntikustannukset.

Oikeusvaikutukset

13 000 ainutkertaiseen (ja onnistuneeseen) hyökkäykseen perustuen on paljon tietoa kadonneen datan kustannuksista kolmessa eri kategoriassa. Tähän voidaan lisätä myös mahdolliset viranomaisten määräämät maksut.

Tavaramerkki/goodwill

Yrityksen maineeseen kohdistuvat haitat, jotka vaikuttavat esimerkiksi asiakassuhteisiin, rekrytointiin, yhteistyömahdollisuuksiin ja uusien hankkeiden heikompaan markkinapotentiaaliin.

2. Kuinka paljon IT-hyökkäyksiltä suojautuminen maksaa?

Kun olet laskenut hyökkäyksen kustannukset, voit siirtää ne alla olevaan laskelmaan. Siinä on esitelty vaiheita, joilla voit suojautua yleisimpiä uhkia vastaan. Laskelmassa on käytetty mallina 2 miljoonaa euroa maksanutta hyökkäystä, mikä on edelleen suhteellisen matala luku (ks. yllä). Onnistuneen hyökkäyksen taloudelliset vaikutukset riippuvat paljon yrityksestä ja toimialasta. Huomioi, että luvut perustuvat suuryritysten kustannuksiin. Pienyritykset voivat skaalata sekä hyökkäyksen että suojautumisen kustannuksia alemmas.

Laskentamalli riskienhallinnan kustannuksille ja ROI:lle

UhkaVastalääke: riskienhallintaHallinnan kustannusRiskin kustannusRH-tekijäROI (jopa)
Advanced Persistent ThreatSecurity Information and Event Management1 300 00020 000 00048%≤ 638%
RansomwareEndpoint Protection600 00020 000 00097%≤ 3133%
Compromised credentialsZero Trust Security1 600 00020 000 00036%≤ 350%
PhishingSecurity Training5 000 00020 000 00085%≤ 240%
MisconfigurationSecurity Testing300 00020 000 00025%≤ 1567%
  • SIEM: Radarin omat luvut käyttöönottoprojektista, sis. ensimmäisten 12 kk kustannukset
  • EP: Radarin omat luvut, n. 60 €/käyttäjä/vuosi
  • ZTS: Radarin omat luvut, 160 €/käyttäjä/vuosi
  • Turvallisuuskoulutus: Radarin malli, 500 €/työntekijä/vuosi
  • Turvallisuustestaus: Radarin omat luvut, testausyhtiö, prosessien tarkastus, pentestit jne. 30 000 €/v.
Malli perustuu EP:n ja ZTS:n markkinastandardiin, jossa jokaisella lisensoidulla työntekijällä voi olla jopa 3 asiakasohjelmaa samalla lisenssillä. Tietyt palveluntarjoajat hyväksyvät jopa 5 asiakasohjelmaa.
Radar: Digitaaliset ja turvallisuusvalmiudet pienissä ja keskisuurissa ruotsalaisyrityksissä, syyskuu 2021

Huom: Laskelma perustuu hypoteettisiin esimerkkiarvoihin. Kyseessä on yritys, jolla on noin 1 000 työntekijää, 2 asiakasohjelmaa per työntekijä, 100 serveriä, 13 prosenttia liikenteestä pilvipalveluissa jne. Yrityksen liikevaihto on n. 300 miljoonaa euroa, se toimii valmistavassa teollisuudessa ja on digitalisaatioasteeltaan alan keskiarvoa. Riskikustannukset perustuvat tietomurtoon ja ovat osin aliarvioituja suhteessa edellä mainittuihin IBM:n keskivertokustannuksiin. Riskienhallintakerroin (RH) on samaan tapaan laskettu arvio Radarin lukuihin, palveluntarjoajien omiin lukuihin ja avoimiin lähteisiin perustuen. ROI pätee yksittäisen, muista riippumattoman riskin hallintaan. Mitä enemmän yksittäisiä uhkia hallitaan, sitä enemmän yksittäisen uhan hallinnan ROI laskee samalla kun kokonaiskyberturvallisuus nousee.

Faktat

Malware ja ransomware

Malware tai haittaohjelma on yleisnimi erilaisille epätoivotuille ohjelmille tai ohjelmien osille, jotka on kehitetty IT-järjestelmien häiritsemiseen. Ne voivat kerätä tietoa salassa tai käyttää kaappaamansa tietokonetta esimerkiksi roskapostin lähettämiseen tai muiden koneiden saastuttamiseen. Ransomwarella eli kiristyshaittaohjelmalla yritetään yleensä kiristää rahaa kryptaamalla järjestelmän tiedot. Kryptaus puretaan tai tiedot annetaan takaisin käyttäjän haltuun lunnaita vastaan.

DDos-hyökkäys

Denial-of-service (DoS) eli palvelunestohyökkäys on tietojärjestelmähyökkäys, jonka tavoitteena on estää järjestelmän normaali käyttö. Sen yleisin muoto on tulvahyökkäys. DDoS (Distributed denial-of-service) eli hajautettu palvelunestohyökkäys perustuu suureen määrään samanaikaisia ja jatkuvia palvelupyyntöjä, esimerkiksi serveriltä ladattavia suuria tiedostoja. Ylikuormittunut järjestelmä ei kestä pyyntöjen suurta määrää eikä muulle viestinnälle jää kapasiteettia.

Legacy

Legacy-järjestelmät eivät vastaa modernin IT:n odotuksiin ja niillä on puutteelliset toiminnallisuudet. Legacy-teknologian haasteita ovat:

  1. Se vaatii paljon ylläpitoa ja vie aikaa ja arvokkaita resursseja, joita voitaisiin käyttää innovointiin.
  2. Se pakottaa käyttämän vanhoja, kömpelöitä IT-ympäristöjä (mikä voi johtaa myös turvallisuusonegelmiin).
  3. Sillä on tarpeettoman korkeat kustannukset.
  4. Se ei toimi hyvin ja palvelussa on katkoja.

3. Mikä on digitalisoinnin kustannus?

Seuraavaksi digitaalinen riski lisätään alla olevaan liiketoimintariskien malliin. Toisin sanoen onnistuneen hyökkäyksen kustannuksista (2 miljoonaa euroa) vähennetään riskienhallinnan vaikutus ja summaan lisätään riskienhallinnan kustannukset. Esimerkkiin olemme valinneet ransomwaren: Hyökkäyksen kustannukset ovat 2 miljoonaa euroa, josta on vähennetty 97 prosenttia. Tähän on lisätty riskienhallinnan kustannukset eli 60 000 euroa. Yhteensä siis summa on 120 000 euroa. Kun otat digitaaliset riskit huomioon liiketoimintariskien mallissasi, saat tarkemman kuvan siitä, kuinka paljon digitalisointi oikeasti maksaa.

Kollegat katsovat tietokoneen näyttöä palvelinhuoneessa

Alla olevassa laskelmassa on esitetty digitalisaatioprojekti, jolla on kolme skenaariota, A, B ja C. Kaikkien lähtökohtana on 1 miljoonan euron investointi. Projekti tehostaa yrityksen toimintaa 500 000 euron arvosta vuodessa. Investoinnin poistoaika on 60 kuukautta, käyttökustannukset katetaan periodin aikana. Lisähyöty, 100 000 euroa vuodessa, saadaan vähentämällä teknistä velkaa (eli siirtymällä pois legacy-teknologiasta).

On jälleen syytä muistaa, että luvut koskevat suuria yrityksiä. Pienyritykset voivat pienentää summia yrityksen kokoon suhteutettuna.

Kustannuslaskentamalli kyberturvallisuusriskille

Scenario
ABC
Arvioitu hyöty5 000 0005 000 0005 000 000
Todennäköinen tulos2 500 0005 000 0002 500 000
Projektikustannukset2 000 0002 000 0002 000 000
Kompleksiteetti3 000 0003 000 0002 000 000
Vaihtoehtoiskustannukset750 000750 000500 000
Tekninen velka1 000 0001 000 0001 000 000
Käyttökustannukset750 000750 000500 000
Digitaalinen riski1 200 0001 200 0001 200 000
Netto/vuosi-2 200 000300 000-700 000
TTR/TTCxxx
ROI 60 kk-73%10%-35%

Tätä mallia käyttämällä voit laskea kvantitatiivisesti, mitä digitalisaatio oikeasti maksaa. Tämä kustannuskeskeinen analyysi auttaa ottamaan digitaaliset riskit huomioon oikealla tavalla, ei aavistuksiin perustuen..

Arvioitu hyöty/Todennäköinen tulos

Skenaariossa A tehostaminen johtaa 50 prosenttiin vuosittaisesta 0,5 miljoonasta. Skenaariossa B tehostus on 100 % ja C:ssä 50 %.

Projektikustannukset/kompleksiteetti

Kustannukset varsinaisesta digitalisointiprojektista ja kuinka monimutkainen se on. Tarvittavat investoinnit ovat kasvaneet 50 % skenaarioissa A ja B odottamattoman kompleksiteetin takia. Skenaario C:ssä on onnistuttu pitäytymään alkuperäisessä kompleksiteetissa.

Vaihtoehtoiskustannus

Tämä on projekti-investoinnin (1,5 miljoonaa euroa skenaarioissa A ja B, 1 miljoona skenaariossa C) ”korko” joka menee hukkaan vuosittain. Tämä siksi, että on valittu laittaa rahat juuri tähän projektiin eikä muualle. Tässä mallissa 5 %.

Tekninen velka

Tämä on 100 000 euroa vuodessa riippumatta projektin kustannuksista tai tuottavuudesta, kunhan se vain toteutetaan aikataulussa.

Käyttökustannukset

25 % arvioiduista projektikustannuksista.

Digitaalinen riski

Kuten kuvattiin yllä, tämä on itse riskin kustannus (tässä tapauksessa 2 miljoonaa euroa maksava tietomurto), josta on vähennetty riskit riskienhallinnan kautta (97 prosentin vähennys) ja lisätty hallinnan kustannukset (60 000 euroa). Huomioi myös, että riskikustannuksia voidaan edelleen vähentää kasvattamalla riskienhallinnan kustannuksia. Ajan myötä se voi olla hyvin kannattava investointi.

Time-to-Revenue tai Time-to-Cash (TTR/TTC)

Tämän olemme jättäneet tyhjäksi, koska olosuhteet ovat aina erilaiset toimialan, suhdanteiden ja tuotantosyklien takia. Myös omistajaohjaus ja ei-sykliset parametrit vaikuttavat. Tietyille yrityksille kassavirta on keskeistä, toisille taas on kriittistä lanseerata nopeasti. Viivästykset voivat tässä yhteydessä, samoin kuin kyberhyökkäyksten tapauksessa, kumuloitua eksponentiaalisesti.

ROI

Tämä on suora pääomatuotto 60 kuukauden ajalta inflaatio ja kumuloituva tuottavuus pois lukien. Yksikään yllä olevista skenaarioista ei yllä onnistuneen digitalisaatioprojektin tyypilliselle 17 prosentin vuosituoton tasolle. Aito tuotettu hyöty määrittää, onko alin rivi musta vai punainen. Skenaario B on parhaimmassakin tapauksessa epävarma projekti, skenaariot A ja C taas puhdasta pääoman hukkaamista.

17 maaliskuuta 2022

Aihealue