Tåler bedriften din nedetid?

Torgeir Waterhouse, IKT Norge
TA GREP: Det blir fort dyrere å rydde opp etter et dataangrep enn å sikre seg på forhånd, sier Torgeir Waterhouse i IKT Norge.

Tåler bedriften din nedetid?

Datakriminalitet kan koste bedriften dyrt.

Når datasystemet er nede en liten periode, er det irriterende. Men når datasystemet er fullstendig utilgjengelig fordi en hacker har tatt over kontrollen, er det som regel full krise!

Hva nedetiden fører med seg av kostnader på grunn av feil eller datakriminalitet, er ukjent. Men det er både mulig og smart for bedrifter å gjøre et anslag. Ut fra dette kan bedriften finne lønnsomme tiltak mot datakriminalitet og tap.

– Spennvidden er stor. En bedrift kan regne ut et tap alt fra fra salgene som går tapt i perioden uten datatilgang, til et scenario hvor bedriften går konkurs, forklarer Torgeir Waterhouse, direktør for internett og nye medier i IKT-Norge (bildet øverst).

Ikke la din bedrift være i faresonen: Slik forsikrer du deg mot datakriminalitet

Kan risikere alt

Det å være uvitende om skadeomfanget forårsaket av nedetiden øker risikoen for større konsekvenser.

– Nedetid betyr tapte inntekter, men i tillegg kommer kostnadene som oppstår rundt hele hendelsen. Hvis du driver en kiosk som er nede i en time, er det ikke det samme som når et stort firma er nede i dager, forklarer Waterhouse enkelt.

En erstatningssak som oppstod da et tjenestenektangrep rammet flere selskaper i Norge, er et godt eksempel. Datasystemene ble overbelastet av angrepet slik at kundene ikke fikk tilgang til tjenestene de kjøpte. En 17 år gammel gutt sto bak angrepet. Han tilstod og forklarte at motivet var å vekke norske selskaper med tanke på datasikkerhet. Selskapene som ble rammet stilte hver et erstatningskrav på 50.000 kroner til gutten som tilstod angrepet.

Sikre deg mot angrep!

Forsikringsselskapet If har lansert en spesialforsikring som forsikrer mot utgifter som følge av datakriminalitet. For i kjølvannet av tapt omsetning kommer flere andre utgifter seilende opp.

– De fleste bedrifter vil få utgifter til IT-konsulenter for å finne årsaken til feilen, rette skadene og iverksette tiltak for å forhindre fremtidige innbrudd, forklarer Line Gjengedal Ruud, produktsjef for Ifs datakriminalitetsforsikring.

Å rydde opp i datasystemene etter et angrep kan bli en betydelig utgift. Noen ganger betyr det også innkjøp av nytt utsyr, slik Selje hotell opplevde da de ble utsatt for dataangrep.

–  Erstatning for tapt omsetning kommer i tillegg til dette, og beregnes ut fra omsetning og antall timer eller dager med nedetid, sier Gjengedal Ruud.

Bruk nedetiden best mulig

Det er lett å regne beløpet som bedriften taper per dag, kanskje per time, når datasystemene er utilgjengelige. Men tapt omsetning er bare en liten del av den totale kalkylen.

– Det oppstår et mye større tap enn de fleste tenker seg. Utgiftene som er vanskelig å tallfeste blir en økonomisk tilleggsbelastning. Tapt omdømme og tillit er en utfordring. Det blir fort dyrere å rydde opp etter et dataangrep enn å sikre seg på forhånd, understreker Waterhouse.

Ekstrakostnadene ved å informere bedriftens egne kunder som er berørt av hendelsen, er et eksempel.

– I noen tilfeller kan det være nødvendig å overvåke aktiviteten på kundenes konto for å forsikre seg om at hackerne ikke misbruker kundeinformasjon.

Få forsikring mot datakriminalitet

Lag en «nedetidsplan»

Når bedriften først opplever nedetid, uansett hva årsaken er, er mange i villrede og vet ikke helt hva de skal gjøre. IT-avdelingen, om bedriften har noen, leter etter årsaken og forsøker å rette opp. Men hva gjør resten av bedriften?

– Mye av dette kan løses med god planlegging. Selv om det går an å forsikre seg mot slike tap, er det lurt å legge en plan for hvordan bedriften skal håndtere nedetid, mener Waterhouse.

For hva gjør en bedrift når strømmen går, serveren tar en uplanlagt ferie eller systemet må renses etter at hackerne har vært på ferde? Mange bedrifter mangler en plan for IT-beredskap, mener Torgeir Waterhouse.

– For mange handler det om å komme raskest mulig tilbake til normalen. Noen bedrifter kan fortsette aktiviteten selv om datamaskinene streiker, kanskje gjennom manuelle prosesser. Bedrifter bør ha et bevisst forhold til hva de skal gjøre dersom hvis de blir uten tilgang i en periode! Noen kan ha nytte av en offline-backup, der kunnskapen til bedriften er samlet, forklarer han. Mange bedrifter er ikke godt nok forberedt på dataangrep.– For små og mellomstore bedrifter er kostnaden ved å sikre datasystemene stor, dermed blir viljen til å investere ytterligere i kriseplanlegging ofte nedprioritert, mener Waterhouse.

Grunnleggende handler dette om å gjøre fornuftige investeringer i utstyr og kompetanse, og tenke «hvordan kan jeg gjøre dette bedre».

Det er flere grep du kan gjøre for å redusere risikoen for at bedriften skal bli angrepet av hackere, bla. gjennom opplæring av ansatte og ved å innføre bedre sikkerhetsrutiner.

LES MER: Slik reduserer du risikoen for å bli angrepet!