Håndter cyberrisiko med taktisk og strategisk styringsinformation 

Skrevet af Bo Thygesen
09.11.2022

Kommunikation er svær, også når det drejer sig om risiko for cyberangreb. Bestyrelse og direktion har brug for et klart beslutningsgrundlag, men ofte rammes der forbi med kommunikation, der er enten for teknisk eller for overordnet og abstrakt. Begge tilfælde er ubrugelige for en meningsfyldt drøftelse og som beslutningsgrundlag.

Risikomatricer og trafiklys er eksempler på overordnet og abstrakt kommunikation. Selvom det er udbredte værktøjer, bør de ikke anvendes som beslutningsgrundlag for noget af betydning. Som vi har behandlet i tidligere indlæg, giver de en farlig illusion om tryghed.

Overdrevet teknisk kommunikation mudrer beslutningsgrundlaget. Selvom intentionen er god, overdynger det bestyrelse og direktion med unødvendige detaljer, som mindsker overblik og besværliggør handlinger. Det er som at skulle styre en bil i glat føre, mens man får en udskrift af en værkstedprotokol, som konstaterer, at tandremmen er blevet udskiftet. Ikke så relevant.

Fakta frem for følelser

Cyberangreb har fået en opmærksomhed, som ikke fandtes for 10 år siden. Eksponerede hændelser som cyberangrebet mod DSB den 29/10/2022 driver dette. En ting er opmærksomhed, noget andet er involvering. Hvis bestyrelse og direktion skal være en aktiv medspiller, kræver det faktabaseret ledelsesinformation af høj kvalitet.

Først og fremmest skal risiko for cyberangreb udtrykkes i et sprog, som alle forstår. Vi foreslår, at I udtrykker tab i kroner og sandsynlighed i procent per år. Det giver jer mulighed for at sammenligne områder med risiko.

Nogen vil nok indvende, at modtagerne er godt tilfredse med risikomatricer og trafiklys. Ja, genkendelse vækker glæde, men kunne tilfredsheden skyldes, at de ikke er præsenteret for et kvantitativt alternativ? Udfordringen ligger nok nærmere hos dem, der producerer materialet. Det kræver en indsats at lære at opstille et kvantitativt risikobillede, men det vil være en god og sikker investering.

8 grundlæggende spørgsmål til cyber-risikostyring

Når vi har konstateret, at cyber er en reel og alvorlig trussel, har vi brug for flere nuancer. Enhver risikostyring skal kunne svare på følgende spørgsmål:

  1. Hvad er det samlede risikoniveau på cyberområdet?
  2. Hvordan ser en typisk cyberhændelse imod vores virksomhed ud?
  3. Hvad er sandsynligheden for et typisk og et ekstremt cyberangreb?
  4. Hvordan er vores risiko sammenholdt med andre virksomheder i vores branche?
  5. Hvor er vi sårbare overfor disse angreb?
  6. Hvor meget kan et ekstremt cyberangreb koste os?
  7. Hvad er prisen for og effekten af nedbringelse af cyberrisiko?
  8. Kan en cyberforsikring betale sig?

Hvordan svarer vi hensigtsmæssigt?

Lad os se på, hvordan en god kvantitativ risikovurdering kan skabe et solidt beslutningsgrundlag for bestyrelse og direktion.

Vi forudsætter, at der er foretaget en kvantitativ risikovurdering baseret på data fra målinger, observationer og kalibrerede eksperter. Ligesom, at vi har dekomponeret tabet ved en cyberhændelse, så vi forstår, hvad der sker i virksomheden, når et eller flere kritiske systemer er utilgængeligt, data er i stykker etc.

Vi husker naturligvis, at “alle modeller er forkerte, men nogle modeller er brugbare”. Vi bør danne en model, som illustrerer cyberområdet med det, man efterhånden ved om cyberhændelser, deres forløb, tabsbillede og sandsynligheder. Det er muligt i dag.

Lad os se på seks nøgletal, som kan besvare de førnævnte spørgsmål:

1. Det forventede årlige tab i kroner. Et nøgletal, som beskriver det samlede gennemsnitlige tab fra alle belyste cyberscenarier. Både de hyppige med små tab og de sjældne med dyre tab. Hvis man forestillede sig at lægge dette beløb til side årligt, ville man over en periode være i stand til at dække alle tab selv eller forsikre sig selv.

2. Det forventede årlige tab i kroner pr. område. Her giver vi forståelse for forskellige risikoområder indbyrdes. Sandsynligheden er indregnet, og vi kan nu se områderne (cyber, interne fejl, outsourcing, compliance og fysiske hændelser i forhold til hinanden). Hvis vi f.eks. taber et beløb årligt på outsourcing, som svarer til kontraktsummen, er vores leverandørvalg måske relevant at drøfte.

3. Det mest sandsynlige tab ved cyberhændelser. Vi ser der, hvor tabsfordelingen topper. Altså det tab, som er mest sandsynligt ved en cyberhændelser. Når vi taler om cyberhændelser, husker vi de mest ekstreme hændelser (f.eks. NotPetya i Mærsk 2017), men sandheden er, at der forekommer en række hændelser, som ikke giver ekstreme tab. Virksomheden oplever nedetid og mistede data, men det bliver ikke ekstremt dyrt. Dette nøgletal kan beskrive det.

4. Sandsynligheden for cyberhændelser. Et nøgletal i procent per år. Man vil typisk kommunikere en samlet sandsynlighed for at blive ramt af et cyberangreb uanset dets tabsstørrelse og opdele sandsynligheden i hændelsestyper fra forskellige angrebstyper.

5. Sandsynligheden for tab større end [INDSÆT VÆRDI]. Mange bestyrelsers eneste reference til cyberangreb er skrækhistorierne fra de tre største hændelser i historien. Hvor slemt kan det blive hos os, er et relevant tal at kende. Nøgletallet kan f.eks. lyde: ”Sandsynligheden for, at et cyberangreb koster os mere end 30 mio. kr., er 0,5%”.

6. 99%-fraktilen for et cyberangreb. Lidt som det ovenstående, men med udgangspunkt i Nøgletallet, besvarer dette tal, hvor dyrt et cyberangreb kan blive. Der vil kun være 1% sandsynlighed for, at beløbet ved en cyberhændelse bliver højere. Det er et højt tal, ja, men vi oplever, at dette tal giver én selv og bestyrelsen en vis ro i maven, når man har set dette tal for sig.

Hertil er der mange andre nøgletal på hylden fra en god kvantitativ risikovurdering. Nedenfor ses et eksempel fra et overblik, som har været anvendt i et bestyrelseslokale.

Kommunikér og reducér

Det er en god ide at drøfte, hvad der forventes af information, ligesom man bør trænes i at forstå disse informationer. Gør I jer den anstrengelse, vil I erfare, at I får en topledelse og bestyrelse, som ikke alene er opmærksomme på området, men også involverer sig i området.

Det føles godt, når vi har set cyberangreb i øjnene sammen, og f.eks. forstår, hvor stort et tab vi kan lide på et ekstremt cyberangreb. Sammen kan vi så behandle området og finde løsninger, så risiko reduceres.

God fornøjelse og god arbejdslyst med at give ledelse og bestyrelse taktiske og strategiske oplysninger på cyberområdet.

Fortsæt læsningen her

ISO 27005 Is Wrong About Quantitative Risk

ISO 27005 Is Wrong About Quantitative Risk

The International Standards Organization recently published an updated version of their guidance for information security risk management, but they have missed the mark entirely on quantitative...