En helt klar dagsorden for organisationen er: “Forstå og nedbring risiko for cyberangreb”. Direktion og bestyrelse er efterhånden kommet med på den dagsorden og forstår, at vi har at gøre med en risiko, som de skal forholde sig til.
Vi estimerer, at cyber kan afstedkomme ekstreme haletab, og vi understøtter estimatet med de hyppigt anvendte danske case storys fra ISS, Mærsk, Demand mv. Det er, som det skal være, og organisationerne arbejder kontinuerligt med at reducere både sandsynligheden for og konsekvensen ved disse hændelser.
Der er imidlertid et område, som måske er ved at overhale os i den blinde vinkel. Interne fejl truer informationssikkerheden og medfører store aggregerede tab. Hvor det altødelæggende cyberangreb kunne sammenlignes med den store vandskade, så er de interne fejl ofte billige men hyppige og kan sammenlignes med en række dryppende vandhaner. Hver for sig er de måske ubetydelige, men samlet akkumulerer de store tab.
Se eksemplet nedenfor fra en af vores seneste risikovurderinger. Den er repræsentativ for de seneste mange analyser. Der er i eksemplet tale om en virksomhed i den finansielle sektor i Danmark. Beløbene, er det gennemsnitlige årlige tab på fem klassiske trusselsområder sammen med 95% fraktilen. Når vi taler om et gennemsnitligt årligt tab på 250.000 kr. består dette af hændelser, som koster alt mellem 50.000 kr. og 30 mio. kr. med svingende sandsynlighed. Man kan se dette ved at kigge på den grønne fordeling nedenfor. Den er flad (lille sandsynlighed, har sin top omkring 1 mio. kr. og så en lang hale ude til højre). Tabene for disse cyberhændelser fremkommer ved minutiøst at gennemgå primære og sekundære tab med 90% konfidensintervaller.
Læg imidlertid mærke til, at cyber optræder på en tredje plads i forhold til det gennemsnitlige årlige tab. I dette tilfælde tabes der årligt mere på hhv. outsourcing og interne fejl. Så skulle man mitigere helt rationelt, ville man hellere nedbringe risiko ved interne fejl og outsourcing end på cyberområdet.
Svarer dette til det vi ser i virkeligheden? Ja, det vil vi mene.
Vi tog over frokosten den anden dag en fuldstændig uvidenskabelig rundspørge til, hvilke hændelser vi kunne huske fra den danske finansielle sektor det sidste års tid. Vi kom hurtigt på tre hændelser, som har nået et vist niveau.
- MitID hændelsen i Nets, 26. juni 2022, problemer med certifikatserver
- BEC-hændelsen, 28 august 2022, en teknisk fejl efter en planlagt genstart af BEC’s centrale systemer natten til søndag.
- Danske Bank, 1. september 2022, situation hvor fejl i data medfører, at man godskriver gæld for mange hundrede millioner kroner.
Interne fejl, interne fejl og interne fejl.
Når vi stillede det samme spørgsmål til cyberhændelser, var der ingen, som kunne komme på situationer, der har afstedkommet nævneværdige tab.
Vores pointe er triviel. Risikostyring har til formål at tilvejebringe data til beslutningstagere, som muliggør prioritering af mitigerende initiativer. Derfor skal risikostyringen tage alle digitale tabsområder med i beregningen og behandle dem helt ens. Gør man det, kalder området interne fejl på opmærksomhed.
Der skal arbejdes med reduktion af risiko for de ekstreme tab fra eksterne ondsindede angreb. Helt sikkert. Organisationerne skal imidlertid være opmærksom på, at der er andre tabskilder, som, set over en årrække, giver større tab end cyber.
Det er ikke altid det, som er mest skræmmende, der er det farligste.
