Hva koster en dag uten IT-systemer?

IT-systemer som er nede på grunn av datakriminalitet koster norske bedrifter en ukjent sum penger hvert år. Men det er mulig å gjøre et anslag for hva det vil koste vriksomheten din og finne tiltak som lønner seg.

– Det er alt fra salgene som går tapt i perioden du ikke har tilgang, til et scenario hvor du går konkurs, forklarer Torgeir Waterhouse, direktør for internett og nye medier i IKT-Norge.

– Det handler om at du ikke vet hvor stort omfanget er. Det betyr tapte inntekter, men i tillegg kommer kostnadene rundt hele hendelsen. Hvis du driver en kiosk som er nede i en time, er det ikke det samme som når et stort firma er nede i dager, forklarer Waterhouse enkelt.

Som et eksempel kan nevnes en erstatningssak som oppstod da et tjenestenektangrep rammet flere selskaper i Norge. Datasystemene ble overbelastet av angrepet og selskapenes kunder fikk ikke tilgang til tjenestene de kjøpte. Bak angrepet fant politiet en 17 år gammel gutt som tilstod angrepet og forklarte til politiet at hans motiver var å vekke norske selskaper med tanke på datasikkerhet. De rammede selskapene stilte hver et krav på 50.000 kroner i erstatning til personen som tilstod angrepet.

If har lansert en forsikring som dekker utgifter som følge av datakriminalitet.

De ser at i kjølvannet av tapt omsetning kommer flere andre utgifter seilende opp.

– De fleste bedrifter vil ha utgifter til IT-konsulenter for å finne årsaken til feilen, rette skadene og iverksette tiltak for å forhindre fremtidige innbrudd, forklarer Line Gjengedal Ruud, i If.

Å rydde opp i datasystemene etter et angrep kan bli en betydelig utgift. Noen ganger betyr det også innkjøp av nytt utstyr.

– Erstatning for tapt omsetning kommer i tillegg til dette og beregnes ut fra omsetning og antall timer eller dager med nedetid, sier Gjengedal Ruud.

Benytt nedetiden best mulig

Det er lett å regne seg frem til beløpet bedriften taper per dag, kanskje per time, når datasystemene er utilgjengelige. Tapt omsetning er derimot bare en liten del av den totale kalkylen.

– Det er et mye større tap enn de fleste tenker. I tillegg kommer de ikke så håndgripelige utgiftene. Tapt omdømme og tillit er en utfordring, det er gjerne dyrere å rydde opp enn å sikre på forhånd, sier Waterhouse.

– I tillegg kommer kostnadene ved å informere bedriftens egne kunder som er berørt av hendelsen. Det kan også i noen tilfeller være nødvendig å overvåke aktivitet på kunders konto for å forsikre seg om at de som har kommet inn i bedriftens systemer, ikke misbruker kundeinformasjon.

Når bedriften først opplever nedetid, uansett hva årsaken er, er mange i villrede og vet ikke helt hva de skal gjøre. IT-avdelingen, om bedriften har noen, leter etter årsaken og forsøker å rette opp. Men hva gjør resten av bedriften?

– Mye av dette kan løses med god planlegging. Selv om det går an å forsikre seg mot slike tap, er det lurt å legge en plan for hvordan bedriften skal håndtere nedetid, mener Waterhouse.

Lag en «nedetidsplan»

Så hva gjør en bedrift når strømmen går, serveren tar en uplanlagt ferie eller systemet må renses etter at hackerne har vært på ferde? Torgeir Waterhouse mener bedrifter mangler en plan for IT-beredskap.

– For mange handler det om å komme raskest mulig tilbake til normalen. Noen bedrifter kan fortsette aktiviteten selv om datamaskinene streiker, kanskje gjennom manuelle prosesser. Det man bør gjøre, er å ha et bevisst forhold til hva man skal gjøre dersom man ikke har tilgang i en periode. Noen kan ha nytte av en offline-backup, der kunnskapen til bedriften er samlet, forklarer han.

Ikke nok kompetanse

– For små og mellomstore bedrifter er kostnaden ved å sikre datasystemene stor, dermed blir viljen til å investere ytterligere i kriseplanlegging ofte nedprioritert, mener Waterhouse.

Det handler om å gjøre fornuftige investeringer i utstyr og kompetanse, og tenke «hvordan kan jeg gjøre dette bedre».

Det er flere grep du kan gjøre for å redusere risikoen for at bedriften skal bli angrepet av hackere, bla. gjennom opplæring av ansatte og ved å innføre bedre sikkerhetsrutiner. Her kan du lese mer om hvordan du reduserer risikoen for å bli angrepet.