Företagsledningar får inte får låta dataförlust bli deras stora fiende
Det finns ingen brist på nyhetsrubriker som rapporterar om IT-incidenter som har lett till dataförluster som kostat företag stora pengar. När personlig data från en tredjepart stjäls och kanske till och med resulterar i identitetsstöld letar alla efter någon som ska betala för detta – något som till och med kan ligga till grund för en anställds uppsägning. Men vem kan egentligen hållas ansvarig? IT-avdelningen som sitter på den tekniska kunskapen? VD:n som borde hålla koll på pengarna? Svaret är – liksom dagens datamiljö – mer komplicerat. Den data som ett företag sitter på borde vara allas ansvar och inte bara IT-avdelningens, och styras av företagsledningen – först då kan svenska företag säkra gröna siffor.
Att förstå affärspotentialen i backup och återhämtning, det vill säga teknik som säkrar ett företags data vid en cyberattack, är enkelt för en IT- eller IT-säkerhetschef. Men i och med att de flesta företag fortfarande arbetar i siloer, och eftersom det ofta är en stor klyfta mellan IT-avdelningen och företagets ledning, är det ibland svårt för ett företags ledning att förstå att det främsta ansvaret för företagets data ligger hos dem, och att detta inte endast är en fråga för IT-avdelningen. De måste arbeta tillsammans och skapa en företagskultur med ett delat ansvar som inkluderar såväl ledningen som IT-avdelningen. Och de behöver policyer som inkluderar att samtliga anställda måste vårda företagets data, baserat på deras kunskaper inom god cyberhygien. Men varför är detta viktigt? Anledningen till detta är att dataförlust kan få ödesdigra konsekvenser för ett företag, och till och med orsaka röda siffror. Den stora ransomware-attack som bland annat drabbade en stor svensk matvarukedja förra sommaren är ett exempel. Veeams Data Protection Trends Report 2022 påvisar en genomsnittlig timkostnad på 880 000 kronor för företag som drabbas av nedtid i samband med ransomarteattacker. Hur mycket kostade det den nationella matvarukedjan att ha hela butiksverksamheten stängd under två dagar? Den enligt rapporten beräknade kostnaden på 42 miljoner kronor? Mer? Mindre? Och på vilket sätt påverkade detta kedjans varumärke och förtroendet för företaget?
Nedtid syns på sista raden
Exemplet ovan är något som de flesta kan relatera till, då de flesta förstår vad det innebär för en nationell matvarubutik att tappa intäkter från två hela dagar. Men exakt samma gäller alla andra företag som drabbas av nedtid. Och problemet är att många ofta fokuserar på att försöka skydda sig mot hackare och hantera ransomware, men inser inte två saker. Det första är att trots att 71 procent av nordiska verksamheter utsattes för en ransomwareattack förra året, orsakas nedtid av många andra orsaker som också måste hanteras. Det andra, desto viktigare, är att den bästa förberedelsen och försäkringen mot kidnappningsprogram eller andra säkerhetsproblem är att säkra den kortaste tiden för återhämtning, för att minimera den nedtid som orsakas av en attack eller annat avbrott i verksamheten. Att sänka kostnaden för nedtid är att skydda sig mot röda siffror. Detta är något som svenska företagsledare måste ta till sig, och sluta betrakta cyberattacker och andra IT-relaterade problem som endast en IT-fråga. Det är en ekonomifråga, punkt.
Beräkna kostnaden för nedtid
Ett sätt att se till att eventuell nedtid inte förbises är att bygga in den i den ekonomiska planeringen. Det vill säga att beräkna kostnaden för nedtid. Hur mycket kostar det ditt företag att verksamheten ligger nere en timme? Två timmar? Fem? När man har beräknat detta kan man också se var smärtgränsen ligger, det vill säga – hur många timmars nedtid man har råd med innan det börjar påverka det ekonomiska resultatet till den grad att balansräkningen visar röda siffror. Man får inte glömma att kostnaden för nedtid inte bara är förlorade intäkter eller affärer under verksamhetsavbrottet. Nedtid kan betyda att företagets rykte skadas, att partner tappar förtroende för företaget, att företagets aktie faller, att anställda säger upp sig eller att man tappar kunder. Ju längre nedtid – ju högre är kostnaden.
För saken är den att alla företag behöver räkna med nedtid. Ibland är nedtiden planerad, exempelvis under systemuppdateringar eller migreringar, och dessa nedtider är kontrollerade sådana. Den nedtid som kostar pengar är den som är oplanerad och som oftast är en negativ överraskning. Men oplanerad nedtid behöver alltså inte nödvändigtvis orsakas av en cyberattack, den kan också orsakas av elförsörjningsproblem, naturkatastrofer som stormar, eller annat. Så oavsett hur starkt cybersäkerhetsskydd man har måste man ta in nedtid i den ekonomiska kalkylen.
Testa din backup – då är du försäkrad
Det bästa sättet att skydda sig är att testa dina backuper. Detta behöver göras regelbundet i takt med att verksamheten utvecklas och man hela tiden samlar på sig ny data, knyter till sig nya molntjänster, kopplar upp nya enheter, och så vidare. Dessutom är det viktigt att också kvalificera den data du har. Vilken data är det mest viktigt att få tillgång till snabbt i samband med återhämtning från nedtid? Vilken data behöver man inte ha tillgång till lika ofta och snabbt? Denna typ av utvärderingar kallar IT-avdelningen för Recovery Point och Time Objectives, som gör det möjligt för dataskyddet att matcha affärsprioriteringarna. Ska du exempelvis ta fram ekonomiska kalkyler eller ta in information till kvartalets bokslut gäller det att denna information alltid finns tillgänglig då den behövs, medan mindre aktuell information som inte behövs till verksamhetens löpande arbete kan nedprioriteras då den inte behöver tillgängliggöras lika snabbt. Och om du skulle ta fram kalkyler baserade på fel data, eftersom data inte har backats upp ordentligt, då får du fram felaktiga kalkyler som kan orsaka affärsbeslut som blir skadliga för verksamheten. Och om viktig kundinformation skulle gå förlorad, vilket i sin tur skulle kunna leda till ett brott mot GDPR eller annan lagstiftning, skulle det kosta såväl företagets anseende som ekonomi.
Företagets data är hela företagsledningens ansvar – inte bara IT-chefens
Dessa kvalificeringar av data behöver göras baserat på verksamhetens behov, och vilka dessa är ligger på VD:ns och ekonomichefens bord – inte IT-chefens. Det är därför det blir så fel när ett företag råkar ut för en ransomware-attack eller nedtid orsakad av något annat, och alla tittar på IT-chefen och kräver att denna ska ta sitt ansvar. Ansvaret för att veta vilken data som är viktigast och att därefter se till att företagets data säkras på rätt sätt ligger hos hela ledningsgruppen. Och detta torde vara självklart i denna moderna digitaliserade värld där alla företags verksamheter bygger på data i digital form.
Tiderna har förändrats och därför behöver vi också förändra ansvarsfördelningen på företagen för att matcha vårt moderna databeroende samhälle. Det är därför vi behöver moderna strategier för dataskydd, för att hjälpa företag att ha den backup-, återställnings- och datahanterings-lösning som behövs för att sifforna förblir gröna – även om ett dataintrång eller en ransomware-attack sker. Om ansvarsfördelningen i svenska företag anpassar sig efter moderna verksamheters behov blir det lättare för världens dataskyddare att göra sitt jobb.
Jesper Lundin, Regional Director, Sweden & Finland, Veeam Software