Informationssäkerhet handlar om att skydda din information. Men vad kan hända om man inte skyddar den tillräckligt? I det här blogginlägget kommer vi att förklara konsekvenserna av otillräcklig informationssäkerhet.
Vad innebär informationssäkerhet?
Informationssäkerhet handlar framför allt om att hindra information från att läcka ut, förvanskas och förstöras. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer och i rätt tid. Information ska inte kunna hamna i orätta händer och missbrukas.
Informationssäkerhet gäller såväl hos enskilda personer som hos organisationer, både i näringslivet och i offentlig verksamhet. Informationssäkerhet omfattar därför hela samhället.
Vad kan bristande informationssäkerhet leda till?
Bristande informationssäkerhet kan få konsekvenser i form av att verksamheten inte kan bedrivas på ett ändamålsenligt och effektivt sätt, bristande skydd för den personliga integriteten samt störningar i samhällsviktig verksamhet.
Brister i informationssystem kan också påverka:
- Fysiska tillgångar
- Skador på den kritiska infrastrukturen
- Incidenter som leder till oförmåga eller förstörelse av sådana system och tillgångar kan leda till allvarliga kriser som drabbar de finansiella systemen
- Allmänhetens hälsa
- Den nationella säkerheten
Det kan även leda till ett försämrat förtroende för tjänster och bakomliggande aktörer. Allvarliga och upprepade störningar kan leda till förtroendekriser, som också kan sprida sig till fler aktörer och tjänster och även till andra sektorer.
Kostnaden för otillräcklig informationssäkerhet
Tillräcklig informationssäkerhet kan skydda dig från ransomware, dataläckage, datamanipulation och så vidare. Det finns gott om exempel under det senaste året där företag drabbats av attacker som resulterat i stora kostnader. En attack kan bli väldigt dyr, till exempel kan du förlora pengar på grund av:
- Driftstopp som påverkar din verksamhet
- Förlorade intäkter
- Återställande och sanering av system
- Förlorat förtroende/goodwill
En genomsnittlig cyberattack 2022 kostade runt 4,35 miljoner USD. Så att skydda dig mot detta är mer än viktigt. Det är nödvändigt.
Många kanske tänker “vi har vår brandvägg, vad mer kan vi göra?”. Men om du har information eller system som är avgörande för din organisation, är det lämpligt att minska dina risker och investera i en högsäkerhetslösning. Många nätverk kräver extra skydd mot manipulation och dataläckage eftersom de innehåller sekretessbelagd eller känslig information. Om dessa nätverk/system utsätts för en attack kommer en brandvägg förmodligen inte att skydda dig från att behöva spendera mycket pengar på att återställa era system.
Säkerhetslagar som kräver att du arbetar med informationssäkerhet
Dessutom finns det flera lagar och förordningar som kräver att du har tillräckligt skydd för känslig information och system – till exempel NIS-direktivet. I Sverige kan en annan lag, säkerhetsskyddslagen, påverka hur du ska skydda din känsliga information. Har ni inte sett till att det finns tillräckligt säkerhetsskydd inom er organisation eller hos era partners kan ni få en sanktionsavgift på upp till 50 miljoner kronor. En verksamhet som behövde betala böter är region Uppsala, som hade skickat känsliga personuppgifter okrypterat till mottagare utomlands. Detta kostade dem 2 miljoner kronor.
Hur mycket ska man spendera på informationssäkerhet?
Kvantifiering av cyberrisker
Cyberattackerna ökar ständigt och är något de flesta företag är medvetna om, vilket medför ett ökat behov av att cyberrisker mäts och rapporteras i finansiella termer. Företagsledare vill helt enkelt veta mer om de risker de står inför och vad kostnaderna kan vara. Att arbeta med kvantifiering av cyberrisker betyder att prioritera risker efter hur stor ekonomisk förlust de kan innebära, vilket gör det möjligt för de ansvariga personerna på företaget att skapa budgetar baserade på de riskreducerande strategier som ger det bästa skyddet och avkastningen på investeringen.
I en kvantifiering av cyberrisker tittar du på den ekonomiska effekten av cyberrisk på din verksamhet, men också på mer immateriella men ändå grundläggande områden som kundnöjdhet, medarbetarengagemang, rykteshantering, varumärkesskydd och supply chain management. Alla dessa är risker som kommer att kosta dig pengar i slutändan.
Riskkostnaden är sannolikheten för en viss konsekvens gånger kostnaden som konsekvensen har. Så för en konsekvens som skulle kosta företaget eller organisationen 1 Mkr och har en sannolikhet på en gång vart tionde år, är riskkostnaden 100 000 kr/år. Skyddet för just denna risk bör då inte vara mer än det beloppet.
Vill du veta mer om informationssäkerhet och hur vi kan hjälpa dig?