Att det borde upp på ledningsnivå är något som många idag är medvetna om, men ändå är det fortfarande många ledningsgrupper och styrelser som inte förstår konsekvenser av cyberrisker alls.

– Enligt en artikel i DI Digital där de undersökt hur styrelser jobbar med it-säkerhet så visade det sig att fyra av fem styrelser mycket sällan diskuterar IT-säkerhet, berättar Thomas Brorsson, Affärsutvecklingschef på Aon, ett kunskapsföretag inom riskhantering.Thomas Brorsson

Ett skäl till att det inte diskuteras mer kan vara att många ännu inte förstått vidden av de risker som kan uppstå då alltfler funktioner kopplas upp via internet (Internet of Things). Vissa bolag kan t ex leva med en delvis falsk trygghet i att de lagt ut sin datahantering på s k service providers, datacentraler, som specialiserat sig på datahantering.

– Det är i och för sig bra att de använder sig av specialister på området men det finns ändå risker kvar, en datacentral kan vara en intressant måltavla för cyberattacker, förklarar Anthony Herring, Cyberspecialist på Aon.

Riskanalysen är en avgörande framgångsfaktor

För att bli framgångsrik med sin riskhantering är en bra början att man gör en genomgående riskanalys, en kartläggning av de risker just den egna organisationen kan vara utsatt för.

– Ett bra sätt att genomföra en riskanalys är på en workshop. Då samlar man nyckelpersoner från hela verksamheten som gemensamt undersöker och utvärderar de risker man kan se i verksamhetens olika delar. Fördelen med att samla alla på en plats samtidigt är att man då ger dem möjligheter till en gemensam förståelse för riskproblematiken, berättar Thomas Brorsson.

Möjliga delar av sådan en riskkartläggning kan vara:

  • Begreppet ”Cyberrisk” konkretiseras och sätts in i ett sammanhang så det blir lättare att förstå vilka risker man kan se i sin verksamhet
  • Sedan listar man upp de cyberrisker man kan identifiera utan att värdera dem utifrån sannolikhet osv, utan alla eventuella risker identifieras.
  • När väl riskerna identifierats behöver man fundera igenom konsekvenserna av respektive risk. Konsekvens kan exempelvis mätas i finansiell skada, skadat rykte, tid utan IT-stöd och om det har effekt på koncernnivå eller endast enskilt verksamhetsområde.
  • De identifierade riskerna samt de bedömda konsekvenserna av dem resulterar sedan i en prioritering av riskerna, vilka som är viktigast för just den egna verksamheten att hantera.

I sammanhanget är det också viktigt att förstå själva begreppet ”cyberrisk” som används allt flitigare. I det ingår en schattering av olika typer av risker, alltifrån elavbrott till illvilliga intrång av hackare.

– Det kan vara risker som uppstår oavsiktligt eller illvilligt, baserat på den mänskliga faktorn eller ett nätavbrott osv.  Det är lätt hänt att man tror att ”det drabbar inte mig”, men det drabbar alla förr eller senare i någon form så det är lika bra att vara förberedd, konstaterar Anthony Herring.

Går att försäkra sig för skada i samband med riskerAnthony Herring

Allteftersom antalet risker en verksamhet kan utsättas för ökar snabbt, inte minst genom den ökade digitaliseringen, så har det även utvecklats ett antal möjligheter att försäkra sig mot framför allt ekonomisk skada i samband med en incident.

– Det finns dels egna kostnader som uppstår till följd av icke-fysiska skador som exempelvis säkerhetsbrist i systemet eller ett virus. Ett av de allvarligare är avbrott till följd av en cyberincident som påverkar produktionen hos ett tillverkande företag eller en online-försäljning. I de fallen kan de ekonomiska skadorna bli påtagliga, berättar Anthony Herring.

Och idag finns breda försäkringslösningar som kan täcka in sådana skador och även ekonomiska krav som kan komma från tredje man vid en cyberincident, som exempelvis om kontokortsuppgifter läckt ut.

– Och dessutom ger försäkringarna hjälp i efterarbetet av en incident, genom att erbjuda ersättning för specialister man kan behöva ta in, eller advokathjälp, fortsätter han.

Marknaden för försäkringsbolag som erbjuder cyberförsäkringar har utvecklats starkt under de senaste tio åren och är idag väl utvecklad med ett flertal aktörer. Och kunskapsföretag som exempelvis Aon driver utvecklingen framåt när det gäller förbättringar av villkor och riskanalyser samt att försäkringarna anpassas till olika typer av risker.