Ifølge IBMs «Cost of a Data Breach»-rapport for 2024 har de gjennomsnittlige kostnadene ved et sikkerhetsbrudd økt med 10 % det siste året. Mange av disse kostnadene skyldes at angripere krever løsepenger for sensitiv informasjon, samt at datainnbrudd ofte forblir uoppdaget i opptil ett år. Dette gjør det utfordrende å identifisere hvor og hvordan bruddet har skjedd.
Norske bedrifter rammes hardt
Næringslivets sikkerhetsråd rapporterer i Mørketallsundersøkelsen for 2024 at 46 % av de norske bedriftene som oppdaget forsøk på sikkerhetsbrudd, gjorde det ved en tilfeldighet. Videre viser rapporten at 50 % av bedriftene som ble utsatt for et angrep enten hadde et økonomisk tap på minst 50 000 NOK eller var usikre på tapets omfang. I tillegg rapporterte 40 % av de rammede at de opplevde nedetid som en ikke-økonomisk konsekvens av angrepet.
PwCs årlige cybersikkerhetsrapport viser at 38 % av respondentene opplevde økonomiske tap på minst 1 million dollar etter et sikkerhetsbrudd – en økning på 27 % fra året før. Rapporten peker på at økt bruk av skybaserte løsninger har gjort bedrifter mer utsatt for angrep.
Vanskelig å beregne de totale tapene
Mange bedrifter sliter med å kvantifisere de reelle kostnadene ved et sikkerhetsbrudd. Direkte tap som løsepenger og juridiske kostnader er enkle å beregne, men indirekte tap, som tap av intellektuell eiendom, redusert kundetillit og produksjonsstans, er vanskeligere å tallfeste. Ifølge IBM koster et gjennomsnittlig datainnbrudd bedrifter rundt 50 millioner kroner.
Bøter ved brudd på GDPR
Dersom personopplysninger kompromitteres i et dataangrep, kan det føre til brudd på General Data Protection Regulation (GDPR). Slike brudd kan resultere i bøter på opptil 120 millioner kroner eller 2 % av bedriftens årsomsetning, avhengig av hvilket beløp som er høyest. Ved mer alvorlige brudd kan bøtene dobles til 240 millioner kroner eller 4 % av årsomsetningen. I Norge er det Datatilsynet som fører tilsyn og ilegger bøter på vegne av EU.
Konsekvenser for kunder
Et databrudd kan ha store konsekvenser for kundene, enten det er snakk om B2B- eller B2C-markedet. Økonomiske tap kan føre til prisøkninger, mens kompromittert kundedata kan gjøre kunder sårbare for svindel og identitetstyveri. 74% av selskapene i Mørketallsrapporten mente at databrudd førte til at de måtte kontakte andre berørte parter som kunder og andre samarbeidspartnere.
Hvordan kan bedrifter beskytte seg?
Det finnes flere effektive tiltak for å redusere risikoen for sikkerhetsbrudd. Ifølge PwC er det en tydelig sammenheng mellom investering i cybersikkerhet og lavere antall angrep. Spesielt viktig er det å trene ansatte i cybersikkerhet, da Mørketallsundersøkelsen viser at mange brudd skyldes menneskelige feil.
Kun 56 % av bedrifter med 5–19 ansatte har et sikkerhetsrammeverk. Et slikt rammeverk hjelper bedrifter å forutse trusler, forebygge angrep og raskt sette inn tiltak dersom et brudd oppstår. Rammeverket burde også tilrettelegge for backup-løsninger for å forhindre tap av verdifull data under angrep.
Et av de mest effektive sikkerhetstiltakene er flerfaktorautentisering (MFA), som gir et ekstra lag med beskyttelse ved pålogging. I løpet av 2025 vil MFA bli et krav for de fleste skybaserte løsninger, men det er viktig at bedrifter implementerer det på alle sine digitale plattformer.
Oppsummering
Kostnadene ved et sikkerhetsbrudd kan være betydelige, både direkte og indirekte. Bedrifter bør investere i cybersikkerhet, bevisstgjøring og tekniske tiltak som MFA for å redusere risikoen. Å ha et tydelig sikkerhetsrammeverk og rutiner for krisehåndtering kan være avgjørende for å minimere skadeomfanget dersom et angrep skulle inntreffe.
