Tilbage
Cyber security uddannelse og software | MetaCompliance

Produkter

Oplev vores pakke af personlige Security Awareness Training-løsninger, der er designet til at styrke og uddanne dit team mod moderne cybertrusler. Fra politikstyring til phishing-simulationer - vores platform udstyrer din arbejdsstyrke med den viden og de færdigheder, der er nødvendige for at beskytte din organisation.

eLearning om cyber security

Cyber Security eLearning for at udforske vores prisvindende eLearning-bibliotek, der er skræddersyet til alle afdelinger

Automatisering af sikkerhedsbevidsthed

Planlæg din årlige oplysningskampagne med et par klik

Simulering af phishing

Stop phishing-angreb i deres spor med prisvindende phishing-software

Forvaltning af politikker

Centraliser dine politikker ét sted, og håndter politikkernes livscyklus uden besvær

Forvaltning af privatlivets fred

Styr, overvåg og administrer nemt overholdelse

Håndtering af hændelser

Tag kontrol over interne hændelser og afhjælp det, der betyder noget

Tilbage
Industri

Industrier

Udforsk alsidigheden af vores løsninger på tværs af forskellige brancher. Fra den dynamiske teknologisektor til sundhedssektoren kan du dykke ned i, hvordan vores løsninger skaber bølger på tværs af flere sektorer. 


Finansielle tjenesteydelser

Skab en første forsvarslinje for finansielle serviceorganisationer

Regeringer

En go-to-løsning til sikkerhedsbevidsthed for regeringer

Virksomheder

En løsning til træning af sikkerhedsbevidsthed i store virksomheder

Fjernarbejdere

Indlejr en kultur af sikkerhedsbevidsthed - også derhjemme

Uddannelsessektoren

Engagerende træning i sikkerhedsbevidsthed for uddannelsessektoren

Sundhedspersonale

Se vores skræddersyede sikkerhedsoplysning til sundhedspersonale

Teknisk industri

Forandring af sikkerhedsbevidsthedstræning i teknologibranchen

Overholdelse af NIS2

Støt dine Nis2-krav med initiativer til bevidstgørelse om cybersikkerhed

Tilbage
Ressourcer

Ressourcer

Fra plakater og politikker til ultimative vejledninger og casestudier - vores gratis awareness-aktiver kan bruges til at forbedre bevidstheden om cybersikkerhed i din organisation.

Cybersikkerhed for dummies

En uundværlig ressource til at skabe en kultur af cyberbevidsthed

Dummies guide til cybersikkerhed Elearning

Den ultimative guide til implementering af effektiv e-learning om cybersikkerhed

Den ultimative guide til phishing

Uddan medarbejderne i, hvordan man opdager og forebygger phishing-angreb

Gratis oplysningsplakater

Download disse gratis plakater for at øge medarbejdernes årvågenhed

Politik til bekæmpelse af phishing

Skab en sikkerhedsbevidst kultur og skab bevidsthed om cybersikkerhedstrusler

Casestudier

Hør, hvordan vi hjælper vores kunder med at skabe positiv adfærd i deres organisationer

A-Z-terminologi om cybersikkerhed

En ordliste med uundværlige termer inden for cybersikkerhed

Adfærdsmæssig modenhedsmodel for cybersikkerhed

Auditér din awareness-træning og benchmark din organisation i forhold til best practice

Gratis ting

Download vores gratis Awareness Assets for at forbedre bevidstheden om cybersikkerhed i din organisation

Tilbage
MetaCompliance | Cyber security uddannelse for medarbejdere

Om

Med over 18 års erfaring på markedet for cybersikkerhed og compliance leverer MetaCompliance en innovativ løsning til automatisering af medarbejdernes informationssikkerhedsbevidsthed og hændelseshåndtering. MetaCompliance-platformen blev skabt for at imødekomme kundernes behov for en enkelt, omfattende løsning til at håndtere de menneskelige risici omkring cybersikkerhed, databeskyttelse og compliance.

Hvorfor vælge os?

Lær, hvorfor Metacompliance er den betroede partner til træning i sikkerhedsbevidsthed

Specialister i medarbejderengagement

Vi gør det lettere at engagere medarbejderne og skabe en kultur med cyberbevidsthed

Automatisering af sikkerhedsbevidsthed

Automatiser nemt træning i sikkerhedsbevidsthed, phishing og politikker på få minutter

MetaBlog

Bliv informeret om emner inden for cybersikkerheds-awareness-træning og begræns risikoen i din organisation.

Beregning af de store omkostninger ved brud på datasikkerheden i 2021

Omkostningerne ved et brud på datasikkerheden

om forfatteren

Del dette indlæg

Når vi taler om databrud, er det almindeligt, at vi kun henviser til de "optegnelser", der blev afsløret. Problemet med dette er, at uden at medregne omkostningerne ved databrud mangler vi en sammenhæng. Når alt kommer til alt, er der kun få tydeligere illustrationer af virksomhedens konsekvenser end de store indhug i bundlinjen.

I denne artikel vil vi se på:

  • Hvorfor brud på datasikkerheden sker.
  • De vigtigste faktorer, der driver omkostningerne ved databrud.
  • Gennemsnitlige omkostninger ved et databrud.
  • Eksempler på brud på datasikkerheden i 2020 og 2021.
  • Hvor meget disse brud på datasikkerheden kan have kostet.
  • Hvad din organisation kan gøre for at afbøde virkningerne.

(Hvis du ikke har så meget tid, er der et resumé i slutningen af artiklen)

Hvorfor sker der databrud?

Vi har tre hovedkategorier af årsager til databrud: menneskelige fejl, ondsindede angreb og systemfejl.

Men takket være en IBM Security-rapport om omkostningerne ved databrud kan vi se, at det sjældent er den tekniske side af tingene, der har hele skylden. Nej, i 75 % af tilfældene er det den kødfulde del, der bruger teknologien, der er skyld i det. Enten på grund af menneskelige fejl eller en form for ondsindet angreb. 

Årsager til brud på datasikkerheden

Kilde: Cost of Data Breach Report 2020, IBM Security

Hvis vi kigger lidt nærmere på kategorien af ondsindede angreb, kan vi se, at tvivlsomme cloud-konfigurationer og svage adgangskoder kan få en stor del af skylden. Begge dele kan faktisk afhjælpes med regelmæssig træning i sikkerhedsbevidsthed og en effektiv sikkerhedspolitik.

trusselsvektorer i forbindelse med brud på datasikkerheden

Kilde: Cost of Data Breach Report 2020, IBM Security

Kompleksiteten af moderne sikkerhedssystemer har uden tvivl ført til de øgede udfordringer, som sikkerhedsteams står over for. I takt med at forskellige dele af organisationen skal bruge mere ekstern software, åbner det op for endnu en trusselsvektor, som der skal beskyttes mod. Det er også svært at ignorere phishing-angreb som en potentiel trusselsvektor, da de tegner sig for 14 % af alle ondsindede databrud.

Beregning af omkostningerne ved brud på datasikkerheden

Der er mange faktorer at tage hensyn til, hvis vi vil forsøge at regne ud, hvor meget et databrud sandsynligvis vil koste, men grundlæggende kan vi opdele det i fire centrale omkostningscentre:

  • Opsporing og optrapning: Det er alt, hvad en virksomhed gør for at opdage et brud, f.eks. revisionstjenester.
  • Underretning: Når en organisation har fundet ud af, at der er et problem, skal den ikke kun kommunikere med de registrerede, men også med myndigheder, juridiske eksperter og regulerende konsulenter.
  • Tabte forretninger: Afhængigt af arten af bruddet kan en organisation opleve nedetid, hvilket påvirker omsætningen, og på længere sigt skal de håndtere brandskader.
  • Efterfølgende reaktion: Efter at bruddet er sket, og de berørte brugere er blevet underrettet, kommer tilstrømningen af forespørgsler, potentielle juridiske omkostninger, bøder og måske tilbud og rabatter for at genoprette en smule af den ødelagte goodwill.

Ud over disse hovedomkostningssteder er der et par andre faktorer, som vi kan tage hensyn til. F.eks. varierer omkostningerne pr. post fra land til land og fra branche til branche, idet amerikanske sundhedsjournaler er de dyreste.

Så er der selve datatypen. PII-oplysninger (personligt identificerbare oplysninger) om kunder er den dyreste og langt den mest kompromitterede datatype. Men over hele linjen kan vi se, at den gennemsnitlige omkostning pr. record for små til store databrud ligger på uhyggelige 146 dollars.

Omkostninger ved databrud efter type

Kilde: Cost of Data Breach Report 2020, IBM Security

Vi siger "små til store", fordi der er en anden omkostningsfaktor, der er baseret på skala:

Det frygtede "mega-brud".

Ethvert brud, der involverer mere end 1 million registreringer, defineres som et mega-brud; det repræsenterer det absolut værste scenarie for de involverede organisationer. Det er også de brud, vi hører mest om, simpelthen fordi de er så store. 

Gennemsnitlige samlede omkostninger ved brud på datasikkerheden

Kilde: Cost of Data Breach Report 2020, IBM Security

Da de er så omfattende, skal de også analyseres separat fra de små og store brud, da de ellers vil ende med at forvrænge tallene.

De seneste databrud og deres omkostninger

På baggrund af tallene ovenfor kan vi anslå, hvor meget nogle af de mere kendte databrud har kostet disse virksomheder.

Her er et kig på nogle af de større databrud, som vi har set i løbet af de sidste 12 måneder, og hvor meget de har kostet.

533 millioner - Facebook, 03. april 2021

Anslåede omkostninger: 3,7 milliarder dollars

Type data, der udsættes: telefonnumre, fødselsdato, lokaliteter (inkl. historiske data), fulde navn, nogle e-mail-adresser.

I begyndelsen af april 2021 kom det frem, at personlige oplysninger om mere end en halv milliard Facebook-brugere var blevet lækket. Facebook afviste at underrette de berørte brugere (måske for at spare på omkostningerne, da vi ved, at underretning og efterfølgende svar er to af de vigtigste omkostningssteder), efter at deres data var blevet skrabet ved at udnytte en sårbarhed i en funktion, der nu er udfaset. 

250 millioner - Microsoft, 22. januar 2020

Anslåede omkostninger: 1,8 mia.

Type data, der udsættes: e-mail-adresser, IP-adresser, chatlogs.

2020 var knap nok ved at få støvlerne på, før Microsoft annoncerede et stort brud. Selv om de ikke oplyste tal, anslås det, at antallet af udsatte poster er på 250 millioner. Disse optegnelser indeholdt e-mail- og IP-adresser samt chatlogs mellem supportpersonale og kunder. Microsoft indrømmede, at dette brud var resultatet af en "fejlkonfiguration af en intern kundesupportdatabase".

9 millioner - EasyJet, 12. maj 2020

Anslåede omkostninger: 50 millioner dollars

Type data, der udsættes: kredit- og betalingskort

I maj 2020 meddelte EasyJet, at der var blevet "adgang til 9 millioner kundeoplysninger " i det, som de beskrev som et "meget sofistikeret cyberangreb". Dette angreb kom på et dårligt tidspunkt for EasyJet, da pandemiens virkninger var begyndt at slå igennem og involverede kreditkortdata. Det førte også til, at 10.000 personer tilsluttede sig en retssag mod EasyJet. Afhængigt af udfaldet af denne sag kan det anslåede beløb på 50 millioner dollars bevæge sig op i milliarderne, da hvert af ofrene kan være berettiget til 2 500 dollars.

5,2 millioner - Marriott, 31. marts 2020

Anslåede omkostninger: 50 millioner dollars

Type data, der udsættes: navne, adresser, nogle telefoner og e-mails

Den store hotelkoncern Marriott afslørede, at 5,2 millioner gæster havde fået deres data afsløret, efter at hackere havde fået fat i to medarbejderes loginoplysninger. Dette var oven på et tidligere brud i 2018, da et af Marriotts datterselskaber blev hacket og afslørede millioner af ukrypterede pasnumre og kreditkortoplysninger.  

Hvad kan din organisation gøre for at afbøde virkningerne?

Det er tydeligt, at organisationer i alle former og størrelser ikke er helt immune. Uanset om der er tale om uforsigtighed eller ond vilje, vil der altid være svage punkter, når mennesker interagerer med maskiner.

Du vil også have folk, der er villige og i stand til at udnytte disse svage punkter. 

Det er dog ikke alt sammen dystert, for der er masser af ting, som din organisation kan begynde at gøre med det samme for at reducere sandsynligheden for et databrud.

Omkostningsfaktorer for databrud

Kilde: Cost of Data Breach Report 2020, IBM Security

  • Test af reaktion på hændelser: Hvis du ved, hvad du skal gøre, når det værste sker, kan din organisation spare over 230.000 dollars. Værktøjer til hændelseshåndtering hjælper dig med at samle alle de bevægelige dele og giver dig et overblik over en hændelses livscyklus, når den opstår. Men det er også vigtigt, at du sætter alt dette på prøve med simulerede angreb. Det er ikke kun it-teamet, der skal involveres i testningen. Alle fra sælgere til supportpersonale bør være involveret. Især i lyset af den konstante udvikling af trusler som phishing og ransomware. 96 % af databrud stammer fra e-mail, men det behøver ikke at være hverken dyrt eller tidskrævende at køre simulerede phishing-angreb for at forberede dit team.

  • Uddannelse i sikkerhedsbevidsthed: Den stigende udbredelse af fjernarbejde har tilføjet endnu et lag af sårbarhed, da medarbejdere bruger potentielt usikre enheder og forbindelser til at få adgang til følsomme data. Så nu mere end nogensinde før har uddannelse i cybersikkerhed for medarbejdere potentiale til at reducere risikoen (og de potentielle omkostninger) ved databrud.

  • Omfattende kryptering: Mange højt profilerede databrud har involveret tilfælde, hvor følsomme data er blevet gemt i ukrypterede filer, hvor adgangskoder og kreditkortdata nogle gange bare ligger der i klartekst uden at blive skraveret. Udrulning af kryptering i hele virksomheden kan have en massiv effekt, men det afhænger stadig af, at dine medarbejdere er i gang. Hvilket fører fint ind i den næste løsning.

  • Forvaltning af politikker: Hvis løsninger som kryptering skal virke, skal du have en effektiv cybersikkerhedspolitik på plads og, endnu vigtigere, sørge for, at alle ved, hvad de skal gøre. Traditionelle tilgange til politikstyring indebærer ofte, at HR skal jagte teammedlemmer og sende stadig mere irriterede e-mails for at spørge, om de har læst og forstået den nye cybersikkerhedspolitik. Og, hvis det pågældende teammedlem har læst den, kan de så venligst underskrive den og returnere den? Vil du ikke nok? Ved at implementere en platform til styring af cybersikkerhedspolitikker kan din organisation i stedet opdage huller i medarbejdernes viden og mangler i politikken og holde omkostningerne ved databrud på et minimum.

TL;DR

  • De kan være uhyre dyre: globalt set koster databrud organisationer i gennemsnit 2,8 mio. pund pr. brud.
  • De fleste databrud er ondsindet: Mere end halvdelen af alle databrud er resultatet af en eller anden form for ondsindet aktivitet.
  • Som mor altid sagde: "Forberedelse og planlægning på forhånd forhindrer dårlige præstationer": At have et beredskabsteam, teste din beredskabsplan, bruge kryptering og uddanne dine brugere har nogle af de største virkninger.

Cyber Security Awareness for Dummies

Andre artikler om Cyber Security Awareness Training, som du måske finder interessante