Näin lasket, miten henkilöstön kouluttamisesta tietoturvatietoisuuskampanjan avulla saadaan sijoitetun pääoman tuotto (ROI).
Kulttuuri-, media- ja urheiluministeriön (DCMS) tutkimuksessa todettiin, että 39 prosenttia brittiläisistä yrityksistä joutui verkkohyökkäyksen kohteeksi vuonna 2022. Näiden rikkomusten kustannukset eivät ole merkityksettömät. DCMS:n raportissa laskettiin, että yhden verkkohyökkäyksen taloudellinen vaikutus maksaa keskisuurelle yritykselle 19 400 puntaa. Kun otetaan huomioon, että organisaatiot ovat päivittäin kyberhyökkäysten uhkaamia, tämä on huolestuttavaa.
Tietoturvakoulutus on yksi niistä toimenpiteistä, joilla voidaan vähentää hyökkäyksen tapahtumisen tai etenemisen todennäköisyyttä. Tämä tarkoittaa hyökkäyksen kustannusten vähenemistä. Mutta onko hyökkäysriski sen arvoinen, että tietoturvatietoisuuskoulutuksen suorittaminen on sen arvoista?
Turvallisuustietoisuuskampanjan ROI:n laskennassa huomioon otettavat seikat
Ennen kuin ryhdytään laskemaan, onko turvallisuuskoulutus sen arvoista, on kartoitettava kaikki siihen sisältyvät kohteet. Tietoturvahyökkäyksessä ja/tai tietomurrossa on monia liikkuvia osia, joista jokaisesta aiheutuu aineellisia ja aineettomia kustannuksia.
Seuraavassa tarkastellaan joitakin verkkohyökkäyksen todennäköisimpiä kustannuksia:
Tietoverkkohyökkäyksen välittömät taloudelliset tappiot
Tietoverkkohyökkäyksen suora vaikutus riippuu sekä verkkohyökkäyksen tyypistä että organisaatiosta. Esimerkiksi lunnasohjelmahyökkäykseen voi liittyä lunnaiden maksaminen (vaikka maksaminen ei olekaan suositeltava strategia). On kuitenkin syytä huomata, että lunnaiden määrät ovat kasvaneet viime vuosina.
Nordlockerin raportissa todettiin, että keskimääräinen lunnasohjelmista maksettava lunnasmaksu on kasvanut 78 prosenttia, mikä nostaa lunnaiden määrän huikeaan 541 010 dollariin (478 000 puntaa).
Tietoverkkohyökkäyksestä aiheutuvia kustannuksia voivat olla myös tietotekniikkajärjestelmille aiheutuneet vahingot, hyökkäyksen korjaamiseen käytetty aika ja ryhmäkanteet: Yhdistyneessä kuningaskunnassa verkkohyökkäyksen jälkeisten ryhmäkanteiden määrä kasvoi 120 prosenttia vuosina 2018-2020.
Tietoverkkohyökkäyksen keskimääräiset kustannukset olisi otettava huomioon laskettaessa tietoturvatietoisuuskampanjan kannattavuutta. Tässä olisi kuitenkin otettava huomioon myös hyökkäysten keskimääräinen määrä vuodessa. DCMS:n raportin mukaan 31 prosenttia yrityksistä ja 26 prosenttia hyväntekeväisyysjärjestöistä arvioi, että niitä vastaan hyökätään vähintään kerran viikossa.
Rikkomuksen torjumiseen kuluva aika ja työ
Yksi verkkohyökkäyksen seurauksista on vaikeus paikallistaa hyödyntämisketju ja rajoittaa vahinkoa. IBM:n raportissa tietomurron kustannuksista todettiin, että keskimääräinen aika tietomurron rajoittamiseen vuonna 2022 on 277 päivää. Tänä aikana kustannukset nousevat.
Tietoturvatietoisuuskampanjan ROI:n laskennassa olisi otettava huomioon IT-järjestelmän seisokkiaika, IT-tuki ja arvioitu tuottavuuden menetys.
Mainevahingot
Mainevahingot ovat aineettomia ja siksi vaikeasti mitattavissa. Negatiiviseen maineeseen johtavan verkkohyökkäyksen jälkeen vaikuttavat kuitenkin monet tekijät. Näihin kuuluu yleinen luottamuksen menetys, joka vaikuttaa asiakkaisiin, osakekurssiin ja kumppaniekosysteemiin.
Tämä luottamuksen menetys on akuutti, kun asiakkaat jättävät yrityksen tietoturvaloukkauksen jälkeen. YouGovin ja Ocktan tutkimuksessa todettiin, että 88 prosenttia asiakkaista lopettaa yrityksen käytön, jos he kokevat, ettei yrityksen voida luottaa suojelevan heidän tietojaan.
Mainevahinkoja on vaikea mitata ja siksi niitä on vaikea lisätä yhtälöön, mutta teillä saattaa olla tietoja asiakkaiden menetyksistä BI-ratkaisujen (Business Intelligence) vuoksi.
Sääntöjen noudattamatta jättäminen ja sakot
Useissa tietosuojasäännöksissä, kuten PCI-DSS:ssä ja GDPR:ssä, edellytetään tai kannustetaan voimakkaasti tietoturvatietoisuuskoulutuksen käyttöön. Jos siis pystyt osoittamaan, että organisaatiosi käyttää tietoturvatietoisuuskoulutusta, tämä olisi otettava huomioon kaikissa myöhemmissä sääntelyn täytäntöönpanotoimissa.
Kun lasketaan tietoturvatietoisuuskampanjan kannattavuutta, on kuitenkin otettava huomioon alalla tyypillinen sääntöjen noudattamatta jättämisestä aiheutuva sakko.
Tietosuojavaltuutetun toimistosta (ICO) saat tietoa sakkojen tasosta, joka voi vaikuttaa yritykseesi tietoturvaloukkauksen jälkeen. Esimerkiksi Yhdistyneen kuningaskunnan GDPR:n ja DPA 2018:n mukaan sakon enimmäismäärä on 17,5 miljoonaa puntaa tai 4 prosenttia vuotuisesta maailmanlaajuisesta liikevaihdosta.
Vakuutusmaksut
Vakuutusyhtiö Hiscoxin tutkimuksen mukaan 63 prosenttia brittiläisistä yrityksistä aikoo hankkia tietoverkkovakuutuksen osana strategiaansa. Lisäksi vakuutusmaksuja voidaan alentaa, jos riskiä vähennetään kouluttamalla työntekijöitä tietoturvatietoisuuteen.
Lisää tietoverkkovakuutuksen kustannukset tietoturvatietoisuuskampanjan ROI:n osana tietoturvastrategian kokonaiskustannuksia.
Muita ROI-kustannuksia ovat:
- Koulutuspaketin ja mahdollisten lisäominaisuuksien, kuten phishing-simulaatiokoulutuksen, kustannukset.
- Ohjelman hallinnointikustannukset.
- Menetetty aika, joka johtuu työntekijän suorittamasta turvallisuustietoisuuskoulutuksesta.
Miten laskea kyberturvallisuuskoulutuksen ROI?
Kun sinulla on tiedot, voit liittää ne ROI-yhtälöön. Onneksi joku on jo tutkinut, miten tietoturvatietoisuuskoulutusta koskeva yhtälö luodaan.
ROI-yhtälö näyttää yksinkertaisimmillaan seuraavalta:
ROI = Turvallisuustietoisuuskampanjoiden ROI:n laskeminen
Missä:
R = tuotto (hyöty)
I = investointi (kustannukset)
Kuten olette nähneet, turvallisuuden kustannusten laskeminen on kuitenkin monimutkaisempaa, koska siihen liittyy aineettomia kustannuksia, kuten mainehaittoja.
Onneksi turvallisuusalan ihmiset ovat tarkastelleet turvallisuuskoulutusinvestointien kannattavuuden laskemisen monimutkaisuutta. Esimerkiksi Michael Coden käyttää Massachusetts Institute of Technologyn (MIT) tutkimusta.
MIT:n tutkimuksessa kyberturvallisuuden vaaratilanteen kustannusten laskeminen perustuu vaiheisiin, jotka johtavat kyberturvallisuuden vaaratilanteeseen. Tämän tutkimuksen pohjalta on kehitetty STACHT-nimellä tunnettu kehys. Tätä kehystä käyttäen Coden on kehittänyt yhtälön kyberturvallisuushankkeiden (kuten tietoturvatietoisuuden koulutuskampanjoiden) ROI:lle, joka sisältää seuraavat osatekijät:
Missä:
Tietomurron todennäköisyys (PC) = uhat kerrottuna haavoittuvuuksilla.
Kompromissin vaikutus (IC) = omaisuuserät kerrottuna kompromissin aiheuttamilla tappioilla.
Codenin yhtälöä käytetään hankekohtaisesti, ja se osoittaa arvioihin perustuvan todennäköisen ROI:n.
Laadullisempi näkemys tietoturvatietoisuuskampanjan ROI:sta
Huomaa, että tietoturvatietoisuuskoulutuksen ROI:n laskeminen ei välttämättä ole pelkkää tietojen yhdistämistä yhtälöön. Sen sijaan pelkkä luettelo verkkohyökkäyksen mahdollisista kustannuksista ja vaikutuksista voi riittää osoittamaan, että tietoturvatietoisuuskoulutus on sen arvoista.
Tietoverkkorikolliset keskittyvät edelleen ihmisiin, ja jos tämä kierre saadaan katkaistua, se johtaa luonnollisesti riskien ja kustannusten vähenemiseen.
Ostermanin raportissa kuvattiin kyberturvallisuuskoulutusta "olennaiseksi" kyberhyökkäysten ehkäisemiseksi. Raportissa korostetaan tietoturvakoulutuksen tehokkuutta, sillä tiedot osoittavat esimerkiksi, että vain 11 prosenttia työntekijöistä pystyi havaitsemaan phishing-sähköpostin ennen koulutusta, mutta koulutuksen jälkeen 64 prosenttia pystyi havaitsemaan phishing-yritykset. Tällaiset todisteet voivat olla erittäin tehokkaita, kun selvitetään, mitä hyötyä tietoturvatietoisuuskampanjan toteuttamisesta on.