Hva koster egentlig en krise?
Av Markus Epner, leder for F24 Academy
Er det verdt det å investere tid og penger i krisehåndtering?
Dette er et vanlig og absolutt betimelig spørsmål, og vi kan kanskje gi deg et svar på det. Erfaring fra de siste årene der vi har opplevd en global pandemi, ekstremvær og politiske konflikter, viser at: – Ja, det er virkelig verdt innsatsen og kostnadene!
Konkrete kost-nytte-betraktninger er imidlertid ofte vanskelige å beregne på grunn av mangel på empiriske data og pålitelige tall. Derfor vil vi i denne artikkelen se på hvilke kostnader en krise medfører, hvordan du kan spare kostnader gjennom krisehåndtering og hvordan du kan nærme deg en beregnet kost-nytte.
Del 1: Penger, omdømme, kunder – hva koster egentlig en krise?
Del 2: Håp er ikke en strategi – det er slik krisehåndtering lønner seg
Del 1: Penger, omdømme, kunder – hva koster egentlig en krise?
En krise er definert som en eksepsjonell, ustabil situasjon som truer et selskaps strategiske mål, omdømme eller til og med dets eksistens. Slike eksepsjonelle situasjoner er vanskelige å måle på alle måter – spesielt i pengeverdi. Selv de minste hendelsene har potensial til å ha en høy kostnad. Til syvende og sist er det hvor godt en krise håndteres som avgjør kostnadene. For å forstå kostnadsbildet, la oss først se på hvor og hvordan kostnadene oppstår i utgangspunktet.
Forstyrrelser i forsyningskjeden, ulykker, ekstremvær – forretningskriser koster bedriftene mye – enten det er tid, penger og i verste fall omdømme. Spesielt cyberhendelser utgjør en stadig trussel mot selskaper over hele verden. Ifølge Allianz Risk Barometer 2022 er cyberangrep den største bekymringen for selskaper, etterfulgt av forretningsavbrudd og naturkatastrofer. Og med rette, hvis du ser på de siste eksemplene: Cyberutpressere krevde 23 milliarder US dollar i løsepenger fra rørledningsoperatøren Colonial i mai 2021. Kort tid før det fikk Acer et krav om løsepenger på 50 millioner US dollar for kaprede data. Legemiddelselskapet Merck krevde rundt 1,4 milliarder US dollar fra forsikringsselskapet sitt etter et nettangrep. Dette er ikke unntakstilfeller, men noen få blant de mange, og eksempel på hvordan cyberkriminalitet kan true selskaper eksistensielt. Det økende antallet saker og de stadig økende erstatningsbeløpene fører også til en økning i kostnadene for cyberforsikring. I de fleste tilfeller dekker ikke lenger forsikringspolisene løsepenger.
Selv om vi utelukker cyberkriminalitet, kan tap av data skje. På grunn av ulykker og til og med eskalere til større kriser. I mars 2021 sviktet fire datasentre hos Europas største nettskyleverandør, OHV Cloud, på grunn av en stor brann. Flere bedriftskunder oppdaget da at de ikke hadde noen sikkerhetskopi av dataene sine.
Direkte, indirekte, lite rom for forhandlinger – kostnadspunkter for en krise
Vi kan trygt konkludere med at enhver krisesituasjon koster penger – uavhengig av dens spesifikke natur – på grunn av tre samtidige mekanismer.
- For det første er det «direkte» kostnader knyttet til å håndtere situasjonen. Disse spenner fra erkjennelse av problemet, til arbeidet med å komme tilbake til “normal drift”.
- I tillegg kommer “indirekte kostnader”, fordi for eksempel forventede inntekter går tapt på grunn av forretningsavbrudd eller ordrevolumet midlertidig reduseres på grunn av tap av omdømme.
- Et tredje aspekt er muligheten for å skaffe ekstern kompetanse eller materiell for krisehåndtering. Denne siste delen utføres ofte under tidspress og viser seg dermed å bli dyrere. På grunn av presset fra situasjonen, tas ofte beslutninger på stedet og tilleggskostnader blir tillagt mindre vekt. I tillegg må kostnader utover det ordinære tas i betraktning. Et ekstremt eksempel på dette er for eksempel anskaffelse av masker i begynnelsen av korona-pandemien, hvorav noen måtte kjøpes til titalls ganger vanlig markedspris.
Fra oppdagelse til gjenoppretting – kostnadene ved en cyberhendelse
Omfanget og frekvensen av cyberhendelser er relativt bedre dokumentert enn de fleste andre krisescenarier (oftest på grunn av juridiske rapporteringskrav). Så la oss se på kostnadene ved et nettangrep. Ponemon Institute setter i sin “Report on the Cost of a Data Breach 2021” gjennomsnittlig totalkostnad for en cyberhendelse til 4,62 millioner US dollar. Ved et “megabrudd”, det vil si et veldig stort datainnbrudd med over 50 millioner berørte dataposter, øker kostnadene med en faktor på nesten 100, til 401 millioner US dollar. Det er i hovedsak fire kostnadsdrivere:
- Problem med identifisering og eskalering: I tilfelle et nettangrep inkluderer disse etterforskning, juridiske vurderinger og revisjonstjenester, krisehåndtering og intern krisekommunikasjon.
=> Står for 33,1 prosent av kostnadene
- Forretningstap: Ved nettkriminalitet inkluderer dette tap på grunn av driftsavbrudd og tapt inntekt på grunn av nedetid i systemet, men også kostnader for tapte kunder og rekruttering av nye kunder, samt omdømmetap eller redusert goodwill.
=> Dette er også en stor faktor, og står for 32,64 prosent av kostnadene.
- Krisekommunikasjon: Å varsle berørte parter gjennom ulike kanaler, utveksle informasjon med tilsynsmyndigheter eller til og med engasjere eksterne eksperter medfører kostnader her.
=> Står for 7,13 prosent av kostnadene
- Gjenopprettingskostnader: I cyberkriminalitetshendelser inkluderer dette å sette opp en helpdesk, overvåke berørte kontoer eller identiteter, utstede nye kontoer eller kredittkort, juridiske kostnader, produktrabatter eller regulatoriske bøter.
=> Står for 27,13 prosent av kostnadene.
Del 2: Håp er ikke en strategi – hvordan hendelses- og krisehåndtering lønner seg
“Det er ingen ære i forebygging”
Kriseledere visste dette lenge før det ble en medieopplevelse for virologer og epidemiologer i Covid 19-krisen. For kriseledere får sjelden æren for at ingenting eller lite skjer når en krise er godt forebygget. Det er rett og slett vanskelig å forstå hva som kan oppnås ved å forhindre eller dempe en krise. Tvert imot fører det forebyggende paradokset til og med til at man gjennom god forebygging kan undervurdere faren. Det skjedde tross alt (nesten) ingenting. Men god forebygging sparer kostnader. Hvordan, hvor og når forebygging lønner seg er temaet i denne delen: De største kostnadsbesparelsene oppnås selvsagt når en krise ikke oppstår i utgangspunktet. Å bare håpe at ens eget selskap ikke blir berørt, er imidlertid en ekstremt dårlig strategi. Eksperter er enige og tallene taler for seg selv. Spesielt fordi sannsynligheten for en krise øker for hvert år som går. Risikoen for å bli et offer for et utpressingsangrep (ransomware-angrep) økte med 47 prosent i Q2 2021, ifølge sikkerhetsselskapet Digital Shadows. Ifølge FBI, overvåker de 100 farlige utpressingsgrupper. Ifølge Business Continuity Institutes Cyber Resilience Report var andelen selskaper som ble berørt av et nettangrep minst én gang, var 61 prosent i 2021. På samme måte øker risikoen for at selskaper blir overrasket av uventede kriser i fremtiden og må takle flere hendelser samtidig, er økende. Som Gerhard Saumwald, en kjent østerriksk kriseekspert har sagt det; “Det viktigste krisescenarioet er det du ikke forventer”.
I mange selskaper er det fortsatt det jeg kaller ‘forsikringstenkning’ som råder. Folk forbereder seg bare på sannsynlige risikoer og viker unna kostnadene ved å forsikre seg mot usannsynlige risikoer. Men det helt uventede vil skje oftere i fremtiden.
Eksempel på økonomiske konsekvenser av kriser i ulike bransjer
| Industri | Eksempel | Kostnad | Kilde |
|---|---|---|---|
| IT/Telecom | Cyberangrep Telecom Tyskland | Millioner Euro. Mer enn 1,2 millioner kunder berørt | Frankfurter Allgemeine |
| Turisme | Pandemi – TUI | Omsetningstap på opp mot 98,5% | Tagesschau |
| Logistikk og transport | Forstyrrelser i forsyningskjede | Flere hundre millioner Euro | Focus |
| Helse og farmasi | Flom, strømbrudd, skade på bygg og utstyr | 100.000 Euro i skade på Leverkusen sykehus | PR Online |
| Luftfart | Vulkanutbrudd | Tap på opptil 200 millioner Euro for 5 dager med stengt luftrom | aeroTELEGRAPH |
Håndtering av risiko: Vær godt forberedt på fire nøkkelområder:
Fire områder for å redusere kostnadene ved en krise:
Tidlig oppdagelse og forebygging: Forebyggende tiltak begynner med overvåking og oppdagelse. Enten det er å overvåke endrede risikofaktorer, analysere innvirkning, holde programvare oppdatert eller etablere et permanent krisehåndteringsteam – forebyggingstiltak kan være svært varierte, avhengig av virksomheten. Det viktige er: Du stopper ikke ved å identifisere forebyggingsmuligheter, men følger dem nøye med jevne mellomrom og ser etter mulige endringer. Det er like viktig å oppdatere BCM-strategiene dine på grunnlag av disse endringene, for å være forberedt på selv usannsynlige hendelses- eller krisescenarier.
- Når det gjelder cyberhendelser, inkluderer de 10 beste kostnadsreduserende faktorene: Forretningskontinuitetsplanlegging (BCM), ledelsesinvolvering, personalopplæring og etablering av hendelses- og krisehåndteringsteam.
Forstå etablerte prosesser og krisehåndteringsmanualen: Hvis du vet hva du skal gjøre i tilfelle en krise, hvem som er ansvarlig for hva og hvordan du kan bvarsle og kommunisere med dem, har du to betydelige krisekostnadsfaktorer mye bedre under kontroll: Tid og omdømme. Innsparingen er tredelt: I begynnelsen, spesielt under varsling av personalet og mobilisering av team, under en krise og også i oppfølgingen, for eksempel ved utarbeidelse av rapporter til myndigheter.
- Verdien av omdømme blir ofte undervurdert i krisesammenheng. Det er vanligvis ikke selve krisen som svekker tilliten til kunder, samarbeidspartnere og myndigheter, men den dårlige håndteringen av situasjonen. Oppfatningen kan endres til å tvile på selskapets operasjoner og føre til spørsmål som: Er de andre områdene i selskapet like dårlig håndtert?
Godt gjennomarbeidet opplæring: De som har trent på mulige krisescenarier under realistiske forhold, har etablerte strukturer og kommunikasjonskanaler, og har nødvendige verktøy og materiell for hånden, samt vet hvordan de skal brukes, er mer effektive og sparer igjen verdifull tid.
- Selskaper med testede planer for hendelser og et godt trent responsteam (IRT) reduserer kostnadene forbundet med å håndtere et datainnbrudd med 50 % i forhold til selskaper uten et trent team.
Reager raskt: Hastighet er nøkkelen i ethvert krisescenario. Jo raskere du kan reagere og begrense eller avslutte krisen, jo lavere blir kostnadene. Jo kortere kriselivssyklusen (tiden som går til et angrep oppdages og til det er fullstendig avklart), jo lavere blir kostnadene. Grunnforutsetningen for rask handling er på sin side rask, målrettet kommunikasjon og tett samarbeid på tvers av lokasjoner og avdelinger. Profesjonelle SaaS-løsninger støtter dette, noe BCI Emergency Communications Report 2021 nok en gang bekrefter. 52 prosent av bedriftene som bruker slike løsninger klarer å aktivere sine kriseplaner innen fem minutter. For bedrifter som jobber uten slike verktøy, er tallet kun 21 prosent. Samtidig muliggjør systemene mer effektivt samarbeid gjennom verktøy for virtuelt samarbeid på tvers av avdelings- og områdegrenser.
- Ifølge beregninger fra Ponemon Institute øker kostnadene ved dataangrep i gjennomsnitt med rundt 29,7 prosent dersom kriselivssyklusen varer lenger enn 200 dager.
Del 3: Den smarte løsningen: Investere for å spare
Profesjonelle hendelses- og krisehåndteringsløsninger dekker alle faktorene som er omtalt i del 2: Forebygging, prosesser, opplæring, hastighet. De skaper dermed de beste forutsetningene for at kriser – også når de oppstår – kan forårsake mindre skade. Dette fordi de bidrar til å forkorte kriselivssykluser, redusere skadenivå og intensitet i en krisesituasjon, håndtere hendelser profesjonelt og styrke omdømme og kundelojalitet gjennom god og rask kommunikasjon.
Men er investeringen i krisehåndtering verdt det? En presis beregning av gevinst (ROI) er selvsagt ikke lett å gjøre her, fordi kriser per definisjon er dynamiske, komplekse og avhengige av mange faktorer. Det samme er kostnadene. Men hvis vi tar dataene fra Ponemon-studien, som ser på kostnadene ved «normale» datainnbrudd, som grunnlag, kan vi se nærmere på hvilken positiv økonomisk effekt god hendelse- og krisehåndtering kan ha.
I «Data Breach Cost Report 2022» beregnet Ponemon Institute at et enkelt datainnbrudd – det vil si en typisk cyberhendelse som kan oppstå når som helst og ikke nødvendigvis trenger å være en reell krise – koster store selskaper i gjennomsnitt 4,35 millioner US dollar i 2022. Det er en all-time high, med 2,6 % økning fra fjoråret.
Trenden er stigende. Mega datainnbrudd, det vil si “ekte” datakriser med mer enn 50 millioner kompromitterte dataposter, koster gjennomsnittlig 401 millioner US dollar. Altså nær 100 ganger dyrere enn mindre datainnbrudd med mindre enn 100 000 berørte poster.
Gevinst ved investering (ROI): På hvilket tidspunkt lønner investeringen seg i profesjonell krisehåndtering?
Det interessante tallet i studien for spørsmålet vårt er: I virksomheter med profesjonell hendelsesrespons ble kostnadene per hendelse redusert med i gjennomsnitt 50 prosent.
Konvertert betyr dette: Profesjonell håndtering av hendelser har i 2022 allerede spart bedrifter for et gjennomsnitt på 2,66 millioner US dollar i håndteringen av små til mellomstore datahendelser. Fortsetter trenden fra de siste årene, øker besparelsene for selskaper med et IR-team eller -plan å vokse. Selv om vi for sammenligningens skyld antar at hendelsesrespons bare har halvparten av effekten – 25 prosent kostnadsbesparelser i stedet for de omtrent 50 prosentene beregnet i studien – resulterer dette i besparelser på minimum 1 million US dollar for godt forberedte selskaper av alle størrelser. Per hendelse, vel å merke.
Så det vi trygt kan konkludere med er dette: Gode forberedelser lønner seg allerede for mindre hendelser, i form av betydelige økonomiske besparelser. Ved en større datakrise, som i gjennomsnitt koster 401 millioner dollar, kan effekten av god krisehåndtering utgjøre flere hundre millioner dollar i potensielle besparelser.
Dette skyldes på den ene siden et stadig mer komplekst miljø, og på den andre siden at systemkriser, som en pandemi, angrep på kritisk infrastruktur eller forstyrrelse av globale forsyningskjeder, strekker seg over en lengre periode. Tid og kan ha vidtrekkende dominoeffekter. Effektene av stengingen av den kinesiske kommersielle havnen Yantian i begynnelsen av koronakrisen eller den flere uker lange blokaden av Suez-kanalen på grunn av skipet «Ever Given» merkes fortsatt mange måneder senere.
Vi kan derfor anta at avkastningen for god krisehåndtering med et profesjonelt system og et godt trent team er mye raskere. Spesielt ved flere kriser. Her kan bedrifter spare kostnader i millionklassen – i alle typer uønskede hendelser, i sannsynlige og usannsynlige kriser, enten det er brann, naturkatastrofer, forretningsavbrudd eller cyberangrep. Men den største gevinsten uttrykkes kanskje ikke i tall i det hele tatt: Den gode følelsen av å kunne handle i enhver situasjon – rask og kundeorientert.
**Ponemon Study 2022
***Scenarioestimat med halvparten av besparelsen, viser over 1 million US dollar spart
Finn ut mer om hvordan våre løsninger støtter din kriserespons – bygg effektive prosedyrer for hendelsesrespons ved hjelp av F24s programvareløsninger. F24s varslingssystem gir sanntidsdata slik at du kan overvåke hendelsesresponsprosessen og handle deretter. Finn ut mer om hvordan vi kan støtte planleggingen av hendelsesrespons.
Markus Epner – leder for F24 Academy
Markus begynte i F24 AG i 2022. Han har bakgrunn fra sikkerhets- og kriseteam, var en av de første offiserene i det tyske forsvarets spesialavdeling Kommando Spezialkräfte. Han har erfaring som befal fra Bosnia- og Kosovo-krigene, samt mangeårig ledererfaring i sivil industri.
Markus studerte Security and Crisis Management i Kiel og har mer enn 20 års erfaring innen sikkerhet og krisehåndtering hos Lufthansa og Boehringer Ingelheim. I løpet av sin tid i industrien håndterte han blant annet evakueringen av mannskaper ut av Mumbai under terrorangrepene og Covid-19-krisen i farmasøytisk industri.
Å investere i hendelse- og krisehåndtering kan spare store verdier. Finn ut mer om verdien av å ha en kriseplan på plass.
