Cyberattacker påverkar BNP: Här är vad det betyder för företag

I takt med att motståndskraft krävs av ett växande antal regleringar, hur kan varje organisation göra sin del?

Av Kate O'Flaherty

Företag över hela Storbritannien har att göra med ett allvarligt problem: Cyberattacker har nu en mätbar inverkan på BNP. Rapporter från Storbritanniens Cyber ​​Monitoring Centre (CMC) och ONS tyder på att hacket mot Jaguar Land Rover (JLR) inträffade. dämpad BNP-tillväxt, med en ekonomi som endast expanderade med 0.1 % under kvartalet från juli till september, då bilproduktionen drogs ner till en 73-årslägstanivå.

Betydande cyberincidenter kostar den brittiska ekonomin 14.7 miljarder pund årligen (~0.5 % av BNP), och enbart IP-relaterade attacker kan kosta upp till 8.5 miljarder pund, enligt forskning från institutionen för vetenskap, innovation och teknologi och Alma Economics.

Om enskilda stora incidenter som t.ex. JLR-attack kan påverka BNP mätbart, men den kumulativa effekten av tusentals mindre attacker är sannolikt ännu större. Det är en oroande bild som omformulerar cybersäkerhet till en systemisk ekonomisk risk, bortom affärs- och IT-områden.

As motståndskraft är föreskrivet av ett ökande antal regleringar, hur kan varje organisation göra sin del för att minimera effekterna av cyberattacker på den brittiska ekonomin?

Kostnadspåverkan

ONS-siffrorna är nya, men kostnadspåverkan har alltid funnits där. Varje gång en lösensumma för data betalas, eller ett företag blir lurat, är effekten ungefär fem gånger värdet i förlorade möjligheter och återhämtningskostnader, berättar Harry Mason, chef för kundtjänster på den hanterade IT-tjänsteleverantören Mason Infotech. IO.

Han nämner JLR-intrånget som ett exempel. ”Attacken stoppade produktionen i flera veckor, vilket skapade en enorm eftersläpning att åtgärda när de var igång igen. Detta förvärrades också av ryktesskador från pressbevakning och förlorat förtroende från konsumenter.”

Även om den tillhörande kostnaden från cyberhändelser kan vara mindre för små och medelstora företag, är den ”inte mindre skadlig” och kan i slutändan leda till att företag går under, varnar han.

Idag resulterar modern ransomware, komprometterade e-postmeddelanden för företag, attacker mot felkonfiguration i molnet och datastöldkampanjer i "längre återställningstider och högre saneringskostnader", berättar Dominic Carroll, portföljchef på e2e Assure. IO”Angripare förstör också i allt större utsträckning säkerhetskopior eller ligger vilande tills logglagringstider har passerat, vilket innebär att organisationer inte enkelt kan rekonstruera vad som hände eller återställa dem på ett snyggt sätt, vilket ytterligare förlänger störningarna i verksamheten.”

De uppmärksammade attackerna mot Storbritannien i år har avslöjat hur viktiga dessa organisationer är för ekonomin, säger Carroll. ”Vi har helt enkelt inte råd att förlora den typen av produktivitet, och inte heller förlita oss på statliga räddningspaket”, varnar han.

En av de största dominoeffekterna på den bredare ekonomin är relaterad till investeringar. På en redan riskavers marknad kommer det att bli ännu svårare att attrahera investerare om det finns ett hot om att stoppas av en cyberattack eller annan IT-relaterad driftstopp, säger Mason. ”För enskilda företag innebär det att de måste vara 100 % fokuserade på att se till att de har en säkerhetsstrategi på plats för att attrahera kunder och investerare – och behålla befintliga.”

Ramverk för cybermotståndskraft och efterlevnad

I denna utmanande ekonomiska miljö är cybermotståndskraft och regelverk för regelefterlevnad, såsom ISO 27001 , Nätverks- och informationssystem 2 (2 NIS) och Cyber ​​Essentials är viktigare än någonsin för alla företag.

Ramverk som dessa tillhandahåller strukturerade riktlinjer och bästa praxis för att hjälpa organisationer att identifiera, hantera och minska effekterna av cyberrisker, säger Emma Hastings-Bray, juridisk chef på Blacks Solicitors.

Implementering kan också visa ett företags engagemang för efterlevnad och ansvarsskyldighet gentemot sina kunder, partners, styrelser och tillsynsmyndigheter. ”Ramverken kan bidra till att säkerställa att cybermotståndskraft är integrerad på styrelsenivå, samt tillhandahålla mätbara mätvärden för att bedöma prestanda och uppfylla brittiska dataskyddskrav”, tillägger Hastings-Bray.

Dessa regleringar är särskilt viktiga eftersom de fokuserar på leveranskedjan – en viktig faktor för att stärka den nationella säkerheten, säger Carroll.

Han påpekar att NIS2 nu kräver att enheter som omfattas av avtalet riskbedömer kritiska leveranskedjor. Samtidigt har USA sett införandet av Certifiering av mognadsmodell för cybersäkerhet (CMMC 3.0), som kommer att kräva säkerhet i leveranskedjan för alla kontrakt med försvarsdepartementet från och med oktober 2026.

Närmare hemmet, den Cybersäkerhets- och resiliensräkning formaliserar säkerhet i leveranskedjan för organisationer inom ramen, säger Carroll.

Strukturerad motståndskraftsplanering

I takt med att cyberattacker hotar att ytterligare minska BNP, kommer strukturerad planering för motståndskraft att bidra till att minska den kumulativa effekten.

Bland fördelarna säkerställer strukturerad motståndskraftsplanering att organisationer kan "bryta den ekonomiska cykeln" som orsakas av cyberattacker, säger Carroll. "När företag rutinmässigt validerar sin detekteringstäckning, kör attacksimuleringar och integrerar snabb inneslutning i sin verksamhet, slutar incidenter att bli veckolånga avbrott och förvandlas till kortvariga störningar. Bara den förändringen tar bort en enorm mängd förlorad produktion från ekonomin."

Strukturerad planering för motståndskraft kan bidra till att ”mildra det ekonomiska slaget” av cyberattacker genom att förhindra att incidenter utvecklas till långvariga störningar, instämmer Kerry Parkin, grundare av The Remarkables. ”När organisationer planerar för både tekniska och kommunikationsmässiga åtgärder återhämtar de sig snabbare.”

Som en del av detta hjälper en tydlig kommunikationsstrategi ”ledningen att agera snabbt, hålla människor informerade och förhindra den förvirring som skadar förtroendet mellan leveranskedjor”, säger hon.

Den nationella motståndskraftsbilden

Med cybersäkerhet och efterlevnad på den nationella agendan spelar varje företags insatser roll i den bredare motståndskraftsbilden.

Företag antar ofta att de är för små för att betyda något, men ”en svag länk kan exponera ett helt nätverk”, påpekar Parkin.

Med detta i åtanke stärker grundläggande cyberhygien, en väl inövad kommunikationsplan och ärlig om sårbarheter organisationen – såväl som den bredare ekonomin, säger hon.

Lagstiftning föreskriver redan att företag måste känna igen hoten från cyberattacker och vara förberedda. Till exempel är alla organisationer enligt brittisk dataskyddslag skyldiga att implementera lämpliga åtgärder som skyddar personuppgifter, säger Hastings-Bray. ”Motståndskraft bör vara en prioritet för alla företag, från att bedöma leveranskedjor och genomföra due diligence, till att utbilda interna säkerhetsansvariga och regelbunden personalutbildning.”

Den ekonomiska nackdelen med cyberattacker är verkligen en motiverande faktor för företag. Men som ett kollektiv finns det fortfarande "enormt arbete att göra" för att säkerställa att alla tar säkerhet på allvar, säger Mason. "Detta är särskilt viktigt för dem i ledande positioner, eftersom de har förmågan att göra förändringar och även se till att engagemanget sprider sig i hela verksamheten."