Drygt 700 miljoner kronor ­– där någonstans räknar Norsk Hydro med att slutnotan för cyberattacken som företaget utsattes för landar.

Och både British Airways och Marriott har dessutom fått addera dryga GDPR-böter till kostnaderna för själva dataintrången som de utsatts för. British Airways ska betala så mycket som 183 miljoner pund, vilket motsvarar 2,2 miljarder svenska kronor i böter.

Marriott väntas få böter på 99 miljoner pund, nästan 1,2 miljarder kronor.

Även om de här fallen sticker ut så har kostnaden för dataintrång ökat kontinuerligt på senare år. Under de senaste fem åren har det ökat med 12 procent, enligt en ny rapport från IBM och Ponemon Institute.

För världens företag innebär det att ett intrång i snitt går på 37 miljoner kronor. Dyrast är det för amerikanska företag – 77 miljoner kronor per intrång. För skandinaviska företag ligger det betydligt lägre än så med 22 miljoner kronor i snitt.

I Skandinavien läcker knappt 22 000 dataposter per intrång vilket är lägre än det globala genomsnittet på drygt 25 000.

När det gäller tiden det tar att identifiera att det skett ett intrång ligger Skandinavien inte lika bra till. I snitt tar det 225 dagar och sedan ytterligare 74 dagar att ha den helt under kontroll jämfört med det globala snittet på 206 dagar för att identifiera och 73 för att få kontroll på ett intrång.

Missa inte Sveriges viktigaste IT-säkerhetsevent, Next Generation Threats

Just tiden är kritisk för att hålla nere kostnaderna. De företag som upptäckte intrånget inom 200 dagar sänkte kostnaderna med 12 miljoner kronor i snitt.

Och för första gången tittar den årliga rapporten också bakåt i tiden och ser att många företag fortfarande har kostnader för dataintrång som skedde för flera år sedan. 67 procent av den totala kostnaden kommer under det första året, 22 procent under det andra och 11 procent kommer upp till två år senare.

Ett extremt exempel på det är att kreditupplysningsföretaget Equifax nyligen gick med på att betala nästan sju miljarder kronor för dataintrånget för två år sedan till den amerikanska myndigheten Federal Trade Commission då hackare lyckades komma åt kreditkortsnummer och annan känslig information från 143 miljoner användare runt om i världen.

GDPR och andra liknande bestämmelser som dyker upp i världen utgör en allt större del av kostnaden för ett dataintrång – som exemplen British Airways och Marriott. Att inte ta höjd för det och försöka se till att anpassa sig till lagstiftningen är därför att ta en stor risk.

Och enligt Wendi Whitmore, ansvarig för X-Force Threat Intelligence på IBM kommer vi att se fler fall som dessa framöver.

– De kommer sannolikt att öka kostnaden framöver avsevärt, och jag tror att det verkligen kommer att dramatiskt förändra landskapet för de investeringar som organisationer gör, säger hon till vår amerikanska systersajt CSO Online.

Wendi Whitmore
Wendi Whitmore, IBM.

I allra bästa fall skulle det innebära mer proaktiva investeringar och mer förberedelser inför den här typen av händelser.

En viktig pusselbit för att få ner kostnaderna för dataintrången är att ha en ordentlig plan på plats. De företag som hade ett incidentberedskapsteam och också testade sin beredskapsplan för incidenter med åtminstone två diskussionsövningar låg nästan 12 miljoner kronor lägre i kostnad för dataintrång än andra företag.

– Det räcker inte med att bara ha ett papper där det står ”Här är kontaktinformationen för säkerhetsteamet” utan faktiskt också repetera genom dessa typer av scenarier i en miljö där det går att testa andra planer, identifiera luckor och i bästa fall få dem under kontroll innan man behöver möta dessa attacker i verkligheten, säger Wendi Whitmore.

Det är också viktigt att inte glömma bort att gå ut offentligt och kommunicera. Om kunderna förlorar förtroendet så riskerar kostnaderna att öka ytterligare.

– En enormt viktig komponent är kommunikationen både i efterdyningarna av intrånget och under intrånget. Hur får vi effektivt ut meddelanden om vad som pågår till våra kunder?

Lyckas man blir det en viktig del för att behålla förtroendet men det kräver att organisationen är förberedd och har tränat på det i förväg, framhåller Wendi Whitmore.

Hon lyfter fram både danska Maersk och Norsk Hydro som exempel på hur information kan vara positiv för företag – deras aktier steg under veckorna efter intrången.

– Vi pratar ofta om exemplet Maersk. De tog verkligen kommandot över situationen. Deras vd var ute i sociala medier och i slutänden drev det upp aktiepriset. Det ses som en framgångshistoria när det gäller respons.

Vid sidan av incidentteam och kommunikation kan sådant som kryptering, utbildning av anställda, cyberförsäkringar och att få styrelsen intresserad av säkerhet få ner kostnaderna för dataintrång med nästan en miljon kronor i snitt per åtgärd.

Omvänt kan sådant som intrång via tredje part, molnmigrering eller internet of things dra upp kostnaderna med en miljon kronor i snitt var.

Och Wendi Whitmore rekommenderar offlinebackup för de data som är mest affärskritiska.

­– När det gäller ransomware eller skadlig mjukvara ser vi hur organisationer tappar tillgång till sina mest kritiska data och sedan lägger de mycket tid på att försöka bygga om miljöer för att få tillgång till dem igen, säger hon.

Läs också: Ny läcka i Stockholms skolplattform GDPR-anmäls