IT nedbrud

Har direktøren, regnskabschefen, forretningslederen og it-chefen regnet på, hvad det koster at ”være nede” i én dag? I to dage? I en uge?

For langt de fleste små og mellemstore virksomheder er svaret ”nej”.

Når dette regnestykke skal opstilles, er det naturligvis yderst relevant at definere, hvad der forstås ved et it-nedbrud.

Eksempler herpå kan være:

  • Ingen adgang til virksomhedens servere
  • Ingen eller begrænset adgang til væsentlige applikationer (eksempelvis ERP-systemet med lagerregistreringer eller netværksdrevet med alle Word-filerne)
  • Ingen internetadgang
  • Virusangreb.

Et vigtigt element i regnestykket er at overveje og estimere konsekvenserne af et it-nedbrud, der tidsmæssigt rammer virksomheden samtidig med, at den it-ansvarlige er sygemeldt eller på ferie. Ofte forestiller man sig sofistikerede virusangreb, overgravede kabler eller brand, når talen går på it-nedbrud, men i realiteten kan hændelser, der på papiret forekommer banale, vise sig at få store konsekvenser.

Sådan kan det gå!

Efterfølgende beretning er baseret på en virkelig – og formentlig ikke usædvanlig – hændelse:

Ved den natlige rundtur med støvsugeren på en virksomhed skulle en rengøringsmedarbejder finde en stikkontakt til Nilfisken. I mangel på ledige kontakter tog rengøringsmedarbejderen strømmen fra – viste det sig på et langt senere tidspunkt i udredningsarbejdet – en netværksswitch. Da de ansatte i virksomheden begyndte at møde ind fra morgenstunden, plevede de, at de hverken kunne læse mails, komme på internettet eller få adgang til økonomisystemet. Og inden fejlsøgningen afslørede, at der var tale om, at netværket var ”nede”, var der gået en rum tid.

Ovennævnte havde naturligvis økonomiske konsekvenser for virksomheden, men i hvilken størrelsesorden?

Ud af 100 medarbejdere, var omtrent halvdelen mødt op på virksomhedens kontoradresse. Ud af dem kunne 100 % konstatere, at der ikke var adgang til mails, økonomisystem, filer og internet. De måtte pænt vente på, at de ansatte i virksomhedens it-afdeling mødte ind, og herefter skulle fejlen lokaliseres. Lad os antage, at det tog 1-1½ time, før fejlen blev lokaliseret og afhjulpet. Et estimat på de direkte omkostninger ved ”nedbruddet” vil være 60.000 kr., beregnet som gennemsnitlig uddebiteringssats for 50 medarbejdere i 1½ time (800 kr. x 50 x 1,5).

Man kan med en vis ret påstå, at der er nogen i it-afdelingen, der har svigtet deres ansvar, idet strømstikket til switchen skulle have været bedre sikret, eller at it-afdelingen eventuelt skulle have opsat et overvågningssystem til at alarmere om en sådan hændelse.

Sagen er bare, at for langt de fleste små og mellemstore virksomheder (eller store for den sags skyld) er det ikke en naturlov, at alle it-systemer er sikret på betryggende vis.

Hvad skal gøres?

Hvis man som virksomhedsejer kan svare klart ”ja” til spørgsmålet om, hvorvidt virksomheden i tilstrækkeligt omfang er sikret imod it-nedbrud, er man med i det fine selskab af relativt få virksomheder.

Er svaret derimod et ”nej” – eller et ”måske” – må det anbefales at gøre følgende:

  • Lav et estimat/overslag på, hvad det koster for virksomheden, hvis it-systemerne er nede (opdelt på sandsynlige primære årsager - og eventuelt fordelt på årstid, periode, medarbejdertype med videre).
  • Vurdér, hvilke generelle risici for it-nedbrud virksomhedenmå påregne at blive konfronteret med, eksempelvis i form af manglende internetforbindelse (overgravet kabel), manglende adgang til online-backup eller online-bogføringssystem.

Når disse to forhold er bearbejdet og konsekvensberegnet, vil man måske konstatere, at det koster 50.000 kr. i et givent tidsrum (for eksempel én time, én dag eller én dag i slutningen af måneden i forbindelse med lønkørsler eller lignende) i tabt ”produktion” at mangle internetforbindelsen. Og det kan – med reference til den lille historie ovenfor – sådan set blot skyldes, at en rengøringsmedarbejder tager strømmen til en netværksswitch!

Ved udførelse af finansiel revision og herunder også it-revision samt ved rådgivningsopgaver vedrørende it-sikkerhed er det meget almindeligt at møde en tilgang til it-nedbrud, der går i retning af:

  • Det sker ikke for vores virksomhed
  • Vi ser på det, når det sker, hvilket dog er ret usandsynlig
  • Vi har ikke lige regnet på, hvad det vil koste o
  • Vores it-ansvarlige har styr på det.

Pointen er, at det godt kan betale sig at regne på, hvad et it-nedbrud vil koste virksomheden. Meget ofte viser det sig, at omkostningerne ved blot et enkelt nedbrud i en begrænset tidsperiode klart overstiger udgiften til en afklaring af risici og en dokumenteret strategi for at undgå eller udrede et it-nedbrud.

Det kan virke banalt, men historien med rengøringsmedarbejderen og den manglende strøm til en switch kunne reelt set have været løst ved at sætte strømstikket et utilgængeligt sted (eller bare sætte noget tape over stikkontakten).