Vad kostar ett kapat Twitterkonto?

Vad kostar ett kapat Twitterkonto?

Alexander Wallin

Idag fick Sveriges Radio se två av sina Twitterkonton, @ekonomiekot och @sr_politik kapade med för public service generande publiceringar som resultat. När detta sker påminner det oss om någonting viktigt: Svenska företags och myndigheters sociala medier har undermåligt skydd.

Det är omöjligt att hindra någon från att vilja angripa ett specifikt konto, och finns det en vilja finns det som regel en väg. Men man kan välja att prioritera aktiviteter som minimerar kostnaderna det för med sig. Så vad är det då för kostnader?

Det går inte att uppskatta kostnaden

Kostnaden av ett kapat konto är svår, för att inte säga omöjlig, att uppskatta. Det beror nämligen på angriparens målsättning. Vissa vill vandalisera ett populärt konto för att ha något att skryta om. I så fall är attacken slutmålet. Men ibland använder illvilliga aktörer kontokapningar som medel för mer långsiktiga mål: dataintrång, spionage eller spear-phishing.

Vad det i sin tur kostar beror på vad angriparen lyckas uppnå, och vad offret har förlorat. Det som alltid går förlorat och som någorlunda enkelt kan kvantifieras är tidsåtgången för att ställa allt tillrätta igen. Bemöta pressen, kunderna, lyssnarna, återfå konton, säkerställa att lösenord blir bytta, se över rutiner… listan riskerar att bli väldigt lång.

Cybervandalism

Utan närmare information än det som alla kan ta del av här eller här om attacken mot Sveriges Radio, kan vi anta att det var en form av cybervandalism. Cybervandalism tenderar att pågå ett par timmar eller max ett par dagar och vara inriktat på stora konton som har potential att locka till sig mycket uppmärksamhet.

I vår erfarenhet tappas typiskt sett 5% av följarna som följd, vilket för stora konton kan innebära tusentals. För mindre väletablerade konton och varumärken, där man sliter hårt för varje följare man får, är antalet färre, men tappet mer kännbart.

Frånsett eventuellt tappade följare består cybervandalismens kostnad av en helt annan valuta: förtroende. För många varumärken betyder minskat förtroende mindre engagemang, färre följare att konvertera och ytterst oförmåga att fullt ut maximera värdet av investeringen i sociala medier i synnerhet och marknadsföring i allmänhet.

I Sveriges Radios fall kan vi bara spekulera, men att döma av några av de experter som uttalat sig om deras fall kan en sådan här attack komma att skada förtroendet för säkerheten i public service i stort. Vilket är allvarligt inte minst för public service roll i kristid. Hur många medborgare ska fråga sig “kan jag lita på det SR skriver” innan det blir ett hot mot svensk krisberedskap?

Kapade konton som medel mot ett större mål

Långt värre än cybervandalism är de fall som inte söker uppmärksamhet. När konton kapas i syfte att skaffa sig förmågan att attackera vissa medarbetare, exempelvis de med tillgång till kritiska system. Eller för att använda företagets konton för att skriva direktmeddelanden till följare som ett led i att lansera bedrägerier och phishingattacker. Andra söker tillgång till känslig information och får pusselbitar från DM.

Man hör sällan talas om den här typen av attack eftersom det ligger i allas intresse att hålla locket på. Även i de här fallen beror kostnaden på vad angriparen till slut lyckas uppnå. Det kan handla om nätverksintrång, läckt data eller kampanjer som man ser resultatet av långt senare utan att nödvändigtvis kunna redogöra för alla steg längs vägen.

Att tänka på

Ett kapat konto kan bli kostsamt. Även om ett kapat twitterkonto (eller två!) inte omedelbart går att upptäcka i försäljningssiffrorna (eller lyssnarsiffrorna i Sveriges Radios fall) så är det svårt att sätta pris på skadan av det förlorade förtroendet hos de som sett, läst och blivit påverkade av attacken.

För de som är inblandade i att hantera skadan innebär det ett tillfälligt ökat stresspåslag och risk för minskad produktivitet för månader framåt. Kort och gott ligger kostnaden i att det blir ett sänke för interna resurser och för det förtroende hos kunder eller allmänhet som organisationen arbetat så hårt för att bygga upp.

De organisationer som löper minst risk, och för den delen klarar sig bäst om olyckan ändå är framme, är de som betraktar och hanterar närvaro på sociala medier med samma affärsmässighet, professionalism och intresse som de visar andra kritiska affärssystem.