Echte kost cyberincidenten moeilijk in te schatten
De kosten van cyberincidenten zijn het hoogst in de financiële-, ICT- en energiesector. Maar die kost berekenen gebeurt niet bepaald uniform waardoor de schattingen al snel een miljoen of vijf uit elkaar lopen.
De nieuwste studie van ENISA, het EU-agentschap voor Netwerk- en Informatieveiligheid bekijkt de kost van aanvallen op kritieke infrastructuur. Maar daarbij komt het tot een interessante vaststelling over het berekenen van die kosten: “Het meten van de echte impact van incidenten in termen van kosten voor een volledig herstel blijken een uitdagende taak”, stelt ENISA.
Het agentschap wijst er op dat er geen consistente uniforme aanpak is om het kostenplaatje van een cyberaanval te berekenen. Rapporten hanteren anderen invalshoeken, ze focussen enkel op bepaalde sectoren, hanteren verschillende basiscijfers, tellen enkel bepaalde incidenten mee dat maakt dat rapporten en studies enkel in een bepaalde context relevant zijn en niet kunnen vergeleken worden met gelijkaardige rapporten.
176 miljoen euro verschil
Als voorbeeld wijst ENISA op het aantal incidenten per bedrijf per jaar in Duitsland, waar een studie spreekt van 425.000 euro tot 20 miljoen euro. Maar een andere studie heeft het over 2,3 miljoen tot 15 miljoen euro. In wereldwijde onderzoeken vond de organisaties al even vage cijfers terug “van 330 tot 506 miljoen euro”.
Los van de kritiek kon de organisatie wel vaststellen dat de financiële- ICT- en Energiesector de hoogste kosten per incident kennen. In die eerste twee zijn Denial-of-service-aanvallen en aanvallen van binnenuit, door een insider, goed voor de helft van de berekende kosten.
Het volledige rapport van ENISA kan je hier downloaden.
Fout opgemerkt of meer nieuws? Meld het hier