De ‘Cost of cyber crime’ studie van Ponemon wijst op een blijvende stijging van de kosten cyberaanvallen voor getroffen bedrijven, met 30 procent ten opzichte van 2012.
Uitgevoerd in opdracht van HP Security, onderzocht het Ponemon Institute diepgaand de gevolgen van cyberaanvallen bij 234 bedrijven in zes landen, in casu de VS, VK, Duitsland, Australië, Japan en Frankrijk. De gemiddelde kost voor een bedrijf bedroeg ca. 7,2 miljoen dollar per jaar, of een stijging met 30 procent ten opzichte van het jaar voordien, met een kostenvork gaande van 375.000 tot 58 miljoen dollar. Het best af waren de Australische bedrijven met gemiddeld 3,6 miljoen dollar kosten, tegen bedrijven in de VS met 11,6 miljoen dollar kosten. Deze laatsten lijden dan ook meer onder de duurste aanvallen, zoals malafide parktijken van insiders, denial of service aanvallen en webgesteunde incidenten. Het schadebedrag is vaak hoger in grote bedrijven, maar kleinere bedrijven lijden vaak op langere termijn meer schade door een aanval.
Uit de studie blijkt dat de grootste kostenpost de rechtstreekse gederfde omzet en inkomsten zijn, door een onderbroken dienstverlening, gevolgd door de gevolgen van het dataverlies. Daarbij spelen zowel interne kosten (herstellingen, etc.) als externe kosten (boetes, rechtszaken, gederfde inkomsten uit toekomstige producten, etc.) een rol. Andere kosten betreffen het herstel van reputatieschade, evenals uitgaven om gevolgen voor derden op te vangen (zoals kredietstatus-monitoring van getroffen klanten).
Hoe langer een cyberaanval ongemerkt blijft, hoe hoger de kosten oplopen. De studie wijst op een correlatie tussen lagere kosten en een gerichte investering in systemen die problemen detecteren, wat tevens de investeringen in relevante beveiligingstechnologieën beter laat renderen.
Prille verzekeringssector
Ondertussen groeit ook de belangstelling voor verzekeringen tegen de gevolgen van cyberaanvallen. Naast de klassieke vervanging van materiaal wordt daarbij ook gedacht aan bescherming tegen de bijkomende kosten en verliezen.
Het probleem hierbij is dat dit een pril aanbod is met nog heel wat uitdagingen, stelt JLT Speciality Ltd, een bedrijf dat belangstellende bedrijven adviseert. Bedrijven moeten immers uitmaken waartegen ze zich willen verzekeren, en zich ervan verzekeren dat de polis daartegen ook echt beschermt. Bovendien vereist een dergelijke verzekering een goede samenwerking met de ict afdeling en een deugdelijk risicobeheer, en dat met een continue bijwerking naarmate de gevaren en dreigingen, evenals de ict situatie bij de verzekerde veranderen. Bovendien beschikt de verzekeraar nog over onvoldoende historische gegevens om te weten hoe groot het risico op een sinister reëel is, of wat de kansen op misbruik of nalatigheid bij de verzekerde zijn. Meer nog, blijkbaar wordt vandaag nog geen of amper herverzekering aangeboden voor deze verzekeringsdiensten, zodat de verzekeraar nog goeddeels zelf het risico draagt. Belangstellenden dienen dan ook de aangeboden producten en de aanbieders grondig te bestuderen.
