De kosten kunnen aardig oplopen, als je deze gevolgen overweegt.
De kosten van een datalek (per ongeluk of door een aanval) kunnen aardig oplopen en zijn altijd meer dan je denkt. We geven hier aan welke overwegingen je moet maken en welke gevolgen je mee moet nemen in je schadeberekening.
Het wordt een dure grap
Een recent IBM-rapport gaf aan dat de gemiddelde kosten van een datalek op zo’n 4 miljoen euro komen, tegen 3,8 miljoen in 2015. Er zijn ontelbare factoren die de kosten van een datalek beïnvloeden, en het is haast onmogelijk om de exacte kosten te voorspellen. Je kan wel een schatting doen, daar zijn diverse tools voor, maar geen enkele tool is perfect.
We hebben een aantal factoren voor je op een rijtje gezet waar je rekening mee moet houden als je de werkelijke kosten wilt berekenen van een eventueel datalek in jouw organisatie.
Lokatie, munteenheid en bedrijfsgrootte
Zelfs simpele dingen als de wisselkoers van de munteenheid waarin je bedrijf rekent kan een impact hebben op de kosten van een infosec-incident. Als je een kleine onderneming bent die weinig of geen klantdata verzamelt zijn de kosten van een datalek belangrijk lager dan dat van een groter bedrijf.
De soort data die verloren wordt
De soort data die gelekt wordt, is een van de belangrijkste factoren in de berekening van wat het je gaat kosten. Als je alleen e-mailadressen lekt, wordt het waarschijnlijk niet zo’n grote kostenpost als in het geval dat je persoonlijk identificeerbare informatie (PII) lekt, of gevoelige klantdata, betaalkaartinformatie of patiëntgegevens. Hoe gevoeliger de data is, des te kostbaarder zal het lek worden. Je kan bij het verliezen van betaalkaartgegevens aansprakelijk worden gesteld voor de navolgende financiële schade van de klanten, en bij het lekken van patiëntgegevens kan het leiden tot zware boetes van de toezichthouder.
De plek van het lek
Wat een grote rol speelt in het aantal databestanden die worden gelekt, is de plek waar het gebeurt, en dat heeft dus invloed op de kosten. Neem bijvoorbeeld als het lek veroorzaakt wordt door een derde partij, die voor jou bepaalde taken uitvoert. In een recent onderzoek kwam Ponemon Institute erachter dat lekken in dergelijke samenwerkingsverbanden de meest kostbare zijn.
Operationele kosten
Een beveiligingsincident kan je bedrijfsvoering vertragen, verstoren of zelfs stilleggen. Voor een winkelbedrijf zou dat betekenen dat je verkoopverliezen leidt, voor een dienstverlenend bedrijf is het een belemmering in het leveren van klantondersteuning.
De nasleep
Als een datalek is ontstaan bij een bedrijf dan is dat het resultaat van slechte beveiliging, of slecht uitgevoerd beleid. Dat houdt in dat je vervolgens je investeringen in tijd, mensen en geld daarop moet gaan richten. Sommige hardware of software moet vervangen worden of je zal meer mensen moeten aannemen die verstand van zaken hebben – en die zijn niet goedkoop.
Onderzoekskosten
Als je een gespecialiseerd bedrijf moet inhuren om je datalek te onderzoeken – of zelfs de politie – dan zullen die diensten je tonnen kosten, afhankelijk van de grootte van de aanval.
Publieke opinie
Als mensen je diensten niet meer willen gebruiken of je producten willen kopen na een groot datalek dan zal je omzet, winst, aandelenkoers en merkreputatie in gevaar komen.
Rechtszaken
Je kan een rechtszaak verwachten na een datalek en de kosten daarvan worden aanmerkelijk vergroot naarmate er meer mensen zich voegen in de zaak. Veel bedrijven proberen dan te schikken, maar ook dat is een kostbare zaak waarvoor je geld moet reserveren.
Bedrijfswaarde
Als je juist in een proces was van een overname of fusie kan een datalek schadelijk zijn voor de waarde van je bedrijf. Zo kelderde de waarde van Yahoo na de bekendwording van het enorme datalek dat het bedrijf had getroffen. De overname door Verizon kwam zelfs op de tocht te staan.
Deze bijdrage is geschreven door Ryan Francis en verscheen eerder op http://cio.nl/security/96279-hoe-je-de-schade-van-een-datalek-berekent