Een incident kan je bedrijf de kop kosten.

Deloitte heeft ontdekt dat de ‘verborgen’ kosten van een cyberaanval tot wel 90 procent kunnen uitmaken van de totale impact op een organisatie, en die kosten kunnen naijlen tot maar liefst twee jaar na een dergelijke aanval.

Weinigen zullen bestrijden dat cyberaanvallen toenemen in frequentie en in intensiteit, en de meeste organisaties bevestigen dat zij minstens één incident hebben meegemaakt. Maar hebben die organisaties een echt beeld van de volledige impact op de organisatie? Immers, de directe kosten die gewoonlijk worden geassocieerd met een datalek zijn veel minder groot dan de ‘verborgen kosten’. Die kunnen oplopen tot maar liefst 90 procent van de totale impact op de organisatie, en zullen naar alle waarschijnlijkheid doorlopen tot twee jaar of langer na het incident. Die conclusie wordt getrokken in een recent onderzoek door Deloitte, genaamd Beneath the Surface of a Cyberattack: A Deeper Look at the Business Impacts.

Deloitte omschrijft 14 gevolgen van een cyberaanval, die gecategoriseerd zijn in ‘zichtbare’, oftewel de bekende kosten van een incident, en ‘verborgen’ of minder zichtbare kosten. In elke categorie zijn er zeven gevolgen opgenomen.

Maar Deloitte gelooft dat de huidige marktwaardering van cyberincidenten nogal wordt onderschat, omdat het publiek zich richt op de impact die zichtbaar is – veruit de minste kosten.

“Managers hebben moeite om de potentiële impact in te schatten, deels omdat ze niet bewust zijn van de problemen waarmee hun collega’s worstelen terwijl ze hun organisatie weer overeind proberen te helpen”, zegt Emily Mossberg van Deloitte & Touche en leider van de de cyber risk service van Deloitte Advisory. “Een accuraat beeld van de gevolgen van een cyberaanval is er niet, en daarom ontwikkelen veel bedrijven niet de juiste houding om om te kunnen gaan met de risico’s.”

“Veel overleg richt zich op het identificeren van de kwetsbaarheden en de technologische impact”, vervolgt Mossberg. “De focus ligt erg scherp op het snel in beeld krijgen van een incident en de beschermingsmechanismen die in werking moeten treden na de ontdekking van een incident, maar de brede impact ervan lijkt te worden genegeerd.”

Analisten van Deloitte zoeken nu naar wegen om een breder plaatje te krijgen van een cyberaanval.

“We vonden dat dat wordt onderschat. Wat we niet verwachtten was hoe veel van de echte gevolgen zich onder de radar bevinden en geen onderdeel uitmaken van de dagelijkse discussie over cyberincidenten”, verklaart Mossberg.

Om de volledige impact van een cyberaanval te laten zien, beschrijft Deloitte in haar rapport twee fictieve cases en koppelt in dollars de kosten van elke factor over een periode van vijf jaar. De veertien impactsfactoren die Deloitte onderscheidt zijn de volgende:

Zichtbaar

  • Waarschuwingen aan klanten
  • Beschermingsmaatregelen voor klanten na het incident
  • Boetes
  • Public relations/crisiscommunicatie
  • Advocaat- en proceskosten
  • Verbeteringen aan security
  • Technisch onderzoek

Verborgen

  • Verhoging van verzekeringspremies
  • Kosten voor het aangaan van leningen
  • Verstoring van de bedrijfsvoering
  • Waardeverlies in klantrelaties
  • Verlies aan contractuele omzet
  • Waardedaling van de handelsnaam
  • Verlies aan intellectueel eigendom

Van alle impactsfactoren die hierboven zijn genoemd, is wellicht de belangrijkste de verstoring van de bedrijfsvoering. “Elke organisatie is uniek in de mate waarop ze door een incident wordt getroffen, maar in elk marktsegment heb je gemeenschappelijke delers. In de retail is bijvoorbeeld de credit card-data en het pin-betalingsverkeer het belangrijkst. In de gezondheidszorg is dat persoonlijke en identificeerbare informatie. En in de maakindustrie is het stelen van intellectueel eigendom het risico met de grootste impact. Niettemin is de verstoring van de bedrijfsvoering de meest onderschatte impactsfactor voor de meeste bedrijven”, zegt Erik Thomas, president en consultant bij EMT Consulting.

“Afhankelijk van de timing en de duur kan dat brede gevolgen hebben, in financiële zin vanwege boeteclausules in contracten, gemiste omzet, kosten voor leningen, klantenservice, merkwaarde en toekomstige kansen”, zegt Thomas.

Darren Van Booven, chief information security officer bij Idaho National Laboratory, is het daarmee eens. “De grootste tastbare impact is die het eerste voelbaar is, en dat zijn de economische kosten van de eerste reactie op het incident. De aanval indammen en erop reageren, het onderzoek naar eventuele dataverlies, public relations, de juridische gevolgen en de uitgaven om de beveiliging te verbeteren zodat de aanval zich niet kan herhalen. Dat kan voor middelgrote tot grote ondernemingen al snel in de miljoenen dollars lopen.”

Maar dan komen nog de verborgen kosten erbij, waarvan Van Booven zegt dat die afhankelijk zijn van diverse factoren. “Zoals het marktsegment waarin je je beweegt, de grootte van het bedrijf en de aard van de aanval. Als je bijvoorbeeld niet in staat bent geweest om data adequaat te beschermen, heeft dat in de financiële sector een hele andere publieke reactie tot gevolg dan in de maakindustrie waarin je een rol hebt als toeleverancier.”

“Deze kosten zijn misschien wel moeilijker in te schatten, maar kunnen tevens flink oplopen als investeerders, klanten of belangrijke zakelijke partners heftig reageren op een event”, verklaart Van Booven.

Zulfikar Ramzan, chief technology officer bij RSA, ziet vijf elementen waarop een cyberaanval de grootste impact heeft: de impact op de bedrijfsvoering, diefstal van intellectueel eigendom, het verlies van gevoelige data zoals klant- en personeelsinformatie, de juridische implicaties en het verlies van je reputatie.

“Afhankelijk van de organisatie en het specifieke marktsegment waarin je je bevindt komen verschillende onderdelen bovendrijven”, zegt hij. “Sommige van die onderdelen, zoals de impact op de bedrijfsvoering, zijn makkelijker te kwantificeren. Daarentegen is het moeilijker een prijskaartje te hangen aan andere elementen, zoals reputatieschade en de diefstal van intellectueel eigendom.”

De kosten van de gevolgen

Maar Deloitte probeert dat niettemin wel. In het onderzoeksrapport beschrijven ze twee representatieve, maar fictieve, bedrijven die een cyberaanval moeten verduren, en daarbij werd een prijskaartje gehangen aan alle gevolgen.

Een van de twee bedrijven is een organisatie in de zorg die een data-incident kent: een laptop die 2,8 miljoen gegevens bevat over patienten wordt gestolen bij de technologische partner van het bedrijf dat die gegevens nodig heeft voor analyse. Gebaseerd op alle 14 impactfactoren die Deloitte heeft gedefinieerd, komen de totale kosten van het incident op meer dan anderhalf miljard dollar. De berekening ziet er als volgt uit:

Zichtbaar

  • Waarschuwingen aan klanten – 6 maanden, kosten zijn 10 miljoen dollar
  • Beschermingsmaatregelen voor klanten na het incident – 3 jaar, 21 miljoen dollar
  • Boetes – 2 miljoen dollar in een periode van 2 jaar
  • Public relations/crisiscommunicatie – 1 miljoen dollar in het eerste jaar
  • Advocaat- en proceskosten – 5 jaar, 10 miljoen dollar
  • Verbeteringen aan security – 14 miljoen dollar in het eerste jaar
  • Technisch onderzoek – zes weken, 1 miljoen dollar

Verborgen

  • Verhoging van verzekeringspremies – 40 miljoen dollar over 3 jaar
  • Kosten voor het aangaan van leningen – 60 miljoen dollar
  • Verstoring van de bedrijfsvoering – 30 miljoen dollar
  • Waardeverlies in klantrelaties – 430 miljoen dollar over een periode van 3 jaar
  • Verlies aan contractuele omzet – 830 miljoen dollar over een periode van 3 jaar
  • Waardedaling van de handelsnaam 230 miljoen dollar in een periode van 5 jaar
  • Verlies aan intellectueel eigendom – geen bedrag bepaald
  • Dus wat moet een organisatie doen om zich te beschermen tegen dergelijke hoge kosten? Mossberg geeft vier aandachtspunten waarop bedrijven zich moeten richten.

“Uiteindelijk moeten we kijken naar vier verschillende gebieden in de organisatie om te bepalen wat we moeten doen om de situatie te verbeteren”, zegt Mossberg. “Het belangrijkste is dat we kijken naar de programma-elementen – de bedrijfsstrategie, de toezicht, het beleid, de procedures, het framework en als er gaten zijn die daarin opvallen moeten die gerepareerd worden.”

“Vervolgens kijken we naar de pro-actieve security-maatregelen en de algemene houding ten opzichte van security – heeft de organisatie alles op zijn plek om data te beschermen, om de systemen te beschermen en, belangrijker nog, de business te beschermen?”

“De derde actie is dat we kijken of de organisatie een goed begrip heeft van hun omgeving en hoe dat in de dagelijkse praktijk wordt bewaakt en gemonitord”, zegt Mossberg. “Hebben ze de juiste tools om alle activiteiten in hun systemen te loggen? Hebben ze de juiste analysetools om te begrijpen wat er gebeurt dat buiten de normale routines valt?”

“En als laatste: is de organisatie klaar om direct te reageren op incidenten? Zijn ze weerbaar?”, stelt Mossberg. “Hebben ze de de processen die daarmee te maken hebben, getest? En weet de organisatie van onder tot boven, tot aan de directie toe, wie met wie moet communiceren in de uitvoering van die processen?”


Dit artikel is geschreven door David Weldon en verscheen op Cio.nl.