Nieuws

Spookcijfer: Cybercrimeconsultants weten wat niemand weet

Cybercrime kost Nederland jaarlijks 10 miljard, zo schrijven tientallen media de kop van een persbericht van Deloitte over. Maar klopt dat ook? Daar valt veel over te zeggen, onder andere de volgende twee zaken.

Ten eerste het waarom van dit persbericht. Deloitte schrijft: “By providing a comprehensive quantitative overview (…) we provide the information that helps organizations to make rational decisions related to cyber security investments.” Dat klinkt heel zinnig: hoe beter bedrijven weten wat er op het spel staat, hoe beter ze kunnen investeren in maatregelen om die risico’s te beheersen. Maar gek genoeg is die 10 miljard nu juist geen indicatie van wat er op het spel staat.

Het gaat eigenlijk om het begrip Value At Risk (VAR). Sterk vereenvoudigd geeft de VAR inzicht in wat er op het spel staat als de pleuris echt een keer uitbreekt: de schade in uitzonderlijke gevallen die niet zo vaak voorkomen.  Volgens het rapport van Deloitte is dat risico gemiddeld een keer of acht zo groot als de Value At Loss van 10 miljard wat volgens hen simpelweg de cost of doing business weergeeft in een economie waar met digitalisering ook heel veel te verdienen valt, oftewel de schade die 'gebruikelijk' is onder normale omstandigheden. Dan is het eigenlijk heel mal dat Deloitte geen koppen in de pers probeert te krijgen over de VAR want dat is eigenlijk het enige relevante cijfer voor het managen van risico’s. Misschien omdat het wat lastiger uit te leggen is?

De tweede vraag is: hebben de cijfers wel een stevige basis? Eigenlijk is het al jaren een black box wat cybercrime nu echt voor schade doet (en kan doen). Ook voor verzekeraars is dat een probleem: zij hebben geen data om hun modellen te vullen en op basis daarvan polissen aan te bieden, zo blijkt onder meer uit dit verhaal. Dat heeft verschillende oorzaken. Organisaties zijn er vaak niet al te happig op om al teveel details hierover te delen. En de schade is niet in alle gevallen eenduidig te berekenen. Een voorbeeld: als een website die liefhebbers van buitenechtelijke avonturen aan elkaar koppelt wordt gehackt, dan heeft dat zeker een enorme reputatieschade. Maar hoeveel? Tal van experts erkennen dat becijferen glad ijs is, de Amerikaanse collega’s van Deloitte incluis. Zij schreven in 2015 nog in een bijlage bij de Wall Street Journal dat kwantificeren op dat moment nog niet haalbaar was. Eén van de grootste uitdagingen: “Doing so requires a large set of real-world historical data regarding the frequency and severity of risk events that's not yet widely available.” Gevolgd door diverse argumenten waarom dat zo is.

Is er in een jaar tijd zoveel gewijzigd dat Deloitte dit nu wel kan voor de Nederlandse markt? Daarvoor is het nodig het rapport zelf eens goed door te vlooien over de methodologie. Wat we dan onder meer lezen: “Standardized metrics for performance are lacking and not reported on, however, useful metrics can be found through extensive literature analysis.(...) From our literature study of over 250 scientific and professional publications, we have inferred the maturity for each sector, which we have validated with our Deloitte sector experts as well as with our team of around 180 security experts with hands-on experience.

Kort gezegd komen de data voort uit een combi van literatuuronderzoek en de mening van 180 eigen medewerkers. Is dat voldoende basis voor zulke claims en is het 'Wij van wc-eend' gehalte daarmee niet wat erg hoog? Of is het niet meer dan een eerste voorzichtige poging die in de pers nogal wordt opgeblazen tot vaststaand feit? U mag het zelf zeggen. Terzijde: zouden ze bij dat literatuuronderzoek ook dit onderzoek van de universiteit van Cambridge zijn tegengekomen, dat concludeert dat de kosten van het beschermen tegen cybercrime misschien wel eens hoger kunnen zijn dan de kosten van de dreiging zelf?

Gerelateerd

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.