18 september 2017 11:58

Hoeveel kost een cyberaanval jouw bedrijf?

Een nieuwe tool van F-Secure analyseert de risico’s die je bedrijf loopt op een cyberaanval en berekent het exacte bedrag dat zo’n aanval je kan kosten.

F-Secure, een bedrijf gespecialiseerd in cyberveiligheid, heeft een nieuwe dienst klaar die bedrijven een exacte voorspelling geeft van de kosten bij een cyberaanval. Cyber Breach Impact Quantification (CBIQ) brengt de werkelijk te verwachten kosten van een incident in kaart, gebruik makende van de daadwerkelijke kosten van je bedrijf en de daarbij te verwachten verlieskosten.

Risicorapport

F-Secure onderzoekt met behulp van workshops en interviews met belangrijke interne kennishouders de operationele activiteiten van een organisatie. Hierbij houdt de beveiligingsfirma rekening met de verschillende variabelen die bij een securityincident horen, zoals kosten van forensisch onderzoek, juridische aansprakelijkheid, kosten van het herstellen van de interne en externe dienstverlening, communicatiekosten en de kosten van het stilvallen van de belangrijkste bedrijfsprocessen. Uiteindelijk stelt CBIQ een risicorapport op van cyberveiligheidsincidenten. Dat rapport kunnen bedrijven gebruiken om de juiste investeringen te doen.

“Bedrijven denken dat het te ingewikkeld is om cybersecurityrisico’s te kwantificeren,” zegt Marko Buurt, een Principal Risk Management Consultant bij F-Secure. “Dus investeren ze miljoenen in oplossingen voor alle mogelijke bedreigingen, voor het geval dat er iets gebeurt. Ze weten echter niet of ze investeren in de juiste oplossingen en welke oplossingen de meeste impact hebben. CBIQ maakt de dreiging tastbaar en meetbaar zodat organisaties bewust kunnen kiezen voor de beste securityoplossingen om hun kernprocessen en bestanden veilig te stellen.”

Onafhankelijk risicobeeld

F-Secure heeft niet zonder reden een dienst ontwikkeld die de kosten van een cyberaanval voor een bedrijf raamt. Uit data van F-Secure Risk Assessments blijkt dat 50 % van bedrijven wel een crisismanagement team heeft voor het aanpakken van fysieke rampen, maar dat slechts 20 procent een dergelijk team heeft voor cybersecurity-incidenten. 65 procent van de ondervraagde bedrijven heeft zelfs nog nooit een crisisoefening gedaan voor een cyberaanval.

Bovendien geven bestaande risicoanalyses slechts gemiddelde kosten. Risico’s worden ingedeeld in categorieën en voor ieder niveau bestaat een algemene schatting van de kosten. “Daar waar andere risicoanalyses vage resultaten tonen die open staan voor discussie, berekenen wij met CBIQ harde cijfers gebaseerd op onafhankelijke, te controleren input. Waarom zou je jouw securitybeleid baseren op algemeenheden en gemiddelden, als je een onafhankelijk risicobeeld kunt ontwikkelen,” vraagt Buurt zich af.