Cybercriminaliteit kost Nederlandse organisaties tien miljard euro per jaar. De economische schade door cybercrime is het grootst in de publieke sector. Aanvallen op de ict-systemen van overheden leiden jaarlijks tot 2,4 miljard euro aan waardeverlies. Dat blijkt uit cijfers van analistenbureau Deloitte. Dat heeft voor het eerst per sector berekend wat het waardeverlies is als gevolg van cybercriminaliteit.
Het analistenbureau schat het totale waardeverlies door cyberrisico’s voor de grootste Nederlandse bedrijven en overheden op jaarbasis op tien miljard euro. ‘Uitgaande van een worst case-scenario kan dat bedrag voor individuele organisaties oplopen tot achttien keer meer dan het waardeverlies dat ze mogen verwachten’, licht Deloitte toe.
Naast de publieke sector lijden de sectoren technologie & elektronica (1,1 miljard euro waardeverlies op jaarbasis), de banken sector (360 miljoen euro) en de sector defensie, luchtvaart en ruimtevaart (415 miljoen euro) de meeste financiële schade.
De meestvoorkomende cyberdreigingen die dat waardeverlies veroorzaken zijn volgens de analisten: onderbreking van de operationele continuïteit (41 procent), derde-partij- en privacy gerelateerde informatie (19 procent), verminderde betrouwbaarheid (18 procent), verlies van intellectueel eigendom (12 procent) en verlies van strategische informatie (9 procent).
Volgens Deloitte is het verstoren van de bedrijfsvoering (operationele continuïteit) het gevolg van gerichte aanvallen door partijen die uit zijn op verstoring. Een ander groot waardeverlies (eveneens bijna 40 procent) komt voort uit verlies van intellectueel eigendom, strategische informatie en verminderde betrouwbaarheid van producten en diensten. ‘Dit laatste verklaart een groot deel van het waardeverlies voor de publieke sector, de technologie- & elektronicasector en de defensie, luchtvaart en ruimtevaartsector’, aldus de analisten. Ze benadrukken dat voor banken het grootste deel van het risico bestaat uit de grote hoeveelheden vertrouwelijke informatie die ze van hun klanten hebben. Het risico om liquide middelen te verliezen is volgens hen relatief klein.
Data analyse
De cijfers komen uit de data-analyse Cyber Value at Risk in The Netherlands dat Deloitte aan de vooravond van de International NCSC One Conference in Den Haag publiceert.
Deloitte heeft voor het eerst de cyberrisico’s in Nederland gedetailleerd en gekwantificeerd in beeld gebracht door middel van data-analyse.Het onderzoek werpt licht op zowel de gemiddelde impact van cyberrisico’s als op het waardeverlies dat cyberincidenten in het ergste geval kunnen veroorzaken voor de Nederlandse overheid en het bedrijfsleven. Doel van het onderzoek is om organisaties inzicht te geven in het risico dat ze lopen op waardeverlies door cyberincidenten.
Beetje onzinnig onderzoek met nog meer discutabele maar zeker onzinnige cijfers.
Je zult een solide basis moeten hebben om berekeningen op te kunnen baseren en niet de totaal onvolledige overzicht van incidenten of totaal fictieve voorstelling van zaken.
Ik mis hier twee zeer elementaire zaken.
1. Onderbouwing
Waar zijn die cijfers op gebaseerd en hoe is men gaan rekenen
2. Oplossing
Prachtig dit gecijfer maar wat zijn dan volgens Deloitte de oplossingen.
IT 100% predictability
Het is bijzonder eenvoudig te stellen hoe men problemen kan voorkomen door a: bewustzijn en b: leer iedereen nu eerst eens hoe IT als materie werkt, hoe je ermee om dient te gaan en op welke wijze je 100% volkomen excessen zoals cybercrime uit bannen kan. Dit overigens volkomen los van al of niet aangedragen technische IT oplossingen. Het gaat namelijk om de materie IT en niet de individuele oplossingen.
Cybercrime risico vs realiteit
Je kunt alles wel tot ‘risk’ promoveren maar dat betekend niet dat iets dan ook een risk is. Delloite gaat veel teveel uit van de naam en reputatieschade dan dat met uit gaat van hoe die risico’s te minimaliseren en/of uit te bannen.
Organisatie vs technische implementatie
Stel je risico in en met IT ICT in de praktijk dan zeg je feitelijk twee dingen.
1. Mens en risico
2. Techniek en risico
Het stellen dat je risico’s hebt gekwantificeerd, sinds 2011? Lijkt me een onmogelijkheid omdat je dan keiharde feiten moet hebben en cijferanalyse en daar ben je dan weer afhankelijk van de aanlevering van ‘slachtoffers’. En die basis ontbreekt volkomen.
Al met al … beetje jammer.
Het doel is toch bereikt. Deloitte is in het nieuws.
@Rene
“op welke wijze je 100% volkomen excessen zoals cybercrime uit bannen kan.”
Onzin. Kan niet.