CGI: Cybercrime bedreigt samenleving en economie

“Cybercrime kost Nederland jaarlijks €8 miljard” schrijft de Volkskrant. Dat is anderhalf procent van het nationaal inkomen. De schade is onder te verdelen in diefstal van octrooien, diefstal van andere bedrijfsgeheimen en fraude met creditcards. Experts roepen dat cybercrime een bedreiging is voor de samenleving en de economische ontwikkeling van Nederland.

Niet alleen Nederland lijdt schade door cybercrime. Onderzoek binnen 257 organisaties in zeven landen laat zien dat per organisatie de gemiddelde schade per jaar €6,8 miljoen bedraagt ($7,6 miljoen)*. Dit bedrag neemt alleen maar toe. De meest kostbare cyberaanvallen worden veroorzaakt door hackers gesponsord door overheden, kwaadwillende insiders, ‘denial of services’ en webgebaseerde aanvallen. Grootste schadeposten volgens het Ponemon Institute zijn het stelen van bedrijfsgeheimen (intellectual property), het verlies van informatie en het onderbreken of stilvallen van de bedrijfsvoering.

Binnen de context van cyber zijn twee domeinen te onderscheiden namelijk: 1) enterprise cybersecurity en 2) critical infrastructure protection & resilience (herstel). Beide domeinen vragen om een specifieke benadering terwijl zij tegelijkertijd met elkaar verbonden zijn. Cybersecurity richt zich op het voorkomen van misbruik van IT- en productievoorzieningen. In het critical infrastructure protection & resilience domein is ‘safety’ het belangrijkste uitgangspunt naast tegenwoordig ook security. Safety betekent hier dat er geen ongelukken gebeuren als gevolg van menselijk of technologisch falen (inclusief cyberaanvallen) die direct impact hebben op mensenlevens, de samenleving of de economie. Je komt geen terrein op van een critical infrastructure-organisatie zonder een safetycursus gevolgd te hebben en met goed gevolg een examen te hebben afgelegd. Safety in deze context is het allerhoogste goed. Echter, vandaag de dag kunnen cyberaanvallen op critical infrastructures niet alleen direct leiden tot safety- maar ook tot securityproblemen.

“Cybersecurity is dus niet langer slechts een IT-probleem. Overheden en bedrijven zijn zich steeds meer bewust van de risico’s van cybercrime en willen anticiperen op bedreigingen en onverwachte situaties. Zij willen de zekerheid dat persoonlijke gegevens en bedrijfsgegevens veilig zijn, productieprocessen niet verstoord worden, de continuïteit van de dienstverlening geborgd is en vitale infrastructuren blijven functioneren”. Cybersecurityvraagstukken zijn niet voor elke situatie hetzelfde. Banken en overheid doen onder meer zaken met consumenten via open en publieke infrastructuren zoals het internet. Dit model van business-to-consumer zorgt voor andere bedreigingen in vergelijking met bedrijven en organisaties die onderling via een concept van business-to-business met elkaar zaken doen met een gesloten infrastructuur en streng beveiligde datacenters.

De uitdagingen om cybercrime goed aan te pakken zijn groot omdat kennis en budget vaak onvoldoende beschikbaar zijn. Cybersecurity klinkt nogal technisch georiënteerd. Door betrokkenheid van geheime diensten zoals de Amerikaanse NSA en overheden bij security of privacyincidenten hangt rond de term cybersecurity een zweem van mystiek en geheimzinnigheid. Nadenken over een goed cybersecuritybeleid en de uitvoering ervan loont. Inzet van security intelligence-systemen maakt een groot verschil. Bedrijven die deze systemen toepassen (inclusief SIEM) waren efficiënter in het opsporen en bestrijden van cyberaanvallen. Bedrijven die security intelligence-systemen inzetten besparen bijna €2,4 miljoen in vergelijking met bedrijven die geen security intelligence-technologieën gebruiken.

De kunst is dus om cybersecurity vooral te zien en te benaderen als een risicomanagementvraagstuk dat naast dat het sociaal en bedrijfseconomisch kan worden ontleed ook over het beschermen van mensenlevens gaat.

* 2014 Global Report on the Cost of Cyber Crime, Ponemon Institute, October.

Een artikel van Leon Dohmen, principal panagement consultant bij CGI, en Jaap Schekkerman, directeur en thought leader Global Cyber Security bij CGI.