Cybercriminaliteit kost bedrijfsleven €10 miljard per jaar

Cybercriminaliteit zorgt in het Nederlandse bedrijfsleven voor een waardeverlies van €10 miljard per jaar, oftewel 1,3% van het BBP. Dat blijkt uit recent onderzoek van Deloitte. Voor het MKB zijn de bedreigingen het grootst en hun rol als toeleverancier voor grote bedrijven brengt ook corporates in gevaar, stellen de onderzoekers. Om de cyberomgeving veilig te houden, zouden bedrijven volgens hen meer samen moeten werken en ‘cybersecurity communities’ moeten vormen.

Voor het onderzoek, dat dit jaar voor de tweede keer is uitgevoerd, zijn de cyberrisico’s voor de 2.600 grootste bedrijven van Nederland en 250.000 MKB-ondernemingen in kaart gebracht. Hiervoor maakte Deloitte gebruik van het Cyber Value at Risk-model dat het Big Four kantoor samen met het World Economic Forum heeft ontwikkeld. Dit model maakt het potentiële waardeverlies voor bedrijven inzichtelijk, door de schade van mogelijke, toekomstige aanvallen te kwantificeren. De bedrijven werden onderverdeeld in vijftien sectoren, waardoor een vergelijking mogelijk was in welke sectoren bedrijven het meeste risico lopen. Met de onderzoeksresultaten wil Deloitte Nederlandse bestuurders helpen om beter geïnformeerde beslissingen te nemen over welke investeringen op het gebied van cybersecurity nodig zijn binnen hun organisatie.

Waardeverlies per jaar

Uit het onderzoek blijkt dat cybercriminaliteit momenteel voor een waardeverlies van circa €10 miljard per jaar zorgt. €9 miljard daarvan komt voor rekening van grote bedrijven en corporates, terwijl het complete MKB te maken heeft met een waardeverlies van €1 miljard. De enorme bedragen die ieder jaar verloren gaan door cybercriminaliteit zijn volgens de onderzoekers een illustratie van de hoge mate waarin het Nederlandse bedrijfsleven is gedigitaliseerd. De grootste risico’s op waardeverlies komen voort uit onderbrekingen van de operationele continuïteit (26%), verlies van de betrouwbaarheid van communicatie- en IT-systemen (26%) en verlies van vertrouwelijke informatie van derden (25%).

Terwijl de corporates over het algemeen prima opgewassen zijn tegen de geschatte waardeverliezen, zijn het vooral de MKB-ondernemingen die ten onder gaan aan de schade die cybercriminelen berokkenen aan hun organisatie en imago. Kleinere bedrijven kunnen geen schaalvoordelen halen uit hun investeringen in cybersecurity, waardoor de ROI veel lager ligt dan voor grotere organisaties.

Maarten van Wieren, cybersecurityexpert bij Deloitte: “MKB-bedrijven hebben vaak een minder volwassen cybersecuritybeleid of reageren alleen na incidenten, terwijl de cyberaanvallen tegelijkertijd verfijnder en complexer worden.” Doordat zij kwetsbaarder zijn voor cyberaanvallen, worden zij een steeds aantrekkelijker slachtoffer. Tegelijkertijd wordt het steeds minder betaalbaar voor de middelgrote en kleine bedrijven om maatregelen te nemen die de cybercriminelen buiten houden, naarmate de aanvallen op hun digitale omgeving verfijnder worden.

Volgens de onderzoekers zou er echter sprake moeten zijn van gedeelde verantwoordelijkheid. Van Wieren legt uit: “Enerzijds is het midden- en kleinbedrijf zelf kwetsbaar voor cyberaanvallen, anderzijds vormt hun kwetsbaarheid een risico voor grotere bedrijven gezien hun rol als toeleverancier.” Er wordt steeds vaker allerlei digitale informatie uitgewisseld tussen MKB-bedrijven en corporates. Door de lagere volwassenheid in cybersecurity kan deze data gemakkelijk worden buitgemaakt door cyberaanvallers. “Het op orde brengen van de cyberveiligheid van MKB-bedrijven is daarmee een gedeelde verantwoordelijkheid geworden”, vervolgt Van Wieren. “Publiek-private samenwerking is steeds belangrijker en alleen door samen te werken, kunnen we tot een weerbare en sterke digitale economie komen.”

Cybersecurity communities

Gezien het toegenomen belang van samenwerking en de gedeelde verantwoordelijkheid, zouden stakeholders volgens Deloitte cyber risk management collectief moeten organiseren. Door het vormen van zogenaamde “cybersecurity communities” worden schaalvoordelen gerealiseerd voor de investeringen in cybersecurity, waardoor ook de kleinere bedrijven mee kunnen profiteren van betere beveiliging van hun cyberomgeving.

De noodzaak tot deze collectieve investeringen wordt volgens de onderzoekers vergroot doordat de toenemende complexiteit en verfijndheid van cyberaanvallen ervoor zorgt dat de ROI van bedrijven op cybersecurity investeringen afneemt. “Naarmate bedrijven op digitaal vlak steeds meer onderling worden verbonden en er minder analoge alternatieven zijn om op terug te vallen, worden organisaties steeds meer afhankelijk van elkaar voor hun beveiliging”, concluderen de onderzoekers.

Om klanten te helpen met het bestrijden van cybercrime, opende Deloitte in de zomer va 2016 een Cyber Intelligence Center in Den Haag. Ook is het bureau een van de founding partner van het Nederlands Cyber Collectief en partner van The Hague Security Delta.