Niemand geeft graag miljoenen euro’s uit aan de bescherming van een bedrijf als de daadwerkelijke schade in het geval van een incident niet hoger ligt dan een paar duizend. En het is net zo idioot om op beveiligingskosten te beknibbelen om € 100 te besparen als de potentiële schade van een gegevenslek in de honderdduizenden euro’s kan lopen. Maar welke informatie moet u gebruiken om de geschatte schade van een bedrijf in het geval van een cyberincident te berekenen? En hoe bepaalt u de daadwerkelijke kans op zo’n incident? Bij de Black Hat 2020-conferentie presenteerden twee onderzoekers, professor Wade Baker van Virginia Tech en David Seversky, een senior analist aan het Cyentia Institute, hun kijk op risicobeoordeling. We vonden het de moeite waard om verder op hun argumenten in te gaan.
Elke cursus cybersecurity die zijn geld waard is leert u dat risicobeoordeling op twee factoren steunt: de waarschijnlijkheid van een ongeval en de potentiële schade ervan. Maar waar komen die gegevens vandaan en, belangrijker nog, hoe moeten die worden geïnterpreteerd? Het onjuist inschatten van mogelijke verliezen leidt namelijk weer tot incorrecte conclusies en dus ook geen optimale beschermingsstrategieën.
Is het rekenkundig gemiddelde indicatief?
Veel bedrijven doen onderzoek naar de financiële verliezen die worden geleden door gegevenslekken. Hun “belangrijkste bevindingen” zijn normaal gesproken de gemiddeldes van verliezen van bedrijven van vergelijkbare grootte. Het resultaat is wiskundig gezien juist, en dit getal kan erg pakkend lijken, maar kunnen we hier echt op vertrouwen bij het berekenen van het risico?
Als u dezelfde gegevens in een grafiek presenteert, met de verliezen langs de horizontale as en het aantal incidenten dat deze verliezen heeft veroorzaakt langs de verticale as, dan wordt duidelijk dat het rekenkundig gemiddelde niet de juiste indicator is.
Bij 90% van de incidenten ligt het gemiddelde verlies lager dan het rekenkundig gemiddelde.
Als we het over de verliezen hebben die het gemiddelde bedrijf zal lijden, dan is het logischer om naar andere indicatoren te kijken. In het bijzonder de mediaan (het getal dat de cijfers in twee gelijke delen opdeelt, waarbij de ene helft van de vermelde cijfers hoger en de andere helft lager dan dat getal is) en het geometrisch gemiddelde (een proportioneel gemiddelde). Het rekenkundig gemiddelde kan een erg verwarrend cijfer opleveren vanwege een klein aantal bijzondere incidenten met abnormaal grote verliezen.
Gemiddelde kosten van een gelekt gegevensbestand
Een ander voorbeeld van een twijfelachtig “gemiddelde” zien we bij de methode van het berekenen van de schade bij gegevenslekken door het aantal getroffen gegevensbestanden te vermenigvuldigen met de gemiddelde schade van het verlies van één gegevensbestand. In de praktijk blijkt dat deze methode de schade van kleine incidenten onderschat en de schade bij ernstige incidenten zwaar overschat.
Een voorbeeld: enige tijd geleden werd er een nieuwsverhaal verspreid op vele analytische websites waarin werd gemeld dat slecht geconfigureerde clouddiensten bedrijven bijna $ 5 biljoen hadden gekost. Als we op onderzoek uitgaat om te kijken waar dit astronomische bedrag vandaan komt, wordt het duidelijk dat het getal $ 5 biljoen simpelweg het resultaat is van het vermenigvuldigen van het aantal “gelekte” bestanden met de gemiddelde schade van het verlies van één bestand ($ 150). Dit laatste cijfer komt van het onderzoek 2019 Cost of a Data Breach Study van het Ponemon Institute.
Maar er moeten verschillende kanttekeningen bij dit verhaal worden geplaatst. Ten eerste hield het onderzoek geen rekening met alle incidenten. En ten tweede, zelfs als we alleen het gebruikte voorbeeld beschouwen, geeft het rekenkundig gemiddelde geen duidelijk idee van de verliezen; er werd alleen rekening gehouden met gevallen van gelekte bestanden waarvan het verlies een schadebedrag van minder dan $ 10.000 en meer dan 1 cent zou opleveren. Bovendien wordt uit de methodologie van het onderzoek duidelijk dat het gemiddelde niet geldig is voor incidenten waarbij meer dan 100.000 bestanden werden getroffen. Het vermenigvuldigen van het totaal aantal bestanden dat gelekt was ten gevolge van incorrect geconfigureerde clouddiensten met 150 was dus fundamenteel fout.
Als deze methode wordt gebruikt bij een echte risicobeoordeling, moet er rekening worden gehouden met een andere indicator van de waarschijnlijkheid van verlies, afhankelijk van de schaal van het incident. Dat zou er ongeveer als volgt uitzien:
Het rimpeleffect
Een andere factor die vaak over het hoofd wordt gezien bij het berekenen van de kosten van een incident is dat moderne gegevenslekken vaak meer dan slechts één bedrijf schaden. Bij veel incidenten overtreffen de totale verliezen die worden geleden door derde bedrijven (partners, opdrachtgevers en leveranciers) de schade die het bedrijf lijdt waarvan de gegevens werden gelekt.
Dit soort incidenten neemt elk jaar toe; de algehele trend van “digitalisering” zorgt alleen maar voor een toename van de mate van onderlinge afhankelijkheid tussen bedrijfsprocessen bij verschillende bedrijven. Volgens de resultaten van het onderzoek Ripples Across the Risk Surface, dat werd uitgevoerd door RiskRecon en het Cyentia Institute, resulteerden 813 van dit soort incidenten in geleden schade door 5.437 organisaties. Dat betekent dus dat voor elk bedrijf dat een gegevenslek heeft, er gemiddeld meer dan vier bedrijven door het incident getroffen worden.
Praktisch advies
Het komt erop neer dat verstandige experts die cyberrisico’s beoordelen de volgende adviezen zouden moeten opvolgen:
- Vertrouw niet zomaar op sensationele koppen. Zelfs als tal van sites bepaalde informatie vermelden, hoeft die niet per se te kloppen. Kijk altijd naar de bron die de beweringen ondersteunt en analyseer de methodologie van de onderzoekers zelf.
- Gebruik alleen onderzoeksresultaten die u volledig begrijpt in uw risicobeoordeling.
- Houd er rekening mee dat een incident binnen uw bedrijf tot gevolg kan hebben dat andere bedrijven verliezen lijden. Als er een lek plaatsvindt door uw schuld, dan is het waarschijnlijk dat de andere partijen juridische stappen tegen u ondernemen, waardoor de door u geleden schade van het incident nog verder oploopt.
- Vergeet ook niet dat partners en opdrachtgevers uw gegevens kunnen lekken in incidenten waar u geen enkele invloed op hebt.