Edward Roozenburg: € 690 miljoen voor cyberveiligheid? Een koopje!
Edward Roozenburg: € 690 miljoen voor cyberveiligheid? Een koopje!
Door Edward Roozenburg, Senior Risk Management Consultant, Probability & Partners
De Cyber Security Raad (CSR) waarschuwt in een brief aan informateur Rianne Letschert dat zonder extra maatregelen de kans op digitale ontwrichting door cyberaanvallen reëel is. Het nieuwe kabinet wordt daarom geadviseerd in de komende periode € 690 miljoen te investeren in digitale weerbaarheid, digitale autonomie en bescherming tegen AI-risico.
De CSR adviseert het kabinet en benadrukt dat Nederland te weinig investeert in digitale weerbaarheid terwijl de dreigingen toenemen door geopolitieke spanningen en de doorbraak van AI. Zonder € 690 miljoen aan extra investeringen komt de continuïteit van overheid, economie en samenleving onder druk te staan.
De CSR noemt vier beleidsprioriteiten: 1) versterking van vitale infrastructuur en overheid, 2) vergroting van digitale autonomie, 3) voorbereiding op AI-gedreven dreigingen, en 4) betere bescherming van burgers tegen cybercrime.
690 miljoen is niet niks. Maar wat kost het als we niks doen? Een voorbeeld: Nederland is voor zijn internationale dataverkeer afhankelijk van een beperkt aantal zeekabels in de Noordzee. Deze kabels zijn vitaal voor het internet. Stel dat het een vijandige staat lukt zo’n kabel te saboteren. Dan is het internet voor een groot deel van Nederland niet te gebruiken en komt de bedrijfsvoering stil te vallen.
Van de bekende kabelincidenten uit de afgelopen periode heb ik geen gedegen inschatting van de economische schade kunnen vinden. Wel zijn er inschattingen te vinden van economische en maatschappelijke kosten van bekende cybercrime-incidenten als wannacry en notpetya. Ook bij deze incidenten was er sprake van grootschalige uitval van technische voorzieningen, waarbij de bedrijfsvoering van veel organisaties wereldwijd tot stilstand is gekomen. Hoewel ieder incident op zich anders is, kunnen we toch belangrijke lessen trekken uit deze twee incidenten in 2017.
Bij de wannacry-aanval werd via een kwetsbaarheid in een oude Microsoft-versie ransomware geïnstalleerd op de systemen van honderden organisaties wereldwijd, waardoor hun systemen onbruikbaar werden. Wereldwijd is de schade door Cyence ingeschat op een bedrag van 4 miljard Amerikaanse dollar. Alleen al voor de NHS in het Verenigd Koninkrijk is de schatting volgens dezelfde site ingeschat op 92 miljoen Britse pond. Bij deze aanval zijn honderden organisaties getroffen.
De notpetya-attack was een vergelijkbare aanval, maar dan gebruikt om systemen en data te vernietigen en niet expliciet gericht op het innen van losgeld. Deze attack is toegeschreven aan Rusland en laat zien dat geopolitieke spanningen ook in cyberincidenten kunnen uitmonden. Volgens Cyber Ranges heeft notpetya wereldwijd meer dan 10 miljard Amerikaanse dollars aan schade veroorzaakt. Voor Maersk werd de schade geschat op 200 tot 300 miljoen dollar.
Hoewel ik verschillende inschattingen tegen ben gekomen met verschillende uitgangspunten, is duidelijk dat de omvang van dergelijke incidenten op grote schaal al snel in de miljarden loopt. Bij de organisaties waar op organisatieniveau de kosten in kaart zijn gebracht (over het algemeen zijn dat natuurlijk wel de grotere organisaties) lopen de schattingen als op tot naar bedragen van rond de 100 miljoen of meer.
Stel dat er inderdaad een incident is met een gesaboteerde internet kabel op de Noordzee waarbij van tien grote bedrijven hun bedrijfsvoering tot stilstand komt met een gemiddeld verlies van 100 miljoen per bedrijf. Dan zit je dus al op een schadepost van een miljard. Als we met deze € 690 miljoen één incident per jaar kunnen voorkomen, is dit dus geen groot bedrag. Het CSR-advies om wat extra te investeren in digitale weerbaarheid lijkt mij een advies met een positieve pay-off: financieel en ook voor de zielerust.