U bent hier

Onderneming & Fiscus
Kosten cybercrime nog in nevelen gehuld

Kosten cybercrime nog in nevelen gehuld

Het Centraal Planbureau (CPB) heeft onlangs een onderzoek gepubliceerd naar cybercrime. Uit deze Risicorapportage cyberveiligheid economie 2019 blijkt dat vaak niet duidelijk is hoe groot de financiële en maatschappelijke schade is die organisaties oplopen door cybercriminaliteit. Er wordt wel geld geïnvesteerd om cybercrime tegen te gaan en cybersecurity staat al jaren hoog op de agenda van de overheid. Maar of deze investeringen toereikend zijn is, niet bekend.

Cybercrime is een toenemende vorm van criminaliteit en een grote kostenpost, niet alleen voor organisaties zelf, maar ook voor verzekeraars. Steeds meer voorwerpen zijn aangesloten op het internet en kunnen gegevens uitwisselen. Als dergelijke apparaten niet goed geconfigureerd zijn, vormen ze een toegangspoort voor hackers naar het organisatienetwerk. Criminelen bedreigen daarmee de veiligheid van organisaties, overheidspartijen en burgers. De overheid wil dan ook meer regie bij het voorkomen van cybercriminaliteit en kwam al eerder met een Richtlijn cybercrime, die handvatten biedt voor strafopleggingen.  

Inschatting financiële gevolgen lastig

Ondanks strengere wet- en regelgeving moet er nog steeds veel geld gepompt worden in de strijd tegen veiligheid. Maar het is niet duidelijk of de hoogte van de investeringen in cyberveiligheid wel goed staat afgestemd. Organisaties weten soms niet dat ze een aanval hebben doorstaan of willen dat niet openbaar maken. Dat houdt de schade wazig. Ook is moeilijk in te schatten wat de financiële gevolgen van een cybercrimeaanval op de langere duur zijn. Daardoor is een passend kostenplaatje moeilijk te maken en liggen investeringen soms te hoog en dan weer te laag. Daarnaast is het door deze onduidelijkheid ook lastig om te weten welke maatregelen gaan werken. Organisaties en overheid doen wel veel tegen cybercrime, maar welke maatregelen precies werken voor de verschillende vormen van cyberaanvallen is nog niet goed uitgekristalliseerd.

Onduidelijkheid over verzekeringen tegen cybercrime 

Er zijn wel cybercrimeverzekeringen, maar of die op maat zijn is de vraag. Veel aanvallen leiden tot datalekken en daarmee tot overtredingen van de Algemene verordening gegevensbescherming (tool). De maximale boetebedragen zijn op die overtredingen erg hoog en omdat er tot nu toe weinig boetes zijn uitgedeeld, is het moeilijk om in te schatten hoe de Autoriteit Persoonsgegevens zal omgaan met specifieke omstandigheden. Voor sommige bedrijven is dekking van deze boetes daarom een belangrijke reden om een cyberverzekering te overwegen. Tegelijk is het juridisch onduidelijk in hoeverre verzekering van dit soort boetes is toegestaan. Hierover lijkt binnen het mkb onduidelijkheid en ongerustheid te zijn. De inzet van Artificiële Intelligentie (AI) zou een oplossing kunnen bieden en cyberaanvallen eerder kunnen opsporen, aldus het rapport (pdf). Maar AI is zelf ook weer gevoelig voor cyberaanvallen. Zwaktes in hard- of software om data te analyseren kunnen worden veroorzaakt door fouten of lacunes in zowel het ontwerp als de implementatie ervan, waardoor voor cybercriminelen de poort wijd openstaat.