Beheer

Security

Dataschade 
minder kostbaar dan gedacht

13 mei 2015

58 cent per record. Volgens Verizon zijn dat de kosten van gestolen data. Voorlopig althans, want het model behoeft nog flink wat verfijning, zegt het telecombedrijf, en die komt na de zomer. De voorlopige uitkomsten zijn opvallend veel lager dan de 100 tot 250 dollar per record die onder meer Ponemon Research heeft uitgerekend in zijn meest recente onderzoeksrapport.

Verizon baseert zich voor zijn berekeningen op 191 claims van verzekerden tegen cybersecurity-aanvallen. Daarbij ging het om diefstal van ­betaalkaartgegevens, persoonlijk gegevens en medische bestanden. In totaal werden volgens de 191 claims ruim 700 miljoen bestanden gestolen, wat een kostenpost opleverde van 400 miljoen dollar. De cijfers zijn verzameld door NetDilligence, dat in samenwerking met verzekeraars het jaarlijkse Cyber Liability & Data Breach Insurance Claims-­rapport uitbrengt.

Dat de gemiddelde kosten aanzienlijk lager uitvallen in het model van Verizon komt volgens Simon Mason, managing director Emea security solutions van Verizon, doordat in de claims van de verzekerden kosten niet meetellen die bijvoorbeeld Ponemon wel meetelt. Zo neemt Ponemon kosten mee voor het inhuren van forensische experts, kortingen voor producten en diensten die getroffen klanten bij volgende aankopen krijgen, kosten voor interne onderzoeken en communicatie en het weglopen van klanten. Vervolgens wordt het totaal van de geschatte kosten gedeeld door het aantal gestolen bestanden.

Een ander verschil is dat Verizon ook de diefstallen van meer dan 100.000 bestanden bij de berekening betrekt. In andere rekenmodellen zou dat niet gebeuren. Dat maakt veel verschil, want uit de gegevens van de claims blijkt dat de kosten per bestand sterk dalen naarmate het aantal groter is. Zo kost een kleine datadiefstal, waarbij ongeveer honderd bestanden gestolen worden, tussen de 18.000 en 35.000 dollar. Een zeer grote aanval waarbij 100 miljoen bestanden betrokken zijn, levert een kostenpost op van 5 tot 15,6 miljoen. Verizon benadrukt wel dat de kosten ook weer niet lineair dalen met de stijging van de omvang van de datadiefstal.

Verfijning

Mason erkent dat het model nog moet worden verfijnd. Het is nog niet duidelijk welke aspecten hoeveel bijdragen aan de kosten van een datadiefstal. “Klanten vinden het heel belangrijk te weten wat de kosten van een datadiefstal zijn en vragen al erg lang om een rekenmodel hiervoor. Men wil het kostenplaatje erbij”, verklaart Mason. “Modellen die nu in de markt zijn, zijn te simpel. Wat tot nu toe voorhanden was, was gebaseerd op de gemiddelde geschatte kosten per record dat gestolen is. Dit traject is een beginstadium. We werken met echte cases van 191 claims, maar we willen meer content om veel preciezer te kunnen zijn. Daarvoor gaan we met vijf partners samenwerken, die data zullen delen. Dat moet geanonimiseerd gebeuren, want het zijn allemaal commerciële partijen die deels met elkaar concurreren. Na de zomer komen we met fase 2.”

Mason wijst er op dat er verschillende aspecten zijn die een rol spelen bij het beter bepalen van de kosten van gegevensdiefstal. “Is een organisatie volwassen in dit opzicht en dus goed voorbereid op een aanval die gericht is op datadiefstal? Want het is niet meer de vraag of, maar wanneer dat gebeurt. Ook speelt een rol in welke markt een organisatie opereert en welke soort data het betreft. Ook telt de geografische locatie, want die hangt weer samen met wettelijke regels, vooral bij diefstal van persoonlijke consumentendata. Daarnaast is er een verschil tussen de salarisgegevens van een gemiddelde medewerker en de intellectuele eigendommen van bijvoorbeeld ASML, dat onlangs aangevallen bleek. Je moet weten wat de gevolgen voor de interne organisatie zijn. Voor onze leveranciers telt weer hoe je kunt helpen met oplossingen de kosten zo laag mogelijk te houden.” Want uit het model blijkt alvast wel dat technische inspanningen erop gericht moeten zijn op het voorkomen van datadiefstal - of in elk geval het beperken van het aantal bestanden dat wordt gestolen.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!