Beheer

IT beheer

Wat kost een aanval op het bedrijfsnetwerk?

23 augustus 2013

Elk bedrijf weet: netwerkbeveiliging is cruciaal. Maar kan men becijferen hoeveel een beveiligd bedrijfsnetwerk opbrengt? Of omgekeerd: hoeveel kost het een organisatie als het netwerk te maken krijgt met een cyberattack? Met die wetenschap kan een bedrijf beter beoordelen hoeveel het moet investeren in netwerkbeveiligingsproducten, zoals next-generation firewalls, intrusiepreventiesystemen en Unified Threat Management-oplossingen.

Jammer genoeg bestaat er geen exacte formule voor het berekenen van de kosten die gepaard gaan met netwerkaanvallen. Wel zijn er verschillende nuttige richtlijnen, onderzoeken en technieken waarmee IT-managers hun eigen kostenmodel kunnen ontwikkelen. Bij het beoordelen van de impact van netwerkaanvallen en de preventieve waarde van next-generation firewalloplossingen, verdient een drietal vragen bijzondere aandacht:

  • Hoe definieert men verschillende soorten netwerkaanvallen?
  • In welke mate beïnvloeden deze aanvallen bedrijfsresultaten?
  • Hoe kwantificeert men de impact van dergelijke aanvallen?

Schade

Er zijn honderden soorten netwerkgerichte aanvallen die schade kunnen aanrichten in een organisatie (zie onder). Aanvallen veroorzaken, ongeacht hun herkomst, vaak twee soorten schade: gegevensverlies en ‘loss of service’.

‘Gegevensverlies’ geeft steevast aanleiding tot sensationele krantenkoppen. Geen enkel bedrijf wil te maken krijgen met een lek van vertrouwelijke informatie, waardoor informatie in handen komt van criminelen of concurrenten. Want de schade is altijd zichtbaar en pijnlijk. Zij kan vele vormen aannemen: financiële schade (inkomstenverlies, proceskosten, gerechtskosten, boetes), ‘zachte’ schade (verlies van goodwill en loyaliteit bij klanten) of concurrentieschade (bij verlies van intellectueel eigendom). Bedrijven die te maken krijgen met gegevensverlies besteden vaak betrekkelijk weinig tijd en geld aan opsporing en technisch herstel (signaleren en blokkeren van aanvallen, schadebeoordeling en herstelmaatregelen). Bovendien houdt de negatieve publiciteit rond gegevensverlies veel langer aan dan de aanval zelf.

‘Denial of-service’-aanvallen hebben als resultaat dat computersystemen – zowel devices als web-, applicatie- en databaseservers – worden gecorrumpeerd of volledig worden platgelegd. In dit scenario kan schade eveneens aanzienlijk zijn. De bedrijfsactiviteiten ondervinden vertraging of komen volledig tot stilstand, met directe impact op de omzet. De dagelijkse activiteiten worden onderbroken of medewerkers kunnen hun werk niet doen omdat het netwerk platligt. En net zoals bij gegevensverlies zijn er belangrijke kosten verbonden aan de inzet van IT- en helpdeskmedewerkers die problemen moeten diagnosticeren, medewerkers moeten begeleiden, IT-services opnieuw moeten opstarten en pc’s moeten herinstalleren (re-imaging).

Kosten

Hoe kan men nu de kosten inschatten? Er is geen pasklare of universele methode voor de berekening van deze kosten. Er zijn twee onafhankelijke onderzoeken die netwerkbeheerders enig houvast bieden bij het kwantificeren: een in maart 2012 uitgevoerd onderzoek door het Ponemon Institute [PDF} en het in oktober 2012 door NetDiligence gepubliceerde onderzoeksrapport ‘Cyber Liability & Data Breach Insurance Claims’ [PDF].

Eind 2011 voerde het Ponemon Institute diepte-interviews uit bij negenenveertig Noord-Amerikaanse bedrijven (uit veertien branches) die geconfronteerd waren met verlies of diefstal van persoonlijke klantengegevens. Hun voornaamste conclusies waren:

  • Gemiddelde kosten per datalek: 3,8 miljoen.
  • Inkomstenverlies per datalek: 2,8 miljoen.
  • Kosten als gevolg van het datalek: 1,4 miljoen euro (onder meer kosten voor de noodzakelijke helpdeskondersteuning, herstelmaatregelen, klantkortingen et cetera).

Als je de kosten berekent per getroffen record (incidenten zijn veelal gebaseerd op grote aantallen, doorgaans meer dan 100.000 records), dan geeft dit IT-managers een indicatie van de kosten van gegevensverlies, afgezet tegen de omvang van de onderneming en het aantal aanvallen waarmee deze onderneming wordt geconfronteerd.

Het door NetDiligence gepubliceerde onderzoek had betrekking op een totaal van 137 incidenten tussen 2009 en 2011, waarbij verzekeringsmaatschappijen overgingen tot uitbetaling van aansprakelijkheidsclaims vanwege netwerkaanvallen. Dit is wat ze gemiddeld uitbetaalden per incident:

  • juridische schikking: 1,6 miljoen euro;
  • proceskosten: 443.000 euro;
  • totale gemiddelde verzekeringsuitkering: 2,8 miljoen euro.

Schattingstechnieken

Hoewel deze twee onderzoeken zich richten op verschillende onderdelen van de kosten, doen deze cijfers huiveren en tonen ze de nadelige impact van netwerkaanvallen, zowel voor het bedrijfsresultaat als voor de reputatie en het concurrentievermogen van bedrijven.

Daarnaast zijn er nog andere schattingstechnieken om noodzakelijke investeringen in next-generation firewalltechnologie te verantwoorden:

  • het inkomstenverlies per uur dat de website platligt of minder toegankelijk is als gevolg van een DDoS-aanval;
  • het productiviteitsverlies voor ieder uur dat een cruciaal bedrijfsproces stil komt te liggen vanwege malware die de server platlegt;
  • het uurtarief voor de helpdesk die de malware-infecties op computers moet diagnosticeren en voor de supportmedewerkers die de geïnfecteerde pc’s moeten herinstalleren (re-imaging);
  • de kosten per record voor het informeren van klanten of medewerkers in het geval van een gegevenslek en het verlenen van ‘credit monitoring services’ gedurende het daaropvolgende jaar.

Tot slot kan ook nog een andere techniek nuttig zijn. Sommige organisaties maken gedetailleerde kostenschattingen tijdens zogenaamde ‘war game’-simulaties. Bij dergelijke simulaties doorloopt een dwarsdoorsnede van medewerkers uit diverse bedrijfsdisciplines – bijvoorbeeld IT, marketing, HR en Legal –gezamenlijk een aanvalsscenario. Dit soort oefeningen helpt niet alleen de kosten inzichtelijk te maken. Vaak stuit men hierbij ook op onvoorziene gevolgen van een datalek: bijvoorbeeld het niet kunnen naleven van contractuele verplichtingen of van eisen vanuit regelgeving.

Maatregelen

Wat betekent dit alles concreet voor IT-managers? Het slechte nieuws: netwerkaanvallen zijn duur, verstoren de bedrijfsactiviteiten en kunnen rampzalig uitpakken in veel lagen van het netwerk. Ze dienen dan ook tegen elke prijs voorkomen te worden. Het goede nieuws: er is een uitgebreide set tools beschikbaar die kunnen helpen de financiële gevolgen van gegevensverlies en ‘loss of service’-aanvallen in te schatten. Men kan deze kosten van netwerkaanvallen afzetten tegen de kosten van preventieve next-generation beveiligingsoplossingen. Hierdoor is men beter gewapend om de toegevoegde waarde van investeringen in netwerkbeveiliging vanuit financieel en strategisch bedrijfsperspectief inzichtelijk te maken en toe te lichten. Het mag duidelijk zijn dat dit niet louter een academische oefening is, maar een keiharde businessnoodzaak.

Soorten netwerkaanvallen

Er zijn honderden soorten netwerkgerichte aanvallen die schade kunnen aanrichten in een organisatie. De meest voorkomende zijn:

  • virussen, trojans, wormen en andere malware die servers en werkstations kunnen platleggen of waarmee gegevens kunnen worden ontvreemd;
  • geavanceerde, permanente bedreigingen die als doel hebben netwerken binnen te dringen en ongemerkt intellectuele eigendommen of vertrouwelijke informatie te ontvreemden;
  • distributed denial of service-(DDos)-aanvallen en flooding-aanvallen waardoor servers overspoeld en websites platgelegd kunnen worden.

Gezond verstand

Gezien het feit dat wet- en regelgeving in elk land en elke branche anders is, is het niet mogelijk hier een eenvoudige formule of berekening op los te laten en blijft het vaak een kwestie van achteraf de rekening opmaken. Maar met gezond verstand kan men al een heel eind komen. Het simpelweg uitgaan van de gemiddelde uuromzet met gebruik van zakelijke websites, e-mailverkeer en overige systemen die afhankelijk zijn van een veilige verbinding met het internet, vermenigvuldigd met het aantal uren dat deze middelen niet beschikbaar zijn, plus een factor 1,5 voor de periode die nodig is om werk van de verloren gegane tijd in te halen, en het risico dat klanten voor dat moment elders hun orders hebben geplaatst, geeft al een aardige indicatie van de minimale kosten van een aanval. Nu hebben we het hier alleen nog maar over commerciële organisaties waarbij de factor omzet relatief eenvoudig te meten is. Gaan we kijken naar andere bedrijfstakken, zoals banken, verzekeraars en overheidsdiensten waar zaken als verlies van vertrouwelijke (persoons)gegevens en imagoschade een vaak nog veel grotere rol spelen, dan zijn de kosten op de langere termijn niet te overzien. Als men dus een deel van de minimale kosten afzet tegen de investering voor een deugdelijk beveiligingssysteem, dan is het sommetje snel gemaakt.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!