Cyberrisico’s publieke sector zijn ten minste 2,4 miljard euro waard

Opinie

Cyberrisico’s publieke sector zijn ten minste 2,4 miljard euro waard

Kwantificeren risico’s helpt publieke sector prioriteren

Voor de publieke sector is een belangrijke rol weggelegd in de aanpak van cyberdreigingen. Enerzijds omdat de overheid als maatschappelijke taak heeft om veiligheid te bevorderen, anderzijds omdat ze zelf ook volop gebruik maakt van ICT-toepassingen die blootstaan aan dreigingen. Kwantificatie van de risico’s kan helpen bij de prioritering en inrichting van cybersecurity.

Niek IJzinga - mei 2016

Met het onderzoek Cyber Value at Risk dat Deloitte in april publiceerde hebben we hier een eerste aanzet toe gedaan. Het totale bedrag dat op het spel staat als gevolg van cyberincidenten is 10 miljard euro op jaarbasis, zo blijkt uit onze berekeningen. De publieke sector neemt hiervan een aanzienlijk deel voor zijn rekening: 2,4 miljard euro. De werkelijke omvang van de risico’s kan echter nog aanzienlijk hoger uitpakken, doordat een aantal effecten nog niet is meenomen in deze berekening.

De berekening werd gemaakt op basis van het door Deloitte ontwikkelde Cyber Risk Quantification model, waarmee de kwantitatieve impact van cyberrisico’s op organisaties binnen de meest relevante sectoren in Nederland vastgesteld kon worden.


Bruggen en kennis

Alle lagen van de publieke sector zijn vatbaar voor cyberdreigingen. Digitale calamiteiten bij bijvoorbeeld grote informatie- en transactieverwerkende organisaties kunnen grote operationele en financiële gevolgen hebben voor deze organisaties, nog los van de mogelijke maatschappelijke impact. Veel infrastructurele objecten als bruggen, sluizen, wegkantapparatuur en tunnels staan ook in toenemende mate bloot aan cyberdreigingen, die tot grote schade kunnen leiden.

En dan zijn er nog de kennisinstituten, die een belangrijke hoeksteen zijn van onze kenniseconomie. Het resultaat van hun onderzoeken is uniek intellectueel eigendom, dat de basis vormt voor nieuwe economische mogelijkheden, nieuwe diensten en producten. De onderwijs- en onderzoekssector staat dan ook bloot aan aanzienlijke risico’s ten aanzien van het weglekken van intellectueel kapitaal.


Effectiever beleid

Hoe meer inzicht er is in de grootte van al deze risico’s en hoe dat over verschillende sectoren van de economie is verdeeld, hoe gerichter en effectiever er door de overheid beleid, wetten en regels kunnen worden ontwikkeld. Denk hierbij aan de precieze invulling van wetten als de EU NIB Richtlijn, die weldra zal worden afgerond of aan de Wet Bescherming Persoonsgegevens met de meldplicht datalekken, die 1 januari jl. is ingegaan.

Kwantificatie van cyberrisico’s is ook relevant omdat organisaties binnen de publieke sector primair zelf verantwoordelijk zijn voor hun digitale veiligheid. Inzicht in de omvang van de cyberdreiging helpt met het prioriteren van de investeringsagenda voor de digitale veiligheid van de overheid.

Voor overheidsorganisaties op het gebied van veiligheid - politie, justitie, inlichtingendiensten, defensie, terrorismebestrijding - kan nauwkeurige informatie over cyberrisico’s ook helpen om effectiever te opereren. Inzicht in waar dreigingen vandaan komen en waar ze schade kunnen aanrichten helpt om prioriteiten te stellen bij opsporing en vervolging.


Vitale voorzieningen

Er zijn ook gevolgen van cyberdreigingen die moeilijk of niet kwantificeerbaar zijn. Denk aan maatschappelijk onrust, het uitvallen van vitale voorzieningen - energie, water, telecom en betalingsverkeer - en een ondermijning van het vertrouwen in de overheid. Veel van deze effecten zijn in de huidige studie nog niet opgenomen omdat we ons in eerste instantie hebben geconcentreerd op financiële consequenties van de eerste orde en cascade-effecten, mensenlevens en/of reputatieschade achterwege hebben gelaten. Een aantal effecten zal ook niet kwantificeerbaar blijken. Want hoeveel kost aantasting van de rechtstaat? Welke prijs heeft uitval van onderwijs? En wat zijn de maatschappelijke kosten van grootschalige privacyschendingen?

Ons onderzoek is een eerste aanzet tot de kwantificering van cyberrisico’s: ze kunnen helpen bepalen of een investering in het beperken van een risico wel opweegt tegen de kosten ervan. Voor de overheid zal in vervolgonderzoek gekeken moeten worden naar de ketenafhankelijkheid binnen het e-overheidsdomein en de cascade-effecten en andere secundaire effecten die hierbij optreden. Ook kan een nadere specificatie worden aangebracht in de verschillende segmenten van de publieke sector: elke onderdeel heeft immers een ander risicoprofiel. Weet u al wat er voor uw organisatie op het spel staat?


Meer weten over cyberrisico's in de publieke sector?

Wilt u meer weten over cyberrisico's in de publieke sector? Neem dan contact op met Niek IJzinga via +31 (0)88 2885834

Vond u dit nuttig?