Data-analyse biedt inzicht bij het kwantificeren van cyberrisico’s

Opinie

Data-analyse biedt inzicht bij het kwantificeren van cyberrisico’s

Omvangrijk onderzoek leidt tot unieke Cyber Value at Risk methodiek

Maarten van Wieren - 20 mei 2016

We horen en lezen vandaag de dag veel over cyberrisico’s. Dus vraag je je af hoe groot de kans is dat jóuw organisatie te maken krijgt met cybercriminaliteit. Hoe groot zou de schade dan zijn? En zou je deze risico’s en de bijbehorende schade dan kunnen managen? Moet je bijvoorbeeld een voorziening opnemen of een verzekering afsluiten zodat je in het geval van schade financieel veerkrachtig blijft?

Maar goede antwoorden vinden op dit soort vragen is niet eenvoudig. Je kunt je in het onderwerp verdiepen, concullega’s bellen met de vraag wat hen is overkomen. Maar dan? Ook al doe je nog zo hard je best, meer dan een fragmentarisch beeld zal dit niet opleveren. En de staartrisico’s – de echt zeldzame gebeurtenissen als bijvoorbeeld buitenlandse bedrijfsspionage gericht op jouw unieke intellectueel eigendom – kan je per definitie niet op deze manier helder krijgen.


Brede analyse

Wat je eigenlijk nodig hebt, is een veel bredere analyse van data. Want als je slim de juiste gegevens van vele bedrijven op een spreekwoordelijke hoop gooit en daar de juiste analyses op loslaat, overstijg je het niveau van de individuele anekdote en kun je tot waardevolle uitspraken komen. Want dan kun je bijvoorbeeld de cyberrisico’s van pak ‘m beet een zaadveredelingsbedrijf vergelijken met andere sectoren waarin intellectual property de drijfveer voor omzet en winst is. Denk bijvoorbeeld aan een chipmaker, een farmaceutisch bedrijf, of de innovatieve toeleverancier van hardware voor de telecomsector.


Weermodellen

Maar dat maakt de opgave van het vinden van de juiste antwoorden alleen maar een groter. Want het opbouwen van een werkbare dataset en het komen tot zinnige modellen en waardevolle analyses is ook voor cybercrime op zijn zachtst gezegd een specialistische opgave.

Het is een opgave die enigszins te vergelijken is met het voorspellen van het weer. Weermodellen maken gebruik van grote hoeveelheden historische data. Denk bijvoorbeeld aan oppervlakte- en zeewatertemperatuur, luchtdruk, windsnelheid, de kracht en richting van de straalstroom, luchtvochtigheid en bedekkingsgraad. Op basis van dit soort gegevens hebben klimatologen met vallen en opstaan weermodellen ontwikkeld: hoe beïnvloeden deze grootheden elkaar en wat zijn daarin de patronen? En wat zeggen die patronen dan weer over hoe het weer zich in de komende dagen ontwikkelt?


Crimineel gedrag

Tot nu toe hadden zelfs experts zich er dan ook niet aan gewaagd een dergelijk model te ontwikkelen voor cybercriminaliteit. ‘Onbegonnen werk’ was de algemene perceptie. De data was versnipperd, niet voldoende betrouwbaar, de historie onvoldoende, de ontwikkelingen te snel. Kortom, geen modellen in zicht. En bovendien is menselijk gedrag – bij een onderwerp als dit, inclusief crimineel gedrag wel te verstaan – moeilijk in algoritmes te vatten.

Toch heeft jaren van onderzoek en samenwerking tot Deloitte’s Cyber Value at Risk methodiek geleid. Met dit model kunnen we op basis van actuele bedrijfsgegevens redelijk voorspellen wat de jaarlijks te verwachten schade door cybercriminaliteit is, en tot hoe hoog deze schade kan oplopen in een worst-case scenario.


Multidisciplinaire puzzel

Het leuke en leerzame van het ontwikkelen van dit model was dat het een multidisciplinaire wetenschappelijke puzzel bleek te zijn. Econometristen, actuarissen, data-analisten, sociologen, juristen en natuurlijk allerhande experts op gebied van cyber veiligheid hebben hun bijdragen geleverd. Bovendien waren dat allemaal mensen met visie en durf om anders tegen zaken aan te kijken, weg van de gebaande paden te gaan. We hebben de grote lijnen ontdekt en verbanden gezien door interdisciplinair de verbinding met elkaar te maken.


Verder uitbouwen

Evenals de genoemde weermodellen is de methodiek nog niet af. Door met ons model te werken, leren we steeds meer bij en vormt zich een steeds vollediger beeld. Tot nu toe hebben we het model toegepast op individuele organisaties. Een volgende stap is het verbreden van deze scope naar complete waardeketens: bij welke schakels zitten de grootste risico’s? Daarnaast zullen we ook werken aan het maken van scenario-analyses: bijvoorbeeld over de verschillende ontwikkelingen in cybercriminaliteit waar organisaties over een termijn van een aantal jaren rekening mee moeten houden.


Meer weten over het kwantificeren van cyberrisico’s?

Wilt u meer weten over het kwantificeren van cyberrisico’s? Neem dan contact op met Vincent Lukkien via +31 (0)88 2886674.

Vond u dit nuttig?