Cyberrisico’s kwantificeren met behulp van complexe modellen

Article

Cyberrisico’s kwantificeren met behulp van complexe modellen

Hoe bereken je de ROI van cybersecurity?

Het kwantificeren van cyberrisico’s is een complex en tijdrovend proces, zo blijkt ook dit jaar weer tijdens ons Cyber Risk Quantification-onderzoek in het kader van State of the State. Via een conceptueel model en een factoranalyse en met gebruik van zeer veel verschillende datasets onderzochten we het potentieel waardeverlies van BV Nederland.

Door Maarten van Wieren

Het was vorig jaar groot nieuws: op basis van tal van databronnen hadden we berekend dat cybercriminaliteit Nederlandse organisaties jaarlijks 10 miljard euro kost. We deden dat onderzoek in het kader van State of the State, de actuele data-analyse van ons land, bedoeld om beleidsmakers en organisaties van bruikbare inzichten te voorzien op het gebied van onderwijs, zorg, woningmarkt, arbeidsmarkt en cybercriminaliteit. Dit jaar wilden we met ons Cyber Risk Quantification-onderzoek voortbouwen op dat imposante cijfer van vorig jaar.

Cyber Value at Risk in The Netherlands 2017

Dealing efficiently with cybercrime

Request report

Via een conceptueel model…

De eerste stap in ons onderzoek was het uitbreiden van het conceptuele model van vorig jaar. Hierin maakten we een visuele weergave van de relevante factoren die het antwoord op onze hoofdvragen bevatten en hoe die elkaar weer beïnvloeden. Welke cyberdreiging is er? Wat wordt er gedaan aan security? En wat is de impact van een incident? Het antwoord op deze vragen wordt op hun beurt ook weer bepaald door tal van factoren. 

In een factoranalyse rafelden we deze van boven naar beneden uiteen. Doordat we bijvoorbeeld nergens de dreiging in de data konden vinden, moesten we op zoek naar de factoren die dit cijfer bepalen. 

Dankzij de factoranalyse konden we gericht op zoek gaan naar relevante data. Die vonden we bij voor de hand liggende organisaties als het Centraal Bureau voor Statistiek en in rapporten van het Centraal Planbureau, het ministerie van Economische Zaken en het Rathenau Instituut, evenals in tal van rapporten van onderzoeksrapporten over economische en cybersecurity factoren. 

Denk daarbij aan data over het aantal bedrijven en hun omvang, in welke sectoren ze actief zijn, hoeveel ze besteden aan IT, het aantal cyberincidenten, faillissementen, vergelijkingen met andere landen, cijfers over hoeveelheid phisingmails, proxy’s, verschillende typen malware en aanvallers, technieken die aanvallers gebruiken, etc. 

Lees over het onderzoek van vorig jaar: 'Cybercriminaliteit kost Nederlandse organisaties 10 miljard euro per jaar'.

…naar een stochastisch model

Hoe minder factoren er uit zo’n analyse voortkomen, hoe gemakkelijker je een scherp model kunt maken. In ons onderzoek kwamen er echter honderden factoren naar boven die elk de dreiging, het risico en de impact beïnvloeden. We moesten dus op een systematische manier met deze onzekerheden omgaan en ze vertalen in het risico. Zo ontstond er een geavanceerd stochastisch model dat zeer efficiënt de onzekerheden uit alle verschillende bronnen aan elkaar weet te knopen.

Het model bouwden we in de opensource data-analysesoftware R. De parameters die het model in R gebruikt zijn afkomstig uit Excel. Op basis van de eerste kaders konden we ongeveer schatten binnen welke bandbreedte de uitkomsten van het model moesten zitten en tegelijkertijd dus controleren of de voorspellingen van het model realistisch waren of dat het model nog verder gefinetuned moest worden.  

Het kan vollediger

Cyberrisico is inmiddels een wezenlijk onderdeel van bijna iedere onderneming. Maar doordat het zo complex is en door zo enorm veel factoren bepaald wordt hebben bedrijven moeite om de hoofdlijnen te zien wanneer ze cybersecurity aan hun business willen koppelen. Ook verzekeraars van cyberrisico worstelen met dit probleem en hierdoor komt deze markt minder snel op gang dan goed is voor de bedrijven die zich willen beschermen in geval van cyberincidenten. 

Met ons model laten we zien dat het kwantificeren van cyberrisico mogelijk is. Hiermee kunnen bedrijven betere grip krijgen op de dreiging en de impact van cyberrisico’s en de organisatie hierop sturen. Om bedrijven hiermee te helpen, delen we onze aanpak en model en helpen wij organisaties hier hun voordeel mee te doen. 

We werken daarnaast ook aan het openbaar maken van het model omdat we weten dat het altijd nog vollediger kan en dat de wereldwijde community hierbij kan helpen. Zo hebben we bijvoorbeeld nog niet de spillover-effecten meegenomen: wat betekent een cyberaanval voor de bedrijven die zaken doen met het slachtoffer? En hoe drukken we dat uit in cijfers?

More information

Wil je meer informatie over het onderzoek? Neem dan contact op met Maarten van Wieren via +31(0)88887139 or email MvanWieren@deloitte.nl.

Vond u dit nuttig?