2 juli 2013 -
Elk bedrijf weet: netwerkbeveiliging is cruciaal. Maar kunt u becijferen hoeveel een beveiligd bedrijfsnetwerk u opbrengt? Of omgekeerd: hoeveel kost het uw bedrijf als uw netwerk te maken krijgt met een cyberattack? Met die wetenschap, kunt u als bedrijf beter beoordelen hoeveel te investeren in netwerkbeveiligingsproducten zoals next-generation firewalls, intrusiepreventiesystemen en Unified Threat Management-oplossingen?
Den Braber: Jammer genoeg bestaat er geen exacte formule voor het berekenen van de kosten die gepaard gaan met netwerkaanvallen. Wel zijn er een aantal nuttige richtlijnen, onderzoeken en technieken waarmee IT-managers hun eigen kostenmodel kunnen ontwikkelen. Bij het beoordelen van de impact van netwerkaanvallen en de preventieve waarde van next-generation firewalloplossingen, verdient een drietal vragen bijzondere aandacht:
• Hoe definieert u verschillende soorten netwerkaanvallen?
• In welke mate beïnvloeden deze aanvallen bedrijfsresultaten?
• Hoe kwantificeert u de impact van dergelijke aanvallen?"
Soorten netwerkaanvallen
Er zijn letterlijk honderden soorten netwerkgerichte aanvallen die schade kunnen aanrichten in een organisatie. De meest voorkomende soorten zijn:
• virussen, trojans, wormen en andere malware die servers en werkstations kunnen platleggen of waarmee gegevens kunnen worden ontvreemd;
• geavanceerde, onophoudelijke bedreigingen die als doel hebben netwerken binnen te dringen en ongemerkt intellectuele eigendommen of vertrouwelijke informatie te ontvreemden;
• distributed denial of service (DDos)-aanvallen en flooding waardoor servers overspoeld en websites platgelegd kunnen worden.
Hoe netwerkaanvallen uw bedrijfsresultaat kunnen beïnvloeden
Voor bedrijven veroorzaken aanvallen, ongeacht hun herkomst, twee soorten schade: gegevensverlies en 'loss of service'.Gegevensverlies geeft steevast aanleiding tot sensationele krantenkoppen. Een lek van vertrouwelijke informatie die in handen valt van criminelen of concurrenten; geen enkel bedrijf krijgt er graag mee te maken. Want de schade hierdoor is altijd zichtbaar en pijnlijk. Ze kan vele vormen aannemen: financiële schade (inkomstenverlies, proceskosten, gerechtskosten, boetes, …), 'zachte' schade (verlies van goodwill en loyaliteit bij klanten) of concurrentieschade (bij verlies van intellectuele eigendom). Bedrijven die te maken krijgen met gegevensverlies besteden vaak een ondergeschikte hoeveelheid tijd en geld aan opsporing en technisch herstel (signaleren en blokkeren van aanvallen, schadebeoordeling en herstelmaatregelen). Bovendien blijft de negatieve publiciteit rond gegevensverlies veel langer aanhouden dan de aanval zelf.
Denial of-service-aanvallen hebben als resultaat dat computersystemen – zowel devices als web-, applicatie en databaseservers – worden gecorrumpeerd of volledig worden platgelegd. De financiële gevolgen hiervan zijn onder meer:
In dit scenario kan schade eveneens aanzienlijk zijn. De bedrijfsactiviteiten ondervinden vertraging of komen volledig tot stilstand, met directe impact op de omzet. De dagelijkse activiteiten worden onderbroken of medewerkers kunnen hun werk niet doen omdat het netwerk platligt. En net zoals bij gegevensverlies zijn er ook belangrijke kosten gemoeid met het feit dat IT- en helpdeskmedewerkers problemen moeten diagnosticeren, medewerkers moeten begeleiden, IT-services opnieuw moeten opstarten en pc's moeten herinstalleren (re-imaging).
Hoe kunt u de kosten inschatten?
Zoals al eerder opgemerkt, is er geen pasklare of universele methode voor de berekening van deze kost. Er zijn twee onafhankelijke onderzoeken die netwerkbeheerders enige houvast bieden bij deze kwantificering: een in maart 2012 uitgevoerd onderzoek door het Ponemon Institute en het in oktober 2012 door NetDiligence gepubliceerde onderzoeksrapport 'Cyber Liability & Data Breach Insurance Claims'.
Eind 2011 voerde het Ponemon Institute diepte-interviews uit bij 49 Noord-Amerikaanse bedrijven (uit veertien branches) die geconfronteerd waren met verlies of diefstal van persoonlijke klantengegevens. Hun voornaamste conclusies luidden:
• Gemiddelde kosten per datalek: 3,8 miljoen euro
• Inkomstenverlies per datalek: 2,8 miljoen euro
• Kosten als gevolg van het datalek: 1,4 miljoen euro (onder meer kosten voor de noodzakelijke helpdeskondersteuning, herstelmaatregelen, klantkortingen etc.)
Als u de kosten berekent per getroffen record (incidenten zijn veelal gebaseerd op grote aantallen, doorgaans meer dan 100.000 records), dan geeft dit IT-managers een indicatie van de kost van gegevensverlies, afgezet tegen de grootte van de onderneming en het aantal aanvallen waarmee deze wordt geconfronteerd.
Het door NetDiligence gepubliceerde onderzoek had betrekking op een totaal van 137 incidenten tussen 2009 en 2011, waarbij verzekeringsmaatschappijen overgingen tot uitbetaling van aansprakelijkheidsclaims vanwege netwerkaanvallen. Dit is wat ze gemiddeld uitbetaalden per incident:
• juridische schikking: 1,6 miljoen euro
• proceskosten: 443.000 euro
• totale gemiddelde verzekeringsuitkering: 2,8 miljoen euro
Hoewel deze twee onderzoeken zich richten op verschillende onderdelen van de kosten, doen deze cijfers huiveren en tonen ze de nadelige impact van netwerkaanvallen, zowel voor het bedrijfsresultaat als voor de reputatie en het concurrentievermogen van bedrijven.
Andere schattingstechnieken
Daarnaast zijn er nog andere schattingstechnieken om noodzakelijke investeringen in next-generation firewalltechnologie te verantwoorden:
• het inkomstenverlies per uur dat uw website platligt of minder toegankelijk is als gevolg van een DDoS-aanval;
• het productiviteitsverlies voor ieder uur dat een cruciaal bedrijfsproces stil komt te liggen vanwege malware die de server platlegt;
• het uurtarief voor helpdesk die de malware-infecties op computers moet diagnosticeren en voor de supportmedewerkers die de geïnfecteerde pc's moeten herinstalleren (re-imaging);
• de kosten per record voor het informeren van klanten of medewerkers in het geval van een gegevenslek en het verlenen van 'credit monitoring services' gedurende het daaropvolgende jaar.
Tot slot kan ook nog een andere techniek nuttig zijn. Sommige organisaties maken gedetailleerde kostenschattingen tijdens zogenaamde 'war game'-simulaties. Bij dergelijke simulaties doorloopt een dwarsdoorsnede van medewerkers uit diverse bedrijfsdisciplines – bijvoorbeeld IT, marketing, HR en Legal –gezamenlijk een aanvalsscenario. Dit soort oefeningen helpt niet alleen de kosten inzichtelijk te maken. Vaak stuit men hierbij ook op onvoorziene gevolgen van een datalek – bijvoorbeeld het niet kunnen naleven van contractuele verplichtingen of van eisen vanuit regelgeving.
Maatregelen nemen
Wat betekent dit alles concreet voor IT-managers? Het slechte nieuws: netwerkaanvallen zijn duur, verstoren de bedrijfsactiviteiten en kunnen rampzalig uitpakken in vele lagen van het netwerk. Ze dienen dan ook tegen elke prijs voorkomen te worden. Het goede nieuws: er is een uitgebreide set tools beschikbaar die u helpen de financiële gevolgen van gegevensverlies en 'loss of service'-aanvallen in te schatten. U kunt dan deze kosten van netwerkaanvallen afzetten tegen de kosten van preventieve next-generation beveiligingsoplossingen. Hierdoor bent u beter gewapend om de toegevoegde waarde van investeringen in netwerkbeveiliging vanuit financieel en strategisch bedrijfsperspectief inzichtelijk te maken en toe te lichten. Het mag duidelijk zijn dat dit niet louter een academische oefening is, maar een keiharde businessnoodzaak.
Een zeer nuttig artikel. Vanuit de praktijk vaker met deze materie te maken hebbend is er wel een basis formule die wat vaker word gehanteerd.
LoP x MH x FTE
Loss of Productivity LoP
Deze is goed te kwantificeren door een gemiddelde te maken van een gemiddelde van omzet. Er zijn uiteraard verschillende gemiddelden die u zou kunnen nemen maar doorgaans word een bruto jaar getal hiervoor genomen.
Man uren MH
Wanneer er sprake is van verstoring door een Ddos aanval en het netwerk gewoon onbereikbaar is voor de medewerker, dan is het eenvoudig te calculeren hoe lang die verstoring heeft geduurd. Een gemiddelde, om het conservatief te houden, van een bruto uurloon, is ook om te zetten naar een goed gemiddeld hanteerbaar getal.
FTE
Het aantal mensen die door de verstoring werden getroffen.
Verborgen kosten
Vaak word er niet zo bij stil gestaan wat de verborgen kosten van IT verstoringen zijn,. Dat is jammer want die verloren kosten moeten door een organisatie wel worden betaald. Het is in elk geval een ondergeschoven onderwerp.
Die kosten lopen alleen maar op als men daarbij, wanneer het bijvoorbeeld om een hacker zou gaan, de manuren becijferd die met een dergelijke zaak zijn gemoeid.
Maatregelen
- Simulatie
Het is tegenwoordig heel eenvoudig eenvoudige simuleringen op te zetten en te houden. IT is een goede materie daarvoor om dit te doen. De kosten voor dergelijke simulatie zijn doorgaans niet al te hoog en bied een scala aan voordelen.
- Protocol
Veel organisaties weten enbegrijpen nog niet helemaal hoe eenvoudig het opzetten en implementeren van een protocol is. Daar zijn speciale whitepapers voor geschreven. Een uitgebreide vind u hier:
- Keep it Simple
Veel commerciele partijen zijn van mening dat het opzetten en het zoeken naar degelijk te implementeren oplossingen omslachtig en duur zouden moeten zijn. Dat is in de regel niet zo. IT is als materie en proces heel mooi schaalbaar en adaptief.
