Cybercriminaliteit kost de Nederlandse samenleving jaarlijks zeker 10 miljard euro. Dat is 1,5 tot 2 procent van het Nederlands bruto binnenlands product. Dat blijkt uit een gepubliceerde raming door onderzoeksorganisatie TNO. Inbreuken op intellectuele eigendom zijn met 3,3 miljard euro de grootste schadepost. Industriële spionage kost Nederland jaarlijks 2 miljard euro, gevolgd door belasting- en uitkeringsfraude met 1,5 miljard euro. (bron).
Voor iedereen die dacht dat cybercriminaliteit nog niet zoveel voorstelde, draagt een dergelijk bericht als het goed is bij aan het bewustzijn. Nu is het nog de vraag wat we daar als Nederlandse samenleving dan aan willen veranderen. Het gevaar van een dergelijk bericht is dat men nog steeds denkt dat het eerder een ander zal overkomen en dat het aan onze deur wel voorbij zal gaan.
Maar wat als grote organisaties getroffen worden door cybercriminaliteit? Is dan de kans niet enorm dat je als middelgrote organisatie binnenkort ook aan de beurt komt? Als die grote organisaties het al niet voor elkaar krijgen om de beveiliging op orde te hebben., hoe is het dan gesteld bij de middelgrote organisaties?
Het antwoord op die vraag zou tweeledig kunnen zijn:
- of de middelgrote bedrijven lopen een minder groot risico omdat ze minder aantrekkelijk zijn voor cybercriminelen en omdat hun infrastructuur nu eenmaal gemakkelijker te beveiligen is,
- of de middelgrote bedrijven lopen een veel groter risico omdat het ze aan kennis op het gebied van informatiebeveiliging ontbreekt waardoor er voor cybercriminelen eerder wat te halen valt.
Eerlijk is eerlijk, het definitieve antwoord op deze vraag heb ik ook niet en ik vraag me ook af of we het allemaal zo gemakkelijk kunnen generaliseren. Zou het niet zo zijn dat het ene middelgrote bedrijf het inderdaad veel beter voor elkaar heeft terwijl het bij het andere middelgrote bedrijf juist veel slechter gesteld is? Een combinatie dus van beide antwoorden dat hiermee situationeel afhankelijk is.
Ik geloof zelf dat het laatste antwoord er nog het best bij in de buurt komt: de status van de beveiliging is inderdaad situationeel afhankelijk. Bijkomend issue is dat we als organisatie onze beveiliging dus nog eens goed moeten doorlopen. We kunnen wel stellen dat we dat 10 jaar geleden ook al gedaan hebben, maar de bedreigingen, de risico’s, de kans en de impact zijn in die 10 jaar toch echt veranderd.
Neem nu bijvoorbeeld het risico op informatie kidnap. Wie had daar 10 jaar geleden al over gehoord? Sterker nog: wie heeft daar vandaag de dag over gehoord? Een cybercrimineel breekt in en versleuteld als het ware de informatie, jouw informatie. Natuurlijk wil hij er best voor zorgen dat die informatie weer ontsleuteld wordt, alleen moet je er dan wel eerst even flink voor betalen.
Zat deze bedreiging nog niet standaard in de risico analyse? Dan wordt het misschien tijd om dat toch te overwegen. Niet alleen omdat cybercriminelen van buitenaf een dergelijke actie zouden kunnen ondernemen maar ook interne medewerkers zouden wel eens kunnen besluiten om kritische informatie te versleutelen en daarna de sleutels weg te gooien (of te vergeten). Staat er binnenkort weer een reorganisatie voor de deur? Dan wordt het risico hierop alleen nog maar groter. Maar goed, je bent gewaarschuwd.
Voor nu sluiten we af met dit voorbeeld. Een voorbeeld van een dreiging die er 10 jaar geleden nog niet was (of nog niet opportuun was). Kijk nog eens naar jouw risicolijstje, moeten we dat niet weer eens updaten om de juiste risico’s inzichtelijk te hebben?