2,4 miljard schade door cybercrime bij de Nederlandse overheid? Deloitte komt niet verder dan een verkoopfolder met aannames en veronderstellingen.
Dat getal zullen we nog vaak langs zien komen. Tien miljard. Je hoeft straks maar te googlen op de vraag hoeveel de cybercriminaliteit de grootste Nederlandse bedrijven en de overheid jaarlijks kost en het komt op je scherm. We weten het sinds maandagmorgen 4 april, toen Deloitte via een persbericht het nieuws de wereld instuurde.
Die tien miljard – zo suggereert het persbericht – is de uitkomst van een ‘unieke studie naar cyberrisico’s’. In het rapport ‘Cyber Value at Risk in the Netherlands’ pretendeert Deloitte aan de hand van data-analyse de kosten die het gevolg zijn van diverse soorten cybercrime te kunnen kwantificeren voor de meest relevante economische sectoren van Nederland en de publieke sector. Als het gaat om cyberdreigingen, aldus het rapport, lopen de volgende vier sectoren in verhouding tot hun omvang het grootste risico: de publieke sector (totaal 2,4 miljard euro verwacht waardeverlies op jaarbasis), de technologie- & elektronicasector (1,1 miljard euro), de bankensector (360 miljoen euro) en de defensie-, luchtvaart- en ruimtevaartsector (415 miljoen euro).
De omvang van de schade van cybercrime is al heel lang een lastig vraagstuk. Cijfers over de schade die de struikrovers op en via internet aanrichten zijn vrijwel uitsluitend afkomstig van partijen die een belang hebben bij het etaleren van veel dreiging en ongemak. De makers van beveiligingssoftware bijvoorbeeld of de aanbieders van adviesdiensten op het gebied van security, zoals Deloitte. Uit die kringen komt zelden een bericht dat het de goede kant op gaat met het veiligheidsbewustzijn bij bedrijven en instellingen. Sokkenfabrikanten waarschuwen nu eenmaal altijd voor koude voeten, dat is inherent aan hun businessmodel. Echt harde cijfers zijn er niet omdat bedrijven waar het mis is gegaan niet graag te koop lopen met de opgelopen schade, er (banken) domweg geen mededelingen over doen of (overheden) helemaal niet in de gaten hebben dat ze worden bespioneerd of worden gehackt. Juist daarom lijkt het een kunststukje van Deloitte dat nu zelfs per economische sector er een bedrag aan kan worden gehangen. Lijkt, omdat het rapport ‘Cybervalue at Risk’ helemaal niets meldt over aantoonbare en controleerbare daadwerkelijk opgelopen schade. Na vier en veertig pagina’s tekst en taartpunten kun je niet anders dan concluderen dat het hier niet gaat om een doorwrocht onderzoeksrapport, maar om een veredelde verkoopfolder waar aannames en veronderstellingen de hoofdrol spelen. Bij gebrek aan bruikbare harde cijfers heeft Deloitte zijn toevlucht genomen tot de zelf ontwikkelde ‘Value at Risk’ methode (VaR) waarmee risico-impact wordt omgetoverd in potentiële schade in euro’s en die ons dus maandagmorgen werd opgediend als reële economische schade via een persbericht met als kop: Cybercriminaliteit kost Nederlandse organisaties 10 miljard euro per jaar.
Kun je zo met cijfers omgaan en kun je cijfers domweg vervangen door aannames? Deloitte vindt van wel. In een verantwoording van de gebruikte methodiek wordt vermeld dat de beschikbare data voor dit soort onderzoek ‘van een slechtere kwaliteit en minder compleet’ is dan gewoonlijk voor gebruik in dit soort modellen, maar daar heeft Deloitte een blijmoedige oplossing voor gevonden. Ik citeer: ’In the cyber VaR model these uncertainties are included by considering them as a contribution to risk in itself. The meaning of this is simple: not knowing your risk is a risk in and of itself’. Tsja, zo kom je aardig in de buurt van de Rotterdamse volkswijsheid ‘het enige wat je weet is dat je het niet weet’. Maar dan kleurrijk opgemaakt als PDF.
