partnermenu

zoeken binnen de website

Partnerpagina PBLQ

logo pblq

Wat kost nu de voorbereiding op een datalek of een cyberaanval?

door: Niek van As

weblogs | 22 juni 2017

Wereldwijd hadden overheden en bedrijven last van de WannaCry-cyberaanval, direct gevolgd door een soortgelijke ransomware aanval met de naam Adylkuzz. Geblokkeerde bestanden waren het gevolg, al lijkt de schade in Nederland mee te vallen.

Niek van As, PBLQ

Ook binnen het overheidsdomein krijgen cyberattacks en datalekken steeds meer en vaker de aandacht. De gemeentesecretaris van Medemblik kwam met een open relaas over een datalek in haar gemeente. De Tweede Kamer ontving de ‘Verkenning Cybersecurity Informatiedeling binnen de Topsectoren’. De AIVD kwam met een handreiking aan bestuurders over de risico’s van cyberspionage en Nederland ICT kwam met een tiental vuistregels voor bestuurders en ondernemers voor cybersecurity. Op het International One Conference 2017 werd de Cyber Readiness Index voor Nederland aangeboden en organiseerde iBestuur met de Cyber Security Raad een symposium met het thema ‘Grip op cybersecurity’.


Ook binnen het overheidsdomein krijgen cyberattacks en datalekken steeds meer en vaker de aandacht


PBLQ stond recent ook stil bij dit onderwerp met onder meer het onderzoek van Anne Goris naar communicatie bij datalekken. Haar onderzoek, wat leidde tot een afstudeerscriptie voor haar traineeship ging in op diverse casestudies van datalekken bij gemeenten. De hoofdvraag in het onderzoek was welke rol communicatie kan spelen bij het beperken van de maatschappelijke impact van een datalek bij een Nederlandse gemeente. Duidelijk werd dat bestaande reputatie, legitiem handelen, de oorzaak en de ernst van het incident, factoren zijn die invloed hebben op de impact. Belangrijk middel om de maatschappelijke impact te beperken is tijdig communiceren, waarbij de focus in eerste instantie moet liggen bij het bieden van handelingsperspectief aan de slachtoffers en het informeren van de inwoners. Procescommunicatie geven is daarin belangrijk en (daarmee) het eigen handelen ook te verantwoorden.

De Autoriteit Persoonsgegevens (AP) kwam met aantallen over datalekken in 2016 en 2017. Zo waren er in 2017 2300 meldingen van datalekken bij de AP. Hiervan waren er 331 meldingen bij gemeenten en 102 bij de rijksoverheid. Hiervan was 41% ‘persoonsgegevens verstuurd aan verkeerde ontvangers’, 13% per ongeluk gepubliceerd en 10% door kwijtgeraakte telefoons en usb’s. Recent onderzoek van PBLQ bij enkele overheidsorganisaties ondersteunt dit beeld. Het goede nieuws is dat datalekken worden gemeld en dat het gelukkig in de meeste gevallen gaat om incidenten: per ongeluk de verkeerde persoon gemaild, of een zorgplan in de verkeerde envelop. Vervelend voor de mensen die het betreft, maar geen structurele fout. Hoewel de ene organisatie hier actiever mee omgaat dan de andere, zien we wel dat het bewustzijn de afgelopen jaren flink is toegenomen.

Tijdens de verschillende gesprekken en momenten de afgelopen tijd kwam ook weer ter sprake wat privacybescherming en informatiebeveiliging nu eigenlijk kost. Wat kost het – datalekken, cyberaanvallen, et cetera – ons als organisatie, overheid of maatschappij? Gewoon in harde euro’s, dus de gevolgen voor het imago van en vertrouwen in de overheid nemen we hier nog niet mee. Bij de financiële kosten gaat het om het systeemherstel of het ‘repareren’ van de data, maar ook de aanpak (voorbereiding), het herstellen en onderzoeken. Hoeveel investeren organisaties in awareness en preventieve maatregelen? En hoe bepalen zij kosten en baten.


Wat kosten datalekken, cyberaanvallen, ons als organisatie, overheid of maatschappij?


De kosten van een datalek zijn lastig te bepalen, organisaties zijn er vaak ook niet transparant over. Qua voorbereidingskosten is er wel wat meer bekend. Afgelopen week riep Nederland ICT op tot het bestemmen van zo’n 10% van het Rijks IT-budget voor beveiliging. In het land wordt vaker gezegd dat zo’n 7-10% van IT aan security dient te worden besteed. Uit een gesprek met een grote gemeente bleek dat ook daar zo’n 10% van het IT-budget voor beheer wordt besteedt aan security. Uit het gepubliceerde onderzoek van de rekenkamer van Rotterdam blijkt dat de gemeente €1,3 miljoen investeert per jaar om succesvolle aanvallen te voorkomen (op een budget van €118 miljoen aan digitale dienstverlening / firewalls e.d.).

Er zijn wereldwijd diverse onderzoeken gedaan naar de kosten bij datalekken/cyberaanvallen. Met name gericht op het bedrijfsleven. Wat er in overheidsland wordt gespendeerd aan voorbereiding, afhandelen, herstellen en onderzoeken bij datalekken/cyberaanvallen is – naar wij weten – nog niet onderzocht. Wat ons betreft wordt dit eens tijd.

In een volgende blog gaan we meer in op het ‘incident datalek/cyberaanval’ en welke aanpak een organisatie hiervoor kan hanteren.


Niek van As, adviseur bij PBLQ, schreef dit artikel met Erik Dolle, eveneens adviseur bij PBLQ._


tags: ,

Reactieformulier

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie. U kunt bij de vormgeving van uw reactie gebruik maken van textile en er is beperkt gebruik van html mogelijk.