‘Bedrijven melden verliezen tot half miljoen euro als gevolg van beveiligingsinbreuken’

Het gemiddelde budget dat nodig is om te herstellen van een inbreuk op de beveiliging bedraagt 504.000 euro voor grote ondernemingen en 34.750 euro voor kleine en middelgrote bedrijven. Dit blijkt uit wereldwijd onderzoek door Kaspersky Lab onder 5.500 bedrijven, dat in 2015 uitgevoerd is in samenwerking met B2B International.

Volgens het onderzoek zijn de duurste soorten IT-beveiligingsincidenten: werknemersfraude, cyberspionage, het binnendringen van netwerken en falen door externe leveranciers.

Een ernstige inbreuk op IT-beveiligingssystemen leidt tot veel bedrijfsproblemen. Doordat de schade erg uiteenloopt, is het voor de slachtoffers zelf soms lastig om de totale kosten van een inbreuk in te schatten. Bedrijven dienen meestal meer te besteden aan professionele diensten (zoals externe IT-deskundigen, juristen, consultants, enz.) en hebben verminderde inkomsten vanwege gemiste bedrijfskansen en uitvaltijd.

Daarnaast varieert de waarschijnlijkheid van de verschillende uitgaven of verliezen en hiermee moet, behalve met de grootte van een bedrijf, rekening worden gehouden. Onder indirecte uitgaven verstaan de onderzoekers het budget dat bedrijven nodig hebben nadat de herstelwerkzaamheden hebben plaatsgevonden, maar dat nog steeds samenhangt met het IT-beveiligingsincident. Bovenop de genoemde cijfers geven bedrijven meestal tussen de 7.000 euro (MKB) en 63.000 euro (enterprises) uit aan personeel, opleiding en upgrades aan de infrastructuur.

De gemiddelde rekening voor een beveiligingsincident bij enterprises:
• Professionele services (IT, risicobeheer, advocaten): tot 77.000 euro met een waarschijnlijkheid van 88%
• Gemiste bedrijfskansen: tot 185.000 euro, 29%
• Uitvaltijd: tot 1,2 miljoen euro, 30%
• Totaal gemiddeld: 504.000 euro
• Indirecte uitgaven: tot 63.000 euro
• Reputatieschade: tot 187.000 euro

Negen van de tien bedrijven die deelnamen aan het onderzoek meldden ten minste één beveiligingsincident. Niet alle incidenten waren echter ernstig en/of leidden tot het verlies van gevoelige gegevens. Meestal is een ernstige beveiligingsinbreuk het gevolg van een malware-aanval, phishing, het lekken van gegevens door werknemers en het misbruik van softwarelekken. De geschatte kosten bieden een nieuwe kijk op de ernst van IT-beveiligingsincidenten, waarbij de vooruitzichten voor het MKB en enterprises enigszins van elkaar verschillen.

Grote ondernemingen betalen aanzienlijk meer als een IT-beveiligingsincident het resultaat is van het falen door een vertrouwde externe partij. Andere kostbare incidenten zijn fraude door werknemers, cyberspionage en het binnendringen van het netwerk. MKB’s verliezen meestal aanzienlijke bedragen bij vrijwel elk type inbreuk en betalen een vergelijkbaar hoge prijs, of het nu gaat om herstel na bedrijfsspionage of om DDoS- en phishing-aanvallen.

‘We hebben maar weinig rapporten over de gevolgen van IT-beveiligingsincidenten gezien die een inschatting geven van de schade in geld. Het is ook moeilijk om een betrouwbare methode te bedenken voor het produceren van een gemiddelde. Desalniettemin zijn wij van mening, dat dit wel noodzakelijk is om een brug te kunnen slaan tussen het corporate dreigingslandschap en de bedrijfspraktijk. Daarom heeft ons Market Intelligence Team een lijst samengesteld van zakelijke dreigingen die de meest significante schade hebben veroorzaakt. Dit zijn de dreigingen waarvan wij menen dat bedrijven er de grootst mogelijke aandacht aan moeten besteden’, aldus Martijn van Lom, General Manager Kaspersky Lab Benelux.

• Rapport Kaspersky Lab