Kosten van cyberincidenten spaak in het wiel van M&A?

Door: Romano Herrie, Fox-IT

De afgelopen jaren zijn diverse onderzoeken uitgevoerd naar de werkelijke kosten van cyberincidenten. Tot nu toe zijn die pogingen niet verder gekomen dan schattingen. De omvang en ernst van een incident kunnen sterk uiteenlopen, dat geldt eveneens voor de aard en het achterliggende doel van de aanval. Onderzoekers van NCC Group, in Nederland bekend als aandeelhouder van Fox-IT, hebben in een recent white paper eerdere internationale onderzoeken verwerkt in nieuwe schattingen voor het Verenigd Koninkrijk.

Wanneer is een incident catastrofaal?

Veel bedrijven hebben meerdere keren per week te maken met ‘cyberincidenten’. De meeste hiervan hebben niet of nauwelijks invloed op de bedrijfsvoering. Het zijn de grootschalige incidenten die tot echte kosten kunnen leiden. Een onderneming die meerdere dagen platligt ondervindt ongetwijfeld flinke schade. Wanneer deze onderneming een cruciale schakel is in een keten, kan de indirecte gevolgschade nog veel verder oplopen. Diefstal van R&D-data en intellectueel eigendom kan in het ene geval hooguit kostbaar en vervelend zijn, in kennisintensieve bedrijfstakken, zoals de farmaceutische industrie, kan een dergelijk incident het einde van een bedrijf betekenen. Een grootschalig datalek waarbij persoonsgegevens betrokken zijn, kan voor het getroffen bedrijf leiden tot reputatieschade en verlies van klanten. Als de onderneming nalatig is geweest, komen daar mogelijk ook nog boetes bij. Het is duidelijk dat verschillende factoren bepalen of een cyberincident ‘slechts’ kostbaar en vervelend is, of potentieel ontwrichtend. In welke markt is de onderneming actief? Wat is het business model? Maar ook: om wat voor aanval gaat het? Waar binnen de organisatie vond de aanval plaats? En hoe is het gesteld met de weerbaarheid? 

Schade is lastig te voorspellen

Bekende voorbeelden uit binnen- en buitenland laten zien dat de praktijk vaak weerbarstig is: incidenten kunnen tot grote schade leiden, maar niet elke getroffen onderneming wordt even hard geraakt. De NotPetya aanval van vorig jaar, die in Nederland APM terminals in Rotterdam trof, zou volgens moederbedrijf Maersk $250 tot $300 miljoen aan directe schade hebben opgeleverd. Dezelfde aanval leidde bij farmaceut Merck in dat jaar tot $260 miljoen aan misgelopen omzet en daarnaast nog eens tot $ 285 miljoen aan additionele kosten. Hiermee lijkt alle schade nog niet geleden, want voor 2018 verwacht Merck een verder omzetverlies van $200 miljoen. Beide ondernemingen spelen een belangrijke rol in hun bedrijfsketens. 

Het door NCC aangehaalde Ponemon Institute relateert zijn schattingen voor kosten van incidenten met persoonsgegevens, aan het aantal betrokken datarecords. Ponemon komt daarbij tot bedragen van $119 per datarecord in de mediasector, tot $380 per datarecord in de gezondheidszorg. Deze bedragen zijn een optelsom van directe en indirecte kosten. Boetes onder de nieuwe Europese GDPR richtlijnen zijn in deze berekeningen nog niet meegenomen. Volgens Ponemon betreft het gemiddelde datalek wereldwijd zo’n 24,000 records. Hoe groter het datalek, hoe groter de invloed van verlies aan klanten en reputatieschade op de kosten ervan. Ponemon becijfert dat datalekken gemiddeld tot 3,24% aan omzetverlies leiden. In de financiële sector, gezondheidszorg en de dienstensector kan dit oplopen tot 5 á 6%. Maar met reputatieschade en klantverlies kan het twee kanten op. Equifax schatte onlangs dat de totale kosten als gevolg van het lek uit 2017, waarbij gegevens van 147 miljoen klanten waren betrokken, kunnen oplopen tot meer dan $600 miljoen. eBay rapporteerde nauwelijks gevolgen te hebben ondervonden van een datalek van gelijke omvang drie jaar eerder. 

Waar zit het verschil in kosten?

Directe kosten, zoals incident handling, recovery en juridische bijstand, zijn afhankelijk van de omvang en complexiteit van het incident, maar drukken vooral bij kleinere incidenten op de totale kosten. Zeker bij grootschalige DDoS en ransomware aanvallen wordt een belangrijk deel van de kosten veroorzaakt door directe omzetderving en schade aan bedrijfsmiddelen als gevolg van ‘down-time’. Hoe langer de onderneming platligt, hoe groter de schade. De hoogte van boetes die kunnen worden opgelegd voor incidenten met persoonsgegevens wordt bepaald door de wereldwijde omzet van de getroffen onderneming, met een plafond van € 20 miljoen. 
De grootste variaties zitten in de indirecte schadeposten. Vooral in bedrijfsketens met korte doorlooptijden kan een cyberincident bij een toeleverancier of logistiekdienstverlener tot schade bij ketenpartners leiden. Maar switchen klanten na het eerste incident direct van leverancier? Reputatieschade kan, maar hoeft niet altijd tot structureel omzetverlies te leiden. Zie Facebook. Niettemin worden cybersecurity en ook privacy steeds belangrijkere maatschappelijke factoren. Het risico op claims en omzetverlies wordt daarmee steeds reëler.  

Kans maal impact?

Wat zijn de lessen die hieruit kunnen worden getrokken? Om te beginnen is de directe en indirecte schade als gevolg van cyberincidenten niet per definitie ontwrichtend voor de getroffen organisatie. Voor veel bedrijven geldt daarmee: mogelijke kosten = kans maal impact. De kans op grootschalige cyberincidenten wordt echter groter, alsook de potentiële impact ervan. Deze ondernemingen zijn dan ook gebaat bij een adequate combinatie van preventie, detectie- en responsmaatregelen om cyberrisico’s het hoofd te bieden. 
Vooral ondernemingen die zwaar leunen op intellectueel eigendom of persoonsgegevens, of ondernemingen die een sleutelrol innemen in hun waardeketen, kunnen te maken krijgen met daadwerkelijk ontwrichtende schade als gevolg van cyberincidenten. In veel gevallen lopen dergelijke ondernemingen bovendien een grotere kans op een aanval: er is meer te halen. Investeerders in deze bedrijven kunnen het zich simpelweg niet veroorloven beveiliging niet bovenaan de agenda te hebben. Cybersecurity dient voor hen een strategisch speerpunt te zijn. Zij doen er dan ook goed aan juist voor deze categorie ondernemingen cybersecurity een vast onderdeel te maken van hun due diligence én vooral ook van hun post-acquisition planning.