Gerichte cyberaanva?llen leveren fikse schadepost op per bedrijf: tot 1,81 miljoen euro
30-07-2013
Deel dit artikel:

Gerichte cyberaanva?llen leveren fikse schadepost op per bedrijf: tot 1,81 miljoen euro


Een geslaagde gerichte cyberaanval op een grote onderneming kan een schadepost opleveren die kan oplopen tot € 1,81 miljoen. Aldus B2B International dat, samen met Kaspersky Lab, afgelopen voorjaar het 2013 Global Corporate IT Security Risks survey uitvoerde.

Gerichte aanvallen behoren tot de gevaarlijkste vormen van cyberbedreigingen, omdat er meestal professionele cybercriminelen betrokken zijn bij de voorbereiding en lancering. Deze criminelen beschikken over substantiële financiële middelen en uitgebreide IT-expertise. Bovendien zijn dergelijke aanvallen er doorgaans op gericht geheime of vertrouwelijke informatie van een specifiek bedrijf te bemachtigen. Het weglekken van deze gegevens kan leiden tot aanzienlijke verliezen. De kabinetsplannen om bedrijven te verplichten dit soort incidenten te melden bij het College bescherming persoonsgegevens (CBP) kunnen helpen het probleem beter in kaart te brengen.

Hoe groot zijn de verliezen eigenlijk? Volgens de gegevens die door analisten van B2B verzameld zijn, kosten de incidenten een bedrijf gemiddeld € 1,81 miljoen. Daarvan vloeit plusminus € 1,64 miljoen direct voort uit het incident zelf, in de vorm van verliezen door het weglekken van bedrijfskritische gegevens, zakelijke onderbrekingen en uitgaven voor het inhuren van dataherstelspecialisten (advocaten, IT-beveiligingsprofessionals, et cetera). Daarbij zijn bedrijven nog eens € 169.107 extra kwijt aan maatregelen die genomen moeten worden om te voorkomen dat zulke incidenten in de toekomst opnieuw plaatsvinden: van het updaten van hard- en software tot het werven en opleiden van medewerkers.

De verliezen die MKB-bedrijven lijden ten gevolge van gerichte aanvallen zijn aanmerkelijk lager: grosso modo € 69.455 per incident. Maar gelet op de omvang van deze ondernemingen (met gemiddeld ongeveer 100 à 200 werknemers) is de schade nog steeds aanzienlijk. Van de genoemde € 69.455 gaat circa € 54.356 direct naar dataherstel, terwijl de overige € 15.099 bestemd is voor het voorkomen van soortgelijke incidenten in de toekomst.

Andere kostbare aanvallen
Hoewel gerichte aanvallen de meeste kosten met zich meebrengen, zijn zij niet de enige soort aanvallen: in feite zijn ze tegenwoordig zelfs niet de meest voorkomende bedreigingen waar ondernemingen mee te maken hebben. Ongeveer negen procent van de respondenten merkte op dat hun bedrijf de afgelopen twaalf maanden het doelwit was geweest van een gerichte aanval. Een veel hoger percentage van de bedrijven (24 procent) gaf aan dat hun netwerkinfrastructuur gehackt was. Voor grote ondernemingen kan de schade bij dit soort aanvallen - die worden beschouwd als de op een na kostbaarste - oplopen tot € 1,26 miljoen (€ 55.111 voor MKB-bedrijven). Negentien procent van de ondernemingen had schade geleden door het opzettelijk weglekken van zakelijke gegevens. De daaruit voortvloeiende financiële strop kwam uit op gemiddeld € 742.865 (€ 38.502 bij MKB-bedrijven). Aanvallen die gebruikmaken van veel voorkomende kwetsbaarheden in de software troffen 39 procent van de bedrijven. Grote organisaties liepen een schade van gemiddeld € 449.018 op als gevolg van dit soort aanvallen, terwijl de schade bij MKB-bedrijven grofweg € 46.052 bedroeg.

“Gezien de enorme financiële consequenties van dergelijke aanvallen juichen wij het toe als er een meldingsplicht voor dit soort incidenten komt, zoals het kabinet wil”, zegt Martijn van Lom (foto), General Manager Kaspersky Lab Benelux and Nordic. “Op die manier kan nog beter worden ingeschat hoe groot het probleem nu werkelijk is. Bovendien zet het bedrijven aan na te denken over hun beveiliging en om die op orde te brengen. Daar is iedereen bij gebaat. Weliswaar bieden verzekeraars op dit moment al ‘cyberpolissen’ aan, maar dan is het leed al geleden. Voorkomen is ook hier beter - en vele malen goedkoper - dan genezen.”

Preventieve maatregelen
Maar hoe kan dit leed voorkomen worden? Gerichte aanvallen zijn complex en vergen in de regel een lange periode van voorbereiding, waarin kwaadwillige gebruikers de zwakke plekken in de IT-infrastructuur van een organisatie proberen te vinden en bepalen welke hulpmiddelen ze nodig hebben om een aanval te lanceren. “Het is onmogelijk dit soort bedreigingen enkel en alleen met antivirus te bestrijden, hoewel er effectieve antivirusoplossingen beschikbaar zijn om andere soorten bedreigingen aan te pakken. Een zakelijke oplossing die gebruikmaakt van moderne, proactieve technologieën voor het opsporen van bedreigingen kan helpen een bedrijf te beschermen tegen zowel gerichte aanvallen als andere gevaarlijke IT-bedreigingen”, aldus Van Lom.


Terug naar nieuws overzicht

Tags

MKB