Nieuw modellen voor assessment cybercrime risico’s

In reactie op toenemende aantallen cyber-aanvallen door, naar men aannam, Iran, merkte president Obama begin dit jaar op, dat men bij cyber-wapens eigenlijk geen onderscheid kon maken tussen offensief en defensief wapentuig – een onderscheid dat generaals graag maken om uitgaven te rechtvaardigen.

 

Immers, de netwerken van de vijand hacken om daar zwakke plekken te identificeren is zowel offensief als defensief. Beveligingsspecialisten en corporate risk managers gaan inmiddels uit van de vooronderstelling dat het voor 100%  beschermen van de eigen netwerken tegenwoordig onmogelijk is. Daarom ligt de focus nu vooral op het detecteren van inbrekers, zodra zij binnengeslopen zijn; om daarna gepast te reageren. 

Het effectief verdedigen van de buitengrenzen is onbegonnen werk, ondanks alle terechte aandacht voor interne controls, training en opleiding en firewalls. Beter is het dus te investeren in tijdige detectie, adequate response, mitigering en recovery.  

 

Helaas heeft haast iedereen gebrek aan ervaring:  wat kan de schade zijn, wat voor oplossingen moet men dan kiezen, hoeveel moet men daarin investeren? En blijkbaar verzinnen die hackers elke week weer iets nieuws…

 

Deskundigen zijn het over één ding eens: CFO’s moeten als eerste de risico’s inventariseren en wegen, door te weten om welke gevoelige data het gaat; om deze vervolgens te prioriteren op basis van hun waarde en belang voor de organisatie. Welke data zijn direct van invloed op de omzet? Wat zijn de kosten en verliezen als die data gestolen, gekopieerd of gecorrumpeerd raken? 

 

Veel moeilijker is het berekenen van de kans, dat die data werkelijk in gevaar zullen komen. Hoe aantrekkelijk zijn die en die data van dat en dat bedrijf in zus en zo land voor welke hackers? Om op die vragen een antwoord te formuleren ontwikkelen diverse verzekeraars dezer dagen modellen, waar de CFO gebruik van zou kunnen maken in zijn eigen specifieke context. 

 

Inspiratie voor die modellen vonden experts bijvoorbeeld bij risicomodellen voor natuurrrampen, zoals orkanen. AIR Worldwide, een firma die dergelijke catastrofemodellen ontwikkelt, heeft nu ook een prototype gemaakt van een systeem dat cyber-risico’s weegt. Een zwak punt is, dat waar in de VS al 165 jaar data over orkanen verzameld worden, er nog relatief weinig materiaal is over cyber-aanvallen. Maar dat aantal groeit snel. Anderzijds zijn de gegevens over orkanen vrij beschikbaar, terwijl data over de gevolgen en kosten van cyber-aanvallen nauwelijks verzameld, laat staan openbaar gemaakt zijn.

 

Meer modellen en voorbeelden via ww2.cfo.com/cyber-security-technology/