Cyberinbraken leveren bedrijven tot half miljoen euro schade op
Grote bedrijven zijn gemiddeld 504.000 euro kwijt om te herstellen van een inbreuk op de beveiliging. Bij het MKB liggen de gemiddelde kosten op 34.750 euro.
Dit blijkt uit onderzoek van Kaspersky Lab onder 5.500 bedrijven in samenwerking met B2B International. Werknemersfraude, cyberspionage, het binnendringen van netwerken en falen door externe leveranciers blijken de duurste soorten IT-beveiligingsincidenten te zijn.
Totale kosten zijn moeilijk te overzien
Een ernstige inbreuk op IT-beveiligingssystemen leidt tot veel bedrijfsproblemen. Doordat de schade erg uiteenloopt, is het voor de slachtoffers zelf soms lastig om de totale kosten van een inbreuk in te schatten. De voor dit onderzoek gebruikte methodiek baseerde zich op gegevens uit voorgaande jaren, zodat we exact konden bepalen op welke vlakken bedrijven uitgaven moeten doen of geld verliezen als gevolg van een incident.
Bedrijven investeren doorgaans in professionele diensten zoals externe IT-deskundigen, juristen en consultants. Tegelijkertijd zien zij hun inkomsten teruglopen door gemiste bedrijfskansen en uitvaltijd. De waarschijnlijkheid van de verschillende uitgaven of verliezen varieert, wat iets is waar bedrijven rekening mee moeten houden.
Indirecte uitgaven
Een soortgelijke methode werd gebruikt om de indirecte uitgaven in te schatten. Onder indirecte uitgaven verstaat Kaspersky het budget dat bedrijven nodig hebben nadat de herstelwerkzaamheden hebben plaatsgevonden, maar dat nog steeds samenhangt met het IT-beveiligingsincident. Bovenop de genoemde cijfers geven bedrijven meestal tussen de 7.000 euro (MKB) en 63.000 euro (enterprises) uit aan personeel, opleiding en upgrades aan de infrastructuur.
De gemiddelde rekening voor een beveiligingsincident bij enterprises ziet er als volgt uit:
- Professionele services (IT, risicobeheer, advocaten): tot 77.000 euro met een waarschijnlijkheid van 88%
- Gemiste bedrijfskansen: tot 185.000 euro, 29%
- Uitvaltijd: tot 1,2 miljoen euro, 30%
- Totaal gemiddeld: 504.000 euro
- Indirecte uitgaven: tot 63.000 euro
- Reputatieschade: tot 187.000 euro
MKB en enterprises lijden op verschillende manieren schade
Negen van de tien bedrijven die deelnamen aan het onderzoek meldden ten minste één beveiligingsincident. Niet alle incidenten waren echter ernstig en/of leidden tot het verlies van gevoelige gegevens. Meestal is een ernstige beveiligingsinbreuk het gevolg van een malware-aanval, phishing, het lekken van gegevens door werknemers en het misbruik van softwarelekken. De geschatte kosten bieden een nieuwe kijk op de ernst van IT-beveiligingsincidenten, waarbij de vooruitzichten voor het MKB en enterprises enigszins van elkaar verschillen.
Grote ondernemingen betalen aanzienlijk meer als een IT-beveiligingsincident het resultaat is van het falen door een vertrouwde externe partij. Andere kostbare incidenten zijn fraude door werknemers, cyberspionage en het binnendringen van het netwerk. MKB's verliezen meestal aanzienlijke bedragen bij vrijwel elk type inbreuk en betalen een vergelijkbaar hoge prijs, of het nu gaat om herstel na bedrijfsspionage of om DDoS- en phishing-aanvallen.
Rapport
Het volledige rapport over de kosten van beveiligingsinbreuken is hier te vinden.