Hoe bepaal je de economische impact van cybercriminaliteit en cyberspionage?
Het is tot nu toe altijd erg lastig geweest om de werkelijke schade van cybercriminaliteit en cyberspionage in kaart te brengen. Maar naarmate het tot organisaties doordringt dat niet alles met alle middelen beveiligd kan worden, groeit het besef dat het voor een goede risico-inschatting ook duidelijk moet zijn hoe groot die schade is. Intussen doen ook risicoadviseurs en verzekeringsmaatschappijen van zich horen, die roepen dat cybercrime meer is dan een ict-probleem en plakken er een schadebedrag aan dat uit de lucht komt vallen. Het is inderdaad meer dan een ict-probleem, maar over die schade valt wel degelijk meer te zeggen.
Er zijn de afgelopen jaren al diverse schattingen gedaan over wat cybercriminaliteit ons nu eigenlijk kost. Deze schattingen – die uiteenlopen van een paar miljard tot een biljoen US dollar wereldwijd op jaarbasis – waren in de meeste gevallen gebaseerd op relatief kleinschalige analyses; te weinig voor een echt accurate schatting.
McAfee heeft daarom samen met het Amerikaanse Center for Strategic and International Studies (CSIS) gezocht naar een nauwkeurige en verdedigbare methode om deze impact van cybercriminaliteit en cyberspionage te meten. Daarbij wordt dit soort activiteiten op dezelfde manier gemeten als andere vormen van misdaad. McAfee heeft nu de eerste van twee CSIS-rapporten gepubliceerd. Het doel van deze rapporten is om een strakke economische methodiek toe te passen op de vraag: wat kosten cybercriminaliteit en cyberspionage de wereldeconomie?
De onderzoekers van het CSIS zijn erin geslaagd om een accuraat economisch model op te stellen waarmee schade als gevolg van cybercriminaliteit en cyberspionage bepaald kan worden. Omdat een dergelijke benadering nog niet eerder is toegepast op data over cyberbeveiliging, is daarbij gekeken naar vergelijkbare modellen uit de ‘echte’ wereld, zoals modellen om schade te analyseren van auto-ongelukken, piraterij, drugsgebruik en andere vormen van misdaad. Daarbij is samengewerkt met economen, experts op het gebied van intellectueel eigendom en beveiligingsonderzoekers.
Hiervoor was het natuurlijk wel nodig om eerst te definiëren wat er nu valt onder ‘cybercriminaliteit’. Voor dit onderzoek heeft het CSIS een zesledige definitie opgesteld om helder aan te geven welke activiteiten over het algemeen geclassificeerd worden als cybercriminaliteit:
- Verlies van intellectueel eigendom en vertrouwelijke bedrijfsinformatie
- Directe financiële schade ten gevolge van cybercriminaliteit
- Het verlies van gevoelige zakelijke informatie (zoals informatie over onderhandelingsstrategieën), inclusief mogelijke manipulatie van aandelenkoersen
- Financiële schade ten gevolge van de uitval van diensten, het verlies van werkgelegenheid, afname in het vertrouwen in online activiteiten, etc.
- Additionele kosten voor het beveiligen van netwerken, verzekeringen en het herstel na cyberaanvallen
- Reputatieschade
Eén conclusie kan volgens de onderzoekers echter nu al getrokken worden: cybercriminaliteit en cyberspionage zijn reële en zeer kostbare problemen. Volgens een eerste ruwe schatting door de onderzoekers van het CSIS kan de schade in de VS alleen al oplopen tot 100 miljard dollar per jaar en het verlies van ruim 500.000 arbeidsplaatsen. Wereldwijd hebben we het over een schade van 400 tot 500 miljard dollar. De tijd dat de schade van cybercrime alleen met een natte vinger te bepalen was, is voorbij.
Wim van Campen, McAfee
