of 59250 LinkedIn

Wat kost nu de voorbereiding op een datalek en/of cyberaanval?

Wereldwijd hadden overheden en bedrijven last van de ‘WannaCry-cyberaanval’, direct gevolgd door een soortgelijke ransomware aanval met de naam ‘Adylkuzz’. Geblokkeerde bestanden waren het gevolg, al lijkt de schade in Nederland mee te vallen.

Ook binnen het overheidsdomein krijgen cyberattacks en datalekken steeds meer en vaker de aandacht. De gemeentesecretaris van Medemblik kwam met een open relaas over een datalek in haar gemeente. De Tweede Kamer ontving de ‘Verkenning Cybersecurity Informatiedeling binnen de Topsectoren’. De AIVD kwam met een handreiking aan bestuurders over de risico’s van cyberspionage en Nederland ICT kwam met een tiental vuistregels voor bestuurders en ondernemers voor cybersecurity. Op het International One Conference 2017 werd de ‘Cyber Readiness Index’ voor Nederland aangeboden en organiseerde het IBestuur een seminar met het thema ‘Grip op cybersecurity’.

 

PBLQ stond recent ook stil bij dit onderwerp met onder meer het onderzoek van Anne Goris naar communicatie bij datalekken. Haar onderzoek, wat leidde tot een afstudeerscriptie voor haar traineeship ging in op diverse casestudies van datalekken bij gemeenten. De hoofdvraag in het onderzoek was welke rol communicatie kan spelen bij het beperken van de maatschappelijke impact van een datalek bij een Nederlandse gemeente. Duidelijk werd dat bestaande reputatie, legitiem handelen, de oorzaak en de ernst van het incident, factoren zijn die invloed hebben op de impact. Belangrijk middel om de maatschappelijke impact te beperken is tijdig communiceren, waarbij de focus in eerste instantie moet liggen bij het bieden van handelingsperspectief aan de slachtoffers en het informeren van de inwoners. Procescommunicatie geven is daarin belangrijk en (daarmee) het eigen handelen ook te verantwoorden.

 

De Autoriteit Persoonsgegevens (AP) kwam met aantallen over datalekken in 2016 en 2017. Zo waren er in 2017 2300 meldingen van datalekken bij de AP. Hiervan waren er 331 meldingen bij gemeenten en 102 bij de rijksoverheid. Hiervan was 41% ‘persoonsgegevens verstuurd aan verkeerde ontvangers’, 13% per ongeluk gepubliceerd en 10% door kwijtgeraakte telefoons en usb’s. Recent onderzoek van PBLQ bij enkele overheidsorganisaties ondersteunt dit beeld. Het goede nieuws is dat datalekken worden gemeld en dat het gelukkig in de meeste gevallen gaat om incidenten: per ongeluk de verkeerde persoon gemaild, of een zorgplan in de verkeerde envelop. Vervelend voor de mensen die het betreft, maar geen structurele fout. Hoewel de ene organisatie hier actiever mee omgaat dan de andere, zien we wel dat het bewustzijn de afgelopen jaren flink is toegenomen.

 

Tijdens de verschillende gesprekken en momenten de afgelopen tijd kwam ook weer ter sprake wat privacybescherming en informatiebeveiliging nu eigenlijk kost. Wat kost het – datalekken, cyberaanvallen, et cetera – ons als organisatie, overheid of maatschappij? Gewoon in harde euro’s, dus de gevolgen voor het imago van en vertrouwen in de overheid nemen we hier nog niet mee. Bij de financiële kosten gaat het om het systeemherstel of het ‘repareren’ van de data, maar ook de aanpak (voorbereiding), het herstellen en onderzoeken. Hoeveel investeren organisaties in awareness en preventieve maatregelen? En hoe bepalen zij kosten en baten.

 

De kosten van een datalek zijn lastig te bepalen, organisaties zijn er vaak ook niet transparant over. Qua voorbereidingskosten is er wel wat meer bekend. Afgelopen week riep Nederland ICT op tot het bestemmen van zo’n 10% van het Rijks IT-budget voor beveiliging. In het land wordt vaker gezegd dat zo’n 7-10% van IT aan security dient te worden besteed. Uit een gesprek met een grote gemeente bleek dat ook daar zo’n 10% van het IT-budget voor beheer wordt besteedt aan security. Uit het gepubliceerde onderzoek van de rekenkamer van Rotterdam blijkt dat de gemeente €1,3 miljoen investeert per jaar om succesvolle aanvallen te voorkomen (op een budget van €118 miljoen aan digitale dienstverlening / firewalls e.d.).

 

Er zijn wereldwijd diverse onderzoeken gedaan naar de kosten bij datalekken/cyberaanvallen. Met name gericht op het bedrijfsleven. Wat er in overheidsland wordt gespendeerd aan voorbereiding, afhandelen, herstellen en onderzoeken bij datalekken/cyberaanvallen is – naar wij weten – nog niet onderzocht. Wat ons betreft wordt dit eens tijd. 

 

In een volgende blog gaan we meer in op het ‘incident datalek/cyberaanval’ en welke aanpak een organisatie hiervoor kan hanteren.

Verstuur dit artikel naar Google+

Reageer op dit artikel
Even geduld a.u.b.

Contactgegevens

AfbeeldingMuzenstraat 120,

2511 WB Den Haag,

Postbus 18607,

2502 EP Den Haag

070- 376 36 36

info@pblq.nl

www.pblq.nl

Meer nieuws

Opleiding Informatiemanagement voor verbinders

Metropool opleiding

Weten hoe het is om bij PBLQ te werken?

Blijf effectief in de informatiesamenleving van morgen!

Afbeelding

Whitepapers

  • ‘Smart’ lijkt wel een nieuw toverwoord. Net zoals innovatie dat ook al enige jaren...

    Smart city

    ‘Smart’ lijkt wel een nieuw toverwoord. Net zoals innovatie dat ook al enige jaren...
  • Voor bestuurders, managers en veranderaars 
 Met de digitalisering van onze samenleving is het...

    Safe in cyberspace

    Voor bestuurders, managers en veranderaars Met de digitalisering van onze samenleving is het...

Bloggers