Dit zou er eentje kunnen zijn voor de rubriek “ongemakkelijke waarheden”.
In een studie door de RAND Corporation, gepubliceerd in het Journal of Cybersecurity, gingen onderzoekers na hoe vaak Amerikaanse bedrijven te maken krijgen met it-lekken en hoeveel hen dat kost. Opvallende conclusie is dat de kostprijs van een hack veel lager ligt dan verwacht, rond de 200.000 dollar per geval. Een stevig beveiligingssysteem, zeker voor een groot bedrijf, kost veel meer dan dat. Vanuit zakelijk standpunt kan het dus logischer lijken om de security maar zozo te laten. — bron: The Register
Zakelijke logica, we zullen er wellicht nooit iets van snappen. Maar de onderzoeker maakt wel een denkfout als hij een aantal kosten gewoon negeert. Wat we niet in het kostenplaatje terugvinden, zijn bijvoorbeeld de kosten voor diegenen van wie de data ontvreemd werden. De conclusie moet dus niet zijn dat dit een kwestie van rationele beslissingen zou zijn, zoals de onderzoeker beweert. Wel dat er iets grondig fout is met bedrijven die het eigen geldgewin boven het breder maatschappelijk belang plaatsen. Dat is iets waar een overheid gerust heel wat strenger op mag toezien. Inclusief stevige boetes voor bedrijven die de beveiliging van persoonsgegevens verwaarlozen. Of waarom geen verbod op het bijhouden van gevoelige data voor hardleerse bedrijven die denken dat security duurder is dan gehackt worden.
Blijft ook de vraag in hoeverre het bedrag van 200.000 dollar per hack overeenstemt met de realiteit. Gelijkaardige onderzoeken van ENISA, het EU-agentschap voor Netwerk- en Informatieveiligheid, kwamen terecht bij erg uiteenlopende bedragen, van 425.000 euro tot 506 miljoen euro. De onderzoeker geeft het moeilijke van de oefening ook zijdelings toe wanneer hij zegt: “I spoke to many executives and none of them could give a reliable metric for how to measure the PR cost of a public failure of IT security systems.” Neen, het belang van een goede beveiliging van persoonsgegevens kan niet genoeg benadrukt worden. Maar het onderzoek biedt wel een interessante inkijk in de manier waarop bedrijven naar de risico’s van een hack kijken.