Cybersecurity-incidenten door derden vormen grootste kostenpost van bedrijven

Hoewel steeds meer ondernemingen, ongeacht de ROI, in cybersecurity investeren (63 procent in 2017 tegenover 56 procent in 2016), blijven de gemiddelde kosten van een cybersecurity-incident toenemen. De kostbaarste inbreuken op de cyberveiligheid van bedrijven zijn het resultaat van fouten van derden. Bedrijven doen er dan ook verstandig aan niet alleen in hun eigen beveiliging te investeren, maar ook op die van hun zakenpartners te letten.

Dit blijkt uit onderzoek van Kaspersky Lab en B2B International. De resultaten van het onderzoek zijn verzameld in het rapport 'IT security: cost-center or strategic investment?'. Organisaties zien in toenemende mate het belang van IT-beveiliging in. Bedrijven over de hele wereld beginnen het als een strategische investering te beschouwen en het aandeel van IT-beveiliging in het hele IT-budget is bij grote bedrijven gegroeid tot een vijfde (20 procent). Dit patroon breidt zich uit naar bedrijven van alle groottes, met inbegrip van zeer kleine bedrijven met weinig resources. Maar beveiliging mag dan wel een groter deel van het IT-budget uitmaken, het totale budget slinkt. Het gemiddelde IT-beveiligingsbudget voor grotere ondernemingen in Europa is bijvoorbeeld gedaald van 21,4 miljoen euro vorig jaar tot 11,5 miljoen in 2017.

73.800 euro per beveiligingsincident

Dit is een zorg voor bedrijven, vooral gezien het feit dat – in tegenstelling tot IT-beveiligingsbudgetten – het herstel van inbreuken op de beveiliging niet goedkoper wordt. Dit jaar hebben KMO’s wereldwijd gemiddeld 73.800 euro per beveiligingsincident moeten betalen (tegenover 72.700 euro in 2016). Europese KMO’s betaalden gemiddeld 68.900 euro per gegevensschending. Grotere ondernemingen hebben die kosten nog sneller zien stijgen, wereldwijd van 723.000 euro in 2016 tot 833.000 in 2017. Zij kregen in Europa gemiddeld een eindnota van 787.900 duizend euro voorgeschoteld.

Verhoging van de IT-beveiligingsbudgetten is niettemin slechts een deel van de oplossing. De meest onthutsende verliezen komen namelijk voort uit incidenten waarbij derden betrokken zijn en cyberblunders hebben begaan. Er zijn KMO's die niet minder dan 110.800 duizend euro hebben moeten neertellen voor incidenten die schade hebben toegebracht aan hun door een derde partij beheerde infrastructuur. Grotere bedrijven hebben tot 1,5 miljoen euro verloren als gevolg van inbraken bij leveranciers met wie ze gegevens delen en 697.200 euro wegens het te lage beschermingsniveau van IaaS-providers.

'Financiële impact kan dubbel zo groot zijn'

Zodra een bedrijf een andere organisatie toegang geeft tot data of infrastructuur, kunnen de zwakke plekken van de één invloed hebben op beide partijen. Dit probleem wordt steeds wezenlijker, omdat overheden over de hele wereld zich haasten om nieuwe wetgeving in te voeren, die inhoudt dat organisaties informatie moeten verschaffen over hoe ze persoonsgegevens delen en beschermen. “Cyberveiligheidsincidenten waarbij derde partijen zijn betrokken, kunnen schadelijk zijn voor bedrijven van iedere omvang, maar de financiële impact kan nog dubbel zo groot zijn”, zegt Martijn van Lom, General Manager Kaspersky Lab Benelux.

“Dit heeft te maken met een grotere mondiale uitdaging: dreigingen bewegen zich razendsnel, maar bedrijven én wetgeving ontwikkelen zich tergend langzaam. Wanneer regelingen als GDPR afdwingbaar worden en bedrijven bij de kladden grijpen voordat ze hun beleid hebben kunnen aanpassen, komen de boetes voor het niet naleven van wetgeving er ook nog bovenop.”