De financiële en maatschappelijke gevolgen van digitale aanvallen zijn nog vaak onduidelijk wat de aanpak van cyberaanvallen bemoeilijkt, zo stelt het Centraal Planbureau (CPB) in de vandaag verschenen Risicorapportage cyberveiligheid economie 2019 (pdf).

Volgens het CPB is het bekend dat bedrijven, overheden en thuisgebruikers door cyberaanvallen worden getroffen. Hoe vaak dit gebeurt en welke gevolgen het heeft is echter onduidelijk. Zo zijn er geen betrouwbare cijfers over hoe vaak Nederlandse bedrijven bespioneerd worden en wat de financiële schade daarvan was. Het Planbureau merkt op dat er geen Nederlandse bedrijven zijn die als gevolg van cyberspionage winstwaarschuwingen hebben gegeven.

Aan de hand van de "waardeketen van economische cyberspionage" meldt het rapport dat deze vorm van spionage niet automatisch winstgevend is voor de aanvaller en niet altijd tot schade voor het Nederlandse bedrijfsleven leidt. Gestolen informatie is namelijk niet altijd meteen bruikbaar en moet vaak eerst nog aan een bedrijf worden overgedragen en doorontwikkeld. "Het is voorlopig dan ook nog onzeker hoe winstgevend economische cyberspionage daadwerkelijk is", aldus het CPB.

Door het ontbreken van concrete informatie over de omvang en economische schade van digitale aanvallen investeren gebruikers en organisaties mogelijk te veel of te weinig in cybersecurity. "Bedrijven en overheid hebben een onvolledig beeld van de kosten en baten van investeringen in cyberveiligheid", aldus het Planbureau. Zo is het onduidelijk hoeveel er precies in cybersecurity moet worden geïnvesteerd om veilig te zijn.

"Het verband tussen investeringen in veiligheid en incidenten of bedrijfsresultaten is gecompliceerd, omdat oorzaak en gevolg door elkaar heen lopen. Aan de ene kant is het te verwachten dat investeringen in cyberveiligheid de kans op een incident verkleinen, hoewel waarschijnlijk na een bepaald punt de toegevoegde waarde van extra investeringen af zal nemen. Tegelijkertijd zullen bedrijven die een groter risico lopen op een incident, bijvoorbeeld grote bedrijven of bedrijven die sterk afhankelijk zijn van ICT, meer maatregelen nemen", zo laat de Risicorapportage verder weten.

Adviezen

Wat ook meespeelt is de informatievoorziening. Er zijn tal van adviezen en richtlijnen over welke investeringen en maatregelen organisaties moeten doen en nemen. "Desondanks, of juist daardoor, is het voor individuele gebruikers en organisaties moeilijk om goed geïnformeerde maatregelen te nemen", merkt het CPB op. Het Planbureau stelt dat bestaande adviezen en richtlijnen niet 1-op-1 van toepassing zijn op specifieke gebruikers en organisaties. Dit komt onder andere door het ontbreken van informatie over de omvang van cyberrisico's en de financiële gevolgen.

Door het ontbreken van deze informatie is het voor gebruikers niet mogelijk om het rendement van hun investeringen in cybersecurity te bepalen. Ook vormt het informatiegebrek een belemmering voor overheidsbeleid, want het is onduidelijk in hoeverre het wenselijk is om private en publieke investeringen in cyberveiligheid te stimuleren. Het CPB ziet dan ook zowel voor overheids als bedrijfsleven en burgers verschillende uitdagingen.