Gebrek aan informatie bemoeilijkt aanpak cyberveiligheid

Het is vaak onduidelijk wat de financiële én maatschappelijke gevolgen van digitale aanvallen en spionage zijn. Deze onduidelijkheid wordt veroorzaakt doordat organisaties: 1) niet iedere aanval opmerken; 2) niet iedere aanval publiek bekend willen maken; en 3) niet altijd kunnen inschatten wat de gevolgen zijn van een aanval op de lange termijn.

Bedrijven en overheid hebben daardoor een onvolledig beeld van de kosten en baten van investeringen in cyberveiligheid. Het investeringsniveau kan dan te hoog of te laag zijn. Dit staat in de Risicorapportage cyberveiligheid economie 2019 die het Centraal Planbureau (CPB) zojuist publiceerde.

Hoewel bedrijven meer maatregelen nemen om hun ICT te beschermen, lijken de risico’s op maatschappelijke schade door cyberincidenten in de toekomst te stijgen door toenemende digitalisering.

Het is onduidelijk welke maatregelen vanuit de overheid effectief zijn om de cyberveiligheid te waarborgen. Dit probleem doet zich bijvoorbeeld voor bij de borging van de veiligheid van vitale processen. Door de toenemende digitalisering en de verknoping tussen vitale processen (zoals de drinkwatervoorziening en de luchtverkeersleiding) en andere ‘niet-vitale’ processen (zoals hostingbedrijven of softwareleveranciers) is het onderscheid tussen die twee typen processen steeds moeilijker te maken. Een ander voorbeeld is de overheidsvoorlichting over cyberveiligheid. De effectiviteit hiervan is onbekend en, doordat er meerdere voorlichtingskanalen naast elkaar bestaan, bestaat het risico op versnippering.

Het gebrek aan goed inzicht in cyberrisico’s vormt ten slotte een belemmering voor de verdere ontwikkeling van een verzekeringsmarkt. Zonder betrouwbare gegevens over risico’s kunnen verzekeraars geen risico-gebaseerde premie aanbieden en kunnen bedrijven geen cyberverzekering afsluiten.