CYBER: Wat is cyberbeveiliging waard?

Bij schade aan je auto denk je niet direct aan totall-loss. Het komt veel vaker voor dat er een deukje in zit dat prima gerepareerd kan worden. De kans daarop is groter dan de kans op een totall-loss. Logisch? Niet als het over IT-risico’s gaat! Dan gaan we traditioneel aan de slag met maximale schade. Maar dat kan ook anders.

Foto: Chris van den Hooven, Hij werkt als interim Senior Information Security Consultant voor Nixu, een cybersecurity dienstverlener die ernaar streeft organisaties te ondersteunen bij het veilig omarmen van digitalisering. Hij heeft een vijftienjarig trackrecord in het vertalen van bedrijfsrisico's naar passende maatregelen op het gebied van informatiebeveiliging. Bij Nixu combineert hij zijn kennis van risicomanagement, architectuur, wet- en regelgeving en helpt hij organisaties om controle te krijgen over de beveiliging van hun data en IT-infrastructuur. 

Traditionele IT-risicoanalyse begint met het maken van een lijst met dingen die mis kunnen gaan. We schatten de maximale impact en waarschijnlijkheid en vermenigvuldigen vervolgens deze cijfers om het risico te ‘berekenen’.

In sommige gevallen werkt dit redelijk goed, bijvoorbeeld als het gaat om het (financiële) risico dat een laptop uit een geparkeerde auto wordt gestolen. Wanneer een bedrijf een paar duizend laptops heeft, gebeurt dit meerdere keren per jaar. Na een paar jaar wordt het aantal voorspelbaar. 

De waarde van een laptop is moeilijker in te schatten. De laptop kan leeg zijn, de enige kopie bevatten van een onderzoeksproject, informatie over de aandeelhouders of een klantendatabase bevatten. De schade bij verlies kan daardoor erg uiteenlopen, maar voor de berekening wordt traditioneel de schade gesteld op de maximaal denkbare schade.

De standaard risicoberekening is als volgt: kans dat de laptop wordt gestolen is 2% (per jaar), kans dat juist deze laptop waardevolle informatie bevat is 50%, kans op diefstal van waardevolle informatie is 2% x 50% = 1% (per jaar). Het risico = 1% x Maximale schade.

Risico's met een zeer hoge impact en een lage waarschijnlijkheid zijn ongrijpbaar. Wat als uw systeem, inclusief al uw gegevens, niet meer beschikbaar is omdat de leverancier is gehackt of failliet is gegaan? In het ergste geval verliest u al uw gegevens, maar nogmaals, dit is niet erg waarschijnlijk. Toch wordt in traditionele IT-risicoanalyses het risico berekend met maximale impact:

Risico = (bijna nul) x (belachelijke hoeveelheid geld) = Onzin.

Kansdichtheidsfunctie
Door toepassing van een zogenaamde kansdichtheidsfunctie kan het feit dat de impact van incident tot incident verschilt worden aangepakt. We nemen bijvoorbeeld aan dat de waarschijnlijkheid van enige hoeveelheid schade een normale verdeling zal volgen. Een goed model voor IT-risico’s is een normale verdeling op een logaritmische schaal, het zogenaamde ‘lognormaal’. Het vertegenwoordigt een veel voorkomende situatie waarin risico niet kan leiden tot schade lager dan nul en risico dat kan resulteren in zeer hoge maar onwaarschijnlijke schade. 

Twee gegeven punten op de curve uit figuur 1* zijn voldoende om de curve vast te stellen. Om het werkbaar te maken kiezen we het 90% ‘betrouwbaarheidsinterval’. Dit betekent dat we bijvoorbeeld een schatting kunnen maken van de onder- en bovengrens van de verwachte schade in 9 van de 10 gebeurtenissen: in 9 van de 10 keer ligt de schade van een gestolen laptop tussen € 2000 en € 500k (figuur 1). Toegepast op het gestolen laptopvoorbeeld kan het risico nu worden gedefinieerd als:

Risico = (2% kans per jaar dat een laptop wordt gestolen) x (90% waarschijnlijkheid dat de impact tussen 1000 en 25000 euro is).

Er kan een gigantisch gegevenslek optreden, wat resulteert in miljoenen schade wanneer een laptop wordt gestolen, de kans is echter zeer laag (minder dan 5%, waarschijnlijk lager).

Let op: we definiëren het risico nu als een verandering of kans op schade in plaats van een absoluut bedrag. Dit modelleert de echte wereld, waar we het verloop van de impact van gebeurtenissen wel, maar niet de impact van individuele gebeurtenissen kunnen voorspellen. Mensen die de loterij spelen, ‘winnen’ gezamenlijk ongeveer de helft van het geld dat ze voor hun loten betalen, maar de kans dat iemand de jackpot wint is minuscuul.

Het berekenen van het verwachte inherente verlies
Door de curve en waarschijnlijkheid te combineren, kunnen we het verwachte inherente verlies per jaar voor dit risico berekenen. In ons voorbeeld wordt een inherent verlies van € 12.300 per jaar verwacht. 

Kwantitatieve risicoanalyse geeft ook in een IT-omgeving meer realistische resultaten dan de veelgebruikte kans x impact methode. Het zal organisaties inzicht geven in de verwachte verliezen, die kunnen worden gebruikt om risico's beter te begrijpen en mitigaties effectiever te ontwikkelen. Het wordt daardoor ook duidelijk wat de waarde van cyberbeveiliging is. Het is zelfs mogelijk om het rendement op geïnvesteerd vermogen te berekenen.

Figuur 1*


Geschreven door Chris van den Hooven - Nixu Cybersecurity