10 maart 2020

Cyberincidenten, veiligheidsmaatregelen en financieel rendement: Een empirische studie van Nederlandse bedrijven

Dit CPB Discussion Paper onderzoekt de cyberveiligheid van het Nederlandse midden- en kleinbedrijf, de maatregelen die zij treffen en de samenhang hiervan met financiële resultaten.

Het midden- en kleinbedrijf wordt vaak uitgelicht als de meest kwetsbare groep voor cyberincidenten. Over de cyberveiligheidskosten voor deze groep bedrijven bestaat nauwelijks wetenschappelijk onderzoek.
 
In dit onderzoek maken wij gebruik van een representatieve enquête over ICT-gebruik van bedrijven. Deze enquête bevat gedetailleerde gegevens over getroffen veiligheidsmaatregelen en het type incident dat een bedrijf rapporteert. We construeren een nieuwe indicator die de cybervolwassenheid van een bedrijf meet. 

In het eerste deel van onze analyse kijken wij naar de samenhang tussen de gerapporteerde kans op een cyberincident en de cybervolwassenheid van bedrijven. Deze samenhang neemt eerst toe en daalt daarna: naarmate de cybervolwassenheid toeneemt stijgt aanvankelijk de kans op cyberincidenten en bij een nog hoger volwassenheidniveau daalt de kans weer. Een intuïtieve verklaring is dat een bepaald basisniveau van cyberveiligheid nodig is om überhaupt cyberincidenten te kunnen detecteren en dat verdere investeringen kunnen helpen om incidenten te voorkomen. 

Voor het tweede deel van de analyse nemen wij de relatie tussen bedrijfsresultaten en cybervolwassenheid van bedrijven onder de loep. Wij vinden geen verband tussen winstgevendheid van bedrijven en hun cybervolwassenheid. Een mogelijke verklaring hiervoor is dat staartrisico’s (laag risico met erg hoge kosten als gevolg van een incident) niet deel uitmaken van de ICT-enquête. Ook is het mogelijk dat bedrijven optimaal investeren in veiligheidsmaatregelen, waardoor het effect van extra maatregelen daarbovenop geen positieve bijdrage meer levert aan de winst.

Auteurs

Milena Dinkova
Ramy El-Dardiry

Lees meer over