17 oktober 2019

Risicorapportage cyberveiligheid economie 2019

Gebrek aan informatie bemoeilijkt aanpak cyberveiligheid

Persbericht
Het is vaak onduidelijk wat de financiële én maatschappelijke gevolgen van digitale aanvallen en spionage zijn. Deze onduidelijkheid wordt veroorzaakt doordat organisaties: 1) niet iedere aanval opmerken; 2) niet iedere aanval publiek bekend willen maken; en 3) niet altijd kunnen inschatten wat de gevolgen zijn van een aanval op de lange termijn. Bedrijven en overheid hebben daardoor een onvolledig beeld van de kosten en baten van investeringen in cyberveiligheid. Het investeringsniveau kan dan te hoog of te laag zijn. Dit staat in de Risicorapportage cyberveiligheid economie 2019 die het Centraal Planbureau (CPB) zojuist publiceerde.
No title

Hoewel bedrijven meer maatregelen nemen om hun ICT te beschermen, lijken de risico’s op maatschappelijke schade door cyberincidenten in de toekomst te stijgen door toenemende digitalisering.

Het is onduidelijk welke maatregelen vanuit de overheid effectief zijn om de cyberveiligheid te waarborgen. Dit probleem doet zich bijvoorbeeld voor bij de borging van de veiligheid van vitale processen. Door de toenemende digitalisering en de verknoping tussen vitale processen (zoals de drinkwatervoorziening en de luchtverkeersleiding) en andere ‘niet-vitale’ processen (zoals hostingbedrijven of softwareleveranciers) is het onderscheid tussen die twee typen processen steeds moeilijker te maken. Een ander voorbeeld is de overheidsvoorlichting over cyberveiligheid. De effectiviteit hiervan is onbekend en, doordat er meerdere voorlichtingskanalen naast elkaar bestaan, bestaat het risico op versnippering. 

Het gebrek aan goed inzicht in cyberrisico’s vormt ten slotte een belemmering voor de verdere ontwikkeling van een verzekeringsmarkt. Zonder betrouwbare gegevens over risico’s kunnen verzekeraars geen risico-gebaseerde premie aanbieden en kunnen bedrijven geen cyberverzekering afsluiten. 
 

De snelle ontwikkelingen op het gebied van kunstmatige intelligentie (KI) zorgen voor nieuwe risico’s, maar ook voor nieuwe kansen voor cyberveiligheid. Onzekerheid en onvolledige informatie bemoeilijken beleid voor cyberveiligheid. Het versplinterde landschap van initiatieven op het gebied van samenwerking en voorlichting kan informatievoorziening belemmeren. Nederlandse bedrijven hebben in het afgelopen jaar meer maatregelen genomen ter verhoging van weerbaarheid. Huishoudens blijven kwetsbaar: 8,5 procent was in 2018 slachtoffer van een digitaal misdrijf. 

Artificial intelligence can also be used in rapid and systematic searches for software vulnerabilities, with the aim of subsequently exploiting those vulnerabilities. On the other hand, AI also offers opportunities for cyber security. It can be used to help detect deep
fake products and other forms of disinformation, DDoS attacks and rogue websites. The possibilities for detecting software vulnerabilities can be used by software developers, thus preventing vulnerable software from entering the market.

Uncertainty and incomplete information are hampering cyber security policy. Various opinions and guidelines are circulating on the optimal investment level for cyber security and on what measures should be taken. Nevertheless, or precisely because of that, it is difficult for individual users and organisations to make informed decisions about which measures to take. This is partly due to the fact that existing opinions and guidelines are never an exact match for the situations of specific users and organisations, and partly due to a lack of information about the extent of cyber risks and their financial consequences. And finally, some of the consequences of inadequate cyber security may have an impact on third parties. This lack of information prevents users from determining the benefits of their investment in security. It also forms an obstacle for government policy: to what extent would it be desirable to stimulate private and public investment in cyber security? For cyber insurers, the lack of information means that premiums cannot be properly risk-based.

The fragmented landscape of initiatives on collaboration and education may hamper the provision of information. The government uses multiple channels to informs various target groups about cyber risks. In addition, it seeks to stimulate various public–private partnerships to encourage participants to share knowledge and experiences. In certain cases, these initiatives on collaboration and education may overlap. The risks of this type of fragmentation include those of target groups being less aware of where relevant information can be found, of initiatives duplicating each other’s work, and of important themes being left unaddressed.

Auteurs

Milena Dinkova
Ramy El-Dardiry