Het is vaak onduidelijk wat de financiële en maatschappelijke gevolgen van digitale aanvallen en spionage zijn. Dat concludeert het Centraal Planbureau (CPB) in de Risicorapportage cyberveiligheid economie 2019. De onduidelijkheid wordt veroorzaakt doordat organisaties niet iedere aanval opmerken, niet iedere aanval publiek bekend willen maken en niet altijd kunnen inschatten wat de gevolgen zijn van een aanval op de lange termijn. Bedrijven en overheid hebben daardoor een onvolledig beeld van de kosten en baten van investeringen in cyberveiligheid. Het investeringsniveau kan dan te hoog of te laag zijn.
Hoewel bedrijven meer maatregelen nemen om hun ICT te beschermen, lijken de risico’s op maatschappelijke schade door cyberincidenten in de toekomst te stijgen door toenemende digitalisering.
Effectiviteit onduidelijk
Het is onduidelijk welke maatregelen vanuit de overheid effectief zijn om de cyberveiligheid te waarborgen, concludeert het CPB. Dit probleem doet zich bijvoorbeeld voor bij de borging van de veiligheid van vitale processen. Door de toenemende digitalisering en de verknoping tussen vitale processen (zoals de drinkwatervoorziening en de luchtverkeersleiding) en andere ‘niet-vitale’ processen (zoals hostingbedrijven of softwareleveranciers) is het onderscheid tussen die twee typen processen steeds moeilijker te maken.
Overheidsvoorlichting
Een ander voorbeeld is de overheidsvoorlichting over cyberveiligheid. De effectiviteit hiervan is onbekend en, doordat er meerdere voorlichtingskanalen naast elkaar bestaan, bestaat het risico op versnippering. Het gebrek aan goed inzicht in cyberrisico’s vormt ook een belemmering voor de verdere ontwikkeling van de verzekeringsmarkt. Zonder betrouwbare gegevens over risico’s kunnen verzekeraars geen risico-gebaseerde premie aanbieden en kunnen bedrijven geen cyberverzekering afsluiten.
Bron: CPB
Geef een reactie