Hoe meet je de werkelijke economische impact van cyberaanvallen?
Cyberaanvallen zijn aan de orde van de dag. Bedrijven en publieke organisaties investeren fors om zich er tegen te weren. Maar hoe groot is de daadwerkelijke economische schade van een cyberaanval? Universiteit Twente-promovendus Abhishta deed onderzoek naar hoe we die schade beter kunnen vaststellen. Hij promoveerde onlangs bij de vakgroep Industrial Engineering and Business Information Systems (IEBIS) van de Universiteit Twente.
Internet is niet meer weg te denken uit ons dagelijks leven. We kijken onze films op Netflix, hebben contact met familie en vrienden via Skype en doen onze bankzaken online. Contact met de overheid hebben we via onze digitale mailbox en ook onze belastingaangifte vullen we online in. Die grote afhankelijkheid van netwerktechnologie biedt kwaadwillenden de mogelijkheid om met een geslaagde aanval op afstand ons leven flink te ontregelen.
Een van de bekendste cyberaanvallen is de Distributed Denial of Service-aanval - DDoS. Een succesvolle aanval kan een netwerk volledig platleggen. Vanuit heel veel verschillende apparaten die op het netwerk zijn aangesloten, worden berichten verstuurd naar het doelwit. De apparaten van het doelwit zijn zo druk met al deze berichten, dat ze aan niets anders meer toekomen en feitelijk worden platgelegd. Een ander effect is dat de verbindingen naar het doelwit overbelast raken en gewone berichten het doelwit niet meer bereiken.
Financieel plaatje
Aan een geslaagde cyberaanval hangt een financieel plaatje. De geschatte schade loopt in de miljoenen euro’s per jaar, zo blijkt uit onderzoek van verschillende adviesbureaus en veiligheidsconsultants.
Maar eigenlijk hebben we veel te weinig inzicht hoe groot de financiële impact daadwerkelijk is, stelt Abhishta. De meeste schattingen zijn gebaseerd op enquêtes afgenomen onder slachtoffers en inschattingen door experts. Op die schattingen is
nog wel wat aan te merken. Abhishta: “Traditionele vormen van financiële verslaglegging zijn helemaal niet gericht op het vastleggen van de impact van cyberaanvallen. En het is maar zeer de vraag of we met behulp van enquêtes gedegen inzicht krijgen in de daadwerkelijke schade.”
Onderbouwen van veiligheidsmaatregelen
Het goed kunnen duiden van de daadwerkelijke impact is van belang voor besluitvorming over investeringen in veiligheidsmaatregelen. Om die exercitie goed te kunnen uitvoeren, is een betrouwbare uitspraak over de economische impact onmisbaar. Abhishta: “In de praktijk zie je dat we een heleboel doen om de impact van cyberaanvallen te meten. Maar het is nog te gefragmenteerd en te weinig gericht, waardoor het beeld onvoldoende betrouwbaar is om de daadwerkelijke impact vast te stellen.”
Die lacune vraagt om het ontwikkelen van een methodologie waarin de economische impact van DDoS-aanvallen met grotere zekerheid kan worden vastgesteld. Daaraan werkte Abhishta in zijn proefschrift, waarin hij een empirische aanpak ontwikkelt om deze wel vast te kunnen stellen, zowel voor publieke als private organisaties.
Complexe multi-analyse
Voor een goede analyse is inzicht in vele factoren van belang. “Een van de dingen die we concluderen, is dat je de daadwerkelijke impact van DDoS-aanvallen niet los kan zien van de redenen achter de aanval. Soms hebben daders economische motieven: ze vragen losgeld of verdienen geld aan de uitvoering van een DDoS-aanval in opdracht (de zogenaamde booters). Er zijn echter ook andere redenen: wraak (bijvoorbeeld door een ontslagen medewerker), protest (als politieke manifestatie), cyber war (nationale staten die elkaar te lijf gaan), het leggen van een rookgordijn (om via de achterdeur in te breken) of intellectuele uitdaging (kijk eens hoe knap ik ben?).
“Gebaseerd op de Routine Activity Theory (RAT) proberen we op basis van de motieven te onderzoeken hoe kwetsbaar een organisatie is. Vaak staat een DDoS-aanval niet op zichzelf. Het is niet zo dat een aanval een willekeurig verschijnsel is”, zegt Abhishta.
Het meten van de werkelijke economische impact van DDoS-aanvallen is complex en dwingt ons te kijken naar de context van de aanval. “Soms zijn de gevolgen van korte uitvallen van het netwerk tijdelijk en worden vrij snel hersteld. Daarom stellen we voor om de empirische gegevens die momenteel beschikbaar zijn economische betekenis te geven en meer gegevens te verzamelen op het niveau van een individuele medewerker en daarmee de veerkracht van bedrijven tegen netwerkverstoringen te meten.”