Het gevaar van ‘breach fatigue’
In de Verenigde Staten werden bedrijven het voorbije jaar meer dan eens opgeschrikt door ernstige gevallen van gegevenslekken, de zogeheten ‚data breaches’. Natuurlijk is de kans op zulk nieuws groter in de Verenigde Staten dan bij ons, met hun strenge regels rond berichtgeving. De achterliggende gedachte achter de verplichting om lekken te melden was niet alleen om iedereen te waarschuwen, maar ook om bedrijven tot bewustwording aan te manen. Als je weet dat jouw gegevenslek gegarandeerd het brede publiek zal bereiken, ga je misschien iets grondiger te werk met je security beleid. Maar door de opeenvolging van incidenten dreigt het ‘afradingseffect’ van deze regels verloren te gaan, vindt Steven Heyde, directeur Trend Micro in België.
Snel vergeten
Een recent onderzoek in de Verenigde Staten heeft bijvoorbeeld aangetoond dat er een soort van ‚breach fatigue’ ontstaat, een overdosis van berichten over gegevenslekken waardoor ze nauwelijks nog worden opgemerkt. Zo bleek dat meer dan drie kwart van de bevraagden (77 procent) al vergeten was dat eBay zulk gegevenslek heeft moeten melden, ook al werden 145 miljoen mensen hierover verwittigd. Sterker nog: slechts twee van de allergrootste lekken werden onthouden door meer dan 23 procent van de bevraagden. De berichtgeving gaat dus in het overgrote deel van zelfs de ernstigste gevallen het ene oor in en het andere weer uit.
Financiële gevolgen steeds groter
Dit staat in schril contrast met het stijgende aantal lekken en andere beveiligingsincidenten die we dagelijks kunnen vaststellen. En met de enorme kost die met een gegevenslek gepaard kan gaan. Uit een onderzoek van privacy- en security-onderzoeksbureau Ponemon Institute blijkt dat de gemiddelde kost van een gegevenslek maar liefst 2,8 miljoen euro (3,5 miljoen dollar) per onderneming bedraagt. Dat is 15 procent meer dan vorig jaar. En niet alleen de gemiddelde kost van zo’n incident is jaar na jaar in stijgende lijn, ook de frequentie van geslaagde aanvallen blijft stijgen.
Dus: terwijl de reputatieschade van een incident steeds minder dramatisch lijkt, wordt de economische schade steeds groter. Zo dreigt het gevaar dat bedrijfsleiders minder wakker liggen van beveiliging terwijl ze er net meer aandacht aan zouden moeten besteden. En laten ze zich dus in slaap sussen door de relatief kleine reputatieschade terwijl ze – door de concrete financiële gevolgen – waakzamer zouden moeten zijn dan ooit tevoren.
(On)zin van strenge regels
Heeft het dan wel zin om in Europa zulke strenge regels op te stellen voor berichtgeving na een inbreuk op het gegevensnetwerk? Zeker wel, en wel om drie redenen. Ten eerste zal de strafmaat – 5 procent van de omzet – voldoende groot zijn om bedrijven toch te laten nadenken over voldoende beveiliging en over de gevolgen van niet informeren. Ten tweede hebben de consumenten toch de zekerheid dat ze minstens worden ingelicht over mogelijk misbruik van hun gegevens, ook al kunnen ze er dan verder niet veel meer aan doen. Ten derde kan die regelgeving dienen als basis voor nationale diensten voor cyberbeveiliging bij het opstellen, informeren en afdwingen van een nationaal beleid.
Maar bovenstaande cijfers over de kost van een gegevenslek of inbreuk op het netwerk zouden tegelijk de bedrijven voldoende moeten afschrikken zodat ze spontaan zelf aan de slag gaan met grotere veiligheidsmaatregelen dan ooit tevoren. Maatregelen die overigens steeds beginnen en eindigen met hetzelfde: de eigen medewerkers bewust maken van de gevaren, de risico’s en de gevolgen.