October 17, 2019

Cyber Security Risk Assessment 2019

Gebrek aan informatie bemoeilijkt aanpak cyberveiligheid

Press release
Het is vaak onduidelijk wat de financiële én maatschappelijke gevolgen van digitale aanvallen en spionage zijn. Deze onduidelijkheid wordt veroorzaakt doordat organisaties: 1) niet iedere aanval opmerken; 2) niet iedere aanval publiek bekend willen maken; en 3) niet altijd kunnen inschatten wat de gevolgen zijn van een aanval op de lange termijn. Bedrijven en overheid hebben daardoor een onvolledig beeld van de kosten en baten van investeringen in cyberveiligheid. Het investeringsniveau kan dan te hoog of te laag zijn. Dit staat in de Risicorapportage cyberveiligheid economie 2019 die het Centraal Planbureau (CPB) zojuist publiceerde.
Primary image UK 740x420

Hoewel bedrijven meer maatregelen nemen om hun ICT te beschermen, lijken de risico’s op maatschappelijke schade door cyberincidenten in de toekomst te stijgen door toenemende digitalisering.

Het is onduidelijk welke maatregelen vanuit de overheid effectief zijn om de cyberveiligheid te waarborgen. Dit probleem doet zich bijvoorbeeld voor bij de borging van de veiligheid van vitale processen. Door de toenemende digitalisering en de verknoping tussen vitale processen (zoals de drinkwatervoorziening en de luchtverkeersleiding) en andere ‘niet-vitale’ processen (zoals hostingbedrijven of softwareleveranciers) is het onderscheid tussen die twee typen processen steeds moeilijker te maken. Een ander voorbeeld is de overheidsvoorlichting over cyberveiligheid. De effectiviteit hiervan is onbekend en, doordat er meerdere voorlichtingskanalen naast elkaar bestaan, bestaat het risico op versnippering. 

Het gebrek aan goed inzicht in cyberrisico’s vormt ten slotte een belemmering voor de verdere ontwikkeling van een verzekeringsmarkt. Zonder betrouwbare gegevens over risico’s kunnen verzekeraars geen risico-gebaseerde premie aanbieden en kunnen bedrijven geen cyberverzekering afsluiten. 
 

Contacts

Photo of Suzanne van Gils
Suzanne van Gils +31 6 21560776 Read more
Dick Morks Read more

Rapid developments in the field of artificial intelligence are creating new risks, but also offer new opportunities for cyber security. Research into artificial intelligence (AI) is flourishing; for example, algorithms are becoming increasingly effective in recognising patterns and making decisions in complex situations. Some AI applications may also lead to new or greater risks for cyber security. An example of such a risk is the deep fake technique, in which AI is used in the production of fake photographs and videos. The technique could be exploited by nation-state actors to spread disinformation. Cyber criminals can also use deep fake in identity fraud and spear phishiakeng (i.e. sending targeted and personalised e-mails in order to unlawfully obtain or hack into information).

Artificial intelligence can also be used in rapid and systematic searches for software vulnerabilities, with the aim of subsequently exploiting those vulnerabilities. On the other hand, AI also offers opportunities for cyber security. It can be used to help detect deep
fake products and other forms of disinformation, DDoS attacks and rogue websites. The possibilities for detecting software vulnerabilities can be used by software developers, thus preventing vulnerable software from entering the market.

Uncertainty and incomplete information are hampering cyber security policy. Various opinions and guidelines are circulating on the optimal investment level for cyber security and on what measures should be taken. Nevertheless, or precisely because of that, it is difficult for individual users and organisations to make informed decisions about which measures to take. This is partly due to the fact that existing opinions and guidelines are never an exact match for the situations of specific users and organisations, and partly due to a lack of information about the extent of cyber risks and their financial consequences. And finally, some of the consequences of inadequate cyber security may have an impact on third parties. This lack of information prevents users from determining the benefits of their investment in security. It also forms an obstacle for government policy: to what extent would it be desirable to stimulate private and public investment in cyber security? For cyber insurers, the lack of information means that premiums cannot be properly risk-based.

The fragmented landscape of initiatives on collaboration and education may hamper the provision of information. The government uses multiple channels to informs various target groups about cyber risks. In addition, it seeks to stimulate various public–private partnerships to encourage participants to share knowledge and experiences. In certain cases, these initiatives on collaboration and education may overlap. The risks of this type of fragmentation include those of target groups being less aware of where relevant information can be found, of initiatives duplicating each other’s work, and of important themes being left unaddressed.

Contacts

Photo of Bastiaan Overvest
Bastiaan Overvest +31 6 21358951 Read more
Photo of Marielle Non
Marielle Non +31 6 11048711 Read more
Milena Dinkova Read more
Photo of Ramy El-Dardiry
Ramy El-Dardiry +31 6 12986645 Read more
Photo of Rinske Windig
Rinske Windig +31 6 11078864 Read more

Read more about