Schade bepalen van een cyberincident

Ondanks de goede voorbereiding en de maatregelen die je hebt getroffen kun je helaas nog steeds slachtoffer worden van een incident. De schade bepalen van een incident is complex. Niet alleen zal je te maken hebben met directe kosten, maar ook met indirecte kosten. Daarbij is niet alle schade altijd direct vast te stellen, laat staan de hoogte hiervan. Dit kan zijn omdat de gevolgen pas op termijn zichtbaar worden. Bij eventuele reputatieschade kan het zijn dat je na een incident structureel minder bestellingen of opdrachten krijgt. Hieronder vind je een aantal punten waar je aan moet denken bij het bepalen van je schade.

 

Welke elementen bepalen de kosten van een incident?

De bepaling van de schade in kosten kan je onderverdelen in grofweg de volgende categorieën:

  • Directe en indirecte kosten van een incident;
  • Directe en indirecte kosten van herstel.

Deze lijst is niet uitputtend. In jouw sector, branche of bedrijf kunnen bepaalde elementen niet van toepassing zijn en andere elementen juist zorgen voor additionele schade en kosten:

 

Directe kosten van het incident

  • Kosten die je maakt om je klanten en leveranciers te informeren;
  • Verlies aan (productie-)uren voor je bedrijf;
  • Omzetverlies doordat je verkoop van producten of diensten stil ligt;
  • Kosten voor crisismanagement en calamiteitenbeheersing.

 

Indirecte kosten van het incident

  • Reputatieschade, klanten en leveranciers kunnen naar een ander bedrijf gaan omdat ze minder vertrouwen hebben in jouw bedrijf;
  • Kosten die je maakt om de pers en andere belanghebbenden te woord te staan;
  • Boetes van een toezichthouder of autoriteit, bijvoorbeeld een mogelijke boete van de Autoriteit Persoonsgegevens in het geval van een datalek;
  • Schadevergoedingen die je moet betalen omdat je (contractuele) verplichtingen niet kan nakomen;
  • Verlies van concurrentiegevoelige informatie die anderen kunnen gebruiken, zoals prijzen, contracten en offertes.

 

Directe kosten van herstel

  • Kosten die je maakt voor de inhuur van specialisten om jouw omgeving weer beschikbaar maken;
  • Kosten van nieuwe software of hardware indien dit nodig is voor herstel;
  • Tijd die je investeert in het opnieuw opbouwen van de inhoud van je systemen en administratie.

 

Indirecte kosten van herstel

  • Opnieuw opbouwen van jouw bedrijfsreputatie bij klanten, leveranciers en derden;
  • Training van medewerkers in veilig gebruik van de herstelde, of nieuw gebouwde omgeving.

Uiteraard is het voorafgaand aan een incident lastig de schade vast te stellen. Met bovenstaande punten krijg je hier in ieder geval een beter beeld van.

Het inventariseren van je kwetsbaarheden is belangrijk. Je krijgt daarmee goed inzicht in welke risico's je loopt en welke maatregelen je moet nemen om risico's te beheersen.