Blog

De werkelijke kosten van een cyberaanval

Het berekenen van de werkelijke kosten van een cyberaanval is moeilijk. Geen enkele is hetzelfde. Toch rapporteren we hierover zo gedetailleerd mogelijk om een nauwkeurig beeld te geven van wat er gebeurt wanneer dit uw bedrijf overkomt.

Aug 12, 2024 • 9 min read

Simon Wijckmans Founder & CEO

Het berekenen van de werkelijke kosten van een cyberaanval is moeilijk. Geen enkele is hetzelfde en bedrijven reageren verschillend. Toch is het belangrijk om hierover zo gedetailleerd mogelijk te rapporteren om een nauwkeurig beeld te geven van wat er gebeurt wanneer dit uw bedrijf overkomt.

Het ondergaan van een aanval gaat meestal gepaard met zeer grote gevolgen. Het nemen van preventieve maatregelen moet een prioriteit zijn voor elk bedrijf dat zaken doet en gegevens online heeft.

Financiële kosten

Waarschijnlijk de meest voor de hand liggende reden waarom een bedrijf zich zorgen maakt over cyberaanvallen, zijn de financiële kosten die ermee gepaard gaan. We zullen dit zo gedetailleerd mogelijk bekijken, te beginnen met directe kosten.

Boetes en juridische kosten

Juridische kosten en boetes komen als eerste in gedachten. Regelgeving zoals GDPR, HIPAA, PCI DSS worden het vaakst geschonden, met forse boetes als gevolg.

In 2018 kreeg British Airways een boete van £183 miljoen, later verlaagd naar £20 miljoen. Lees dat volledige verhaal hier. En zeer recent schond Kaiser Permanente de HIPAA-regels, waarover we hier rapporteerden. In beide gevallen werden gebruikersgegevens geëxfiltreerd via de client-side, wat gezien en voorkomen had kunnen worden.

Maar Meta loopt momenteel voorop als het gaat om het vestigen van het boeterecord. In mei 2023 beboette de Ierse DPC Meta Ireland met €1,2 miljard voor het schenden van de GDPR. De boete heeft betrekking op gegevensoverdrachten van de EU/EER naar de VS zonder voldoende privacywaarborgen.

Nieuwsartikel over de AVG-boete van 1,2 miljard euro die de DPC oplegde aan Meta Ireland

Omzetverlies

Downtime tijdens een aanval kan bedrijfsactiviteiten stilleggen, wat leidt tot aanzienlijke omzetverliezen. IBM's Cost of a Data Breach Report 2023 ontdekte dat de gemiddelde kosten van een datalek $4,45 miljoen bedragen, waarbij verloren zaken het grootste deel van deze kosten vertegenwoordigen.

Dit aantal stijgt elk jaar met enkele honderdduizenden, en is slechts het gemiddelde.

In de recente Polyfill-aanval stopte Google met het tonen van advertenties op websites met het kwaadaardige script erop. Dit zette druk op de site-eigenaren door hun advertentie-inkomsten weg te nemen om hen te dwingen de scripts te verwijderen.

Google is now sending a warning about loading 3rd party JS from domains like polyfill.io bootcss.com bootcdn.net & staticfile.org that may do nasty things to your users if your site uses JS from these domains.

pic.twitter.com/EUVAgbFXJn

— Michal Špaček (@spazef0rze)

June 25, 2024

Onnodig te zeggen dat dit een geweldige reactie van Google was. Maar het beschadigde ook de advertentie-inkomsten van de site totdat ze actie ondernamen, wat een kostenpost was die ze leden.

Klantcompensatie

Wanneer klanten worden getroffen, spannen ze vaak terecht rechtszaken aan voor compensatie. In 2019 stemde Equifax in met een schikking van bijna $700 miljoen voor federale en staatsonderzoeken naar een datalek dat ongeveer 150 miljoen mensen trof, waarbij $425 miljoen van de schikking rechtstreeks naar de getroffen consumenten ging.

Reputatieschade

Reputatie is een onschatbaar bezit, en een cyberaanval beschadigt het vertrouwen ernstig. Negatieve mediaberichtgeving zet extra druk op bedrijven die een aanval en de nasleep ervan doormaken. Ook al boekte Marriott winst in 2018, het is redelijk om aan te nemen dat ze wat minder boekingen ontvingen na hun datalek in 2018 dat 500 miljoen gasten trof.

Of herinner je je nog toen Yahoo twee belangrijke datalekken bekendmaakte en hun overnameprijskaartje met $350 miljoen werd verlaagd.

We beschouwen vaak alleen de onmiddellijke impact, maar er is ook een langetermijnimpact. Het berekenen daarvan is bijna onmogelijk, maar het Cambridge Analytica-schandaal van 2018 dient als een perfect voorbeeld.

De nasleep van dit schandaal was enorm en haalde wekenlang wereldwijd het nieuws. Cambridge Analytica kondigde later aan dat het alle activiteiten zou staken omdat de reputatieschade zo ernstig was dat het vrijwel al zijn klanten en leveranciers wegjoeg.

Persquote over de stopzetting van Cambridge Analytica na reputatieschade

Operationele verstoring

Downtime is een ander onmiddellijk gevolg van een cyberaanval. De ransomware-aanval op Norsk Hydro in 2019 resulteerde in geschatte operationele verstoringskosten van $71 miljoen in alleen al de eerste week. In dat voorbeeld werden 35.000 medewerkers geconfronteerd met vergrendelde bestanden, servers en pc's. IT- en beveiligingsteams moeten hun focus verleggen en reageren op het datalek, waardoor andere projecten worden vertraagd. Vaak worden externe teams ingeschakeld om te helpen het probleem op te lossen, wat de kosten nog verder opdrijft.

Losgeld betalen

In datzelfde Norsk Hydro-voorbeeld lieten de aanvallers een briefje achter met de tekst:

"De uiteindelijke prijs hangt af van hoe snel u contact met ons opneemt." en verzochten om betaling in Bitcoin.

Losgeldbrief achtergelaten door aanvallers op de systemen van Norsk Hydro

Norsk Hydro koos er in plaats daarvan voor om hun gegevens te herstellen via vertrouwde back-upservers.

Maar het in Londen gevestigde vreemde valuta-wisselkantoor Travelex werd op oudejaarsavond 2019 het doelwit van de 'Sodinokibi' ransomware-groep. De aanvallers versleutelden de gegevens van Travelex en eisten aanvankelijk $6 miljoen.

Het readme-bestand dat op hun systemen werd achtergelaten zei:

"Het is gewoon zaken. We geven absoluut niets om u of uw details, behalve het verkrijgen van voordelen. Als we ons werk en onze verplichtingen niet doen – zal niemand met ons samenwerken. Dat is niet in ons belang. Als u niet samenwerkt met onze dienst – maakt het voor ons niet uit. Maar u zult uw tijd en uw gegevens verliezen, want alleen wij hebben de privésleutel. In de praktijk is tijd veel waardevoller dan geld."

Na onderhandelingen betaalden ze een losgeld van $2,3 miljoen om weer toegang te krijgen tot hun bestanden. De aanvallers gaven de sleutel om de versleuteling op te lossen, en Travelex hervatte de activiteiten.

Technologie- en infrastructuurupgrades

Nadat Royal Mail uit het VK in januari 2023 het doelwit werd van de 'LockBit' ransomware-groep, kreeg het bedrijf te maken met ernstige operationele verstoringen. De aanval trof met name hun Heathrow Worldwide Distribution Center, dat bijna alle post verwerkt die het VK binnenkomt en verlaat, wat resulteerde in chaos.

Om de aanval te verhelpen en hun beveiliging te versterken, besteedde Royal Mail in de volgende zes maanden ongeveer £10 miljoen aan het upgraden van hun infrastructuur na de aanval. Dit werd gerapporteerd als een jaarlijkse stijging van 5,6% in infrastructuurkosten voor het bedrijf.

Artikel over de stijging van 5,6% in de infrastructuurkosten van Royal Mail na de aanval

Aanvullende verborgen kosten

Naast de voor de hand liggende kosten die hierboven worden genoemd, verzuimen de meeste artikelen die rapporteren over de totale kosten na een cyberbeveiliging aanval bijna altijd het volgende te vermelden:

Verhoogde verzekeringspremies

Cyberverzekeringspremies kunnen aanzienlijk stijgen na een aanval. Volgens het Cyber Insurance Seeing Influx of Newcomers as Risk Awareness Grows rapport ervoer 77% van de ondervraagde respondenten jaarlijkse premiestijgingen, grotendeels gedreven door een toename van claims uit datalekken en andere cyberincidenten.

Verzekering betaalt niet uit

Hoewel het geen cyberaanval was, lijkt het recente Crowdstrike-debacle ook aanzienlijke verzekeringsproblemen te veroorzaken. Zij waren schuldig aan het veroorzaken van veel schade, maar omdat het geen cyberaanval was, zijn verzekeringsmaatschappijen terughoudend om uit te betalen.

If anybody is wondering where cyber insurance stands on CrowdStrike - I have friends at 3 different insurers, and they all say they won't cover the claims as they're outside the policy.— Kevin Beaumont (@GossiTheDog)

July 22, 2024

Deze verzekeringen zijn niet waterdicht, waardoor bedrijven in gevallen als deze met de rekening blijven zitten. Een rechtszaak is vrijwel zeker aanhangig om geleden kosten en verliezen op Crowdstrike te verhalen.

Langetermijnomzetverliezen

Klantverloop na een datalek kan leiden tot een langetermijndaling van de omzet. In de VS meldt PCI Pal dat 83% van de consumenten beweert dat ze enkele maanden zullen stoppen met uitgeven bij een bedrijf direct na een beveiligingslek, en ruim een vijfde (21%) van de consumenten beweert dat ze nooit meer naar een bedrijf zullen terugkeren na een datalek.

Daling aandelenkoers

Beursgenoteerde bedrijven zien vaak een daling van hun aandelenkoersen na een datalek. In oktober 2023 maakte Okta een datalek bekend dat, gekoppeld aan Okta's vertraagde reactie, leidde tot een opmerkelijke daling van hun aandelenkoers. Na de bekendmaking daalde de aandelenkoers van Okta met bijna 12% toen beleggers reageerden op het nieuws en de mogelijke langetermijngevolgen van herhaalde beveiligingsproblemen.

En om terug te komen op het Crowdstrike-voorbeeld, daalde het aandeel van Crowdstrike drastisch, waardoor miljoenen aan waarde op papier werden weggevaagd.

Grafiek van het CrowdStrike-aandeel met een scherpe daling na de storing van 2024

Relaties met leveranciers en partners

Hoewel gerapporteerde voorbeelden zeldzaam zijn, is het niet vergezocht om je voor te stellen dat partners en leveranciers op zoek gaan naar nieuwe mogelijkheden wanneer een bedrijf wordt aangevallen.

Opportuniteitskosten

Opportuniteitskosten ontstaan wanneer teams hun focus moeten verleggen om met het datalek om te gaan en te helpen het bedrijf na de aanval te beveiligen. Dit kost tijd van medewerkers en vaak extra middelen die innovatie en vooruitgang kunnen belemmeren, evenals gewoon de maandelijkse kosten van toegevoegde tools verhogen.

Diefstal van intellectueel eigendom

In 2011 verkreeg AMSC's grootste klant, Sinovel Wind Group, illegaal de broncode van AMSC voor windturbinesoftware. De rechtbank onderzocht deze kwestie en concludeerde:

"In plaats van AMSC te betalen voor meer dan $800 miljoen aan producten en diensten die het had afgesproken te kopen, bedacht Sinovel in plaats daarvan een plan om brutaalweg AMSC's eigendomsrechtelijke windturbinetechnologie te stelen, wat leidde tot het verlies van bijna 700 banen en meer dan $1 miljard aan aandeelhouderswaarde bij AMSC,"

De werkelijke kosten van een cyberaanval

Het berekenen van de werkelijke kosten van een cyberaanval is dus moeilijk, omdat elk incident en elke reactie verschilt. Maar het is cruciaal om het volledige plaatje te begrijpen dat verder gaat dan onmiddellijke financiële verliezen. De gevolgen van een cyberaanval kunnen verwoestend zijn en niet alleen de financiën treffen, maar ook de reputatie, activiteiten en levensvatbaarheid op lange termijn.

Om enig idee te krijgen van de werkelijke kosten, schat Accenture dat de kosten van cybercriminaliteit wereldwijd in 2025 $10,5 biljoen zullen bereiken. Het heeft ook een toename van 200% waargenomen in de mate van verstoring op dit gebied van 2017 tot 2022.

We denken dat het eerlijk is om te zeggen dat aandacht moet worden besteed aan cyberbeveiliging in de breedste zin van het woord.

Preventieve maatregelen moeten een topprioriteit zijn voor elk bedrijf. Daarom hebben we onze aanpak ontwikkeld om 0-day third-party scriptaanvallen te stoppen. Door de impact te begrijpen, hopen we dat dit dient als extra motivatie om potentiële problemen voor te blijven.

Wees niet het verhaal, u kunt vandaag nog gratis beginnen met cside.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Naast losgeld of herstel komen er reguleringsboetes, infrastructuuropbouw, hogere verzekeringspremies, weglopende klanten, partnerverlies, opportuniteitskosten en reputatieschade bij die jaren kan duren om te absorberen.

Ja. De infrastructuuruitgaven van Royal Mail stegen het jaar na de aanval 5,6%. Meta Ireland kreeg een AVG-boete van 1,2 miljard euro. Cambridge Analytica sloot volledig na de reputatieschade. Norsk Hydro verloor 71 miljoen dollar in de eerste week na hun ransomware-aanval.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over ongeautoriseerde pixels op goksites en GDPR-aansprakelijkheid

GDPR en online gokken: waarom niet-geautoriseerde pixels een dubbel aansprakelijkheidsprobleem creëren

Niet-geautoriseerde pixels op goksites creëren tegelijk GDPR-aansprakelijkheid en opschorting van advertentieaccounts, ook zonder installatie.

Hoe Bytespider te Blokkeren (TikToks AI-Crawler)

Bytespider crawlt uw site voor de AI-systemen van Bytedance. Leer hoe u het blokkeert met robots.txt en IP-bereiken, en de belangrijkste zorgen rond datasoevereiniteit.

Donkere blogomslag met drie methoden van kwaadaardige casinoscripts: browsergestuurde omleidingen, shadow GTM-containers met malafide tags en geo-gerichte mobiele payloads

Hoe kwaadaardige scripts de spelersreis in casino's kapen

Geïnjecteerde scripts leiden casinospelers om voor de lobby. Netwerkhulpmiddelen missen ze. Zo moet detectie werken.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over scriptbeveiliging voor gokoperators in APAC

Client-side scriptbeveiliging voor online gokoperators in APAC

Hoe APAC online gokoperators in Japan, Singapore, de Filipijnen en Australië scripts van derden monitoren via echte spelersessies.

Hoe Amazon Buy for Me op Uw Website te Blokkeren

Amazon Buy for Me winkelt voor Prime-gebruikers op uw site. Leer hoe het prijs- en productgegevens verzamelt en hoe detectie in de browserlaag u controle geeft.

Account takeover voorkomen: het complete playbook voor 2026

Het ATO-operationele playbook voor 2026: een end-to-end model voor login, herstel, sessie en post-auth verdediging tegen overnames door AI-agents en bots.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over gecompromitteerde affiliatescripts die casino-omzet stelen

Hoe gecompromitteerde affiliate scripts online casino-inkomsten stelen

Gecompromitteerde affiliate scripts leiden spelers om en stelen commissies op casinopagina's, onzichtbaar en op grote schaal.

Donkere blogomslag met drie aanvalsvectoren van browser extensions: omleidingen naar phishing-klonen, diefstal van sessietokens en herschrijving van betalingsvelden op DOM-niveau

Hoe browser extensions online casinospelers aanvallen: wat operators kunnen doen

Browser extensions kunnen sessietokens stelen en betalingen kapen op casinosites. Zo werken ze, waarom servers het missen en hoe u ze detecteert.

Hoe Door AI Aangedreven Aanmaak van Nepaccounts te Blokkeren

AI-agenten maken nepaccounts aan met mensachtig gedrag dat CAPTCHA verslaat. Leer de browserlaag-signalen die geautomatiseerde registraties onthullen.

Hoe CCBot (de AI-Crawler van Common Crawl) te Blokkeren

CCBot voedt de Common Crawl-datasets die worden gebruikt om GPT-3, BLOOM, LLaMA en veel andere AI-modellen te trainen. Leer hoe u het blokkeert en wat blokkeren daadwerkelijk doet.