Het is vaak onduidelijk wat de financiële én maatschappelijke gevolgen van digitale aanvallen en spionage zijn. Daardoor kan het investeringsniveau te hoog of te laag zijn, zo staat in de Risicorapportage cyberveiligheid economie 2019, die het Centraal Planbureau (CPB) donderdag publiceerde.

De onduidelijkheid wordt veroorzaakt doordat organisaties niet iedere aanval opmerken, niet iedere aanval publiek bekend willen maken en niet altijd kunnen inschatten wat de gevolgen zijn van een aanval op de lange termijn. Bedrijven en overheid hebben daardoor een onvolledig beeld van de kosten en baten van investeringen in cyberveiligheid. Hoewel bedrijven meer maatregelen nemen om hun ICT te beschermen, lijken de risico’s op maatschappelijke schade door cyberincidenten in de toekomst te stijgen door toenemende digitalisering.

Overheid
Het is volgens het CPB onduidelijk welke maatregelen vanuit de overheid effectief zijn om de cyberveiligheid te waarborgen. Dit probleem doet zich bijvoorbeeld voor bij de borging van de veiligheid van vitale processen. Door de toenemende digitalisering en de verknoping tussen vitale processen (zoals de drinkwatervoorziening en de luchtverkeersleiding) en andere ‘niet-vitale’ processen (zoals hostingbedrijven of softwareleveranciers) is het onderscheid tussen die twee typen processen steeds moeilijker te maken. Een ander voorbeeld is de overheidsvoorlichting over cyberveiligheid. De effectiviteit hiervan is onbekend en doordat er meerdere voorlichtingskanalen naast elkaar bestaan, bestaat het risico op versnippering.

Verzekeringsmarkt
Het gebrek aan goed inzicht in cyberrisico’s vormt ten slotte een belemmering voor de verdere ontwikkeling van een verzekeringsmarkt. Zonder betrouwbare gegevens over risico’s kunnen verzekeraars geen risico-gebaseerde premie aanbieden en kunnen bedrijven geen cyberverzekering afsluiten.

Het rapport is hier te downloaden.