Een recent IBM-rapport gaf aan dat de gemiddelde kosten van een datalek op zo'n 4 miljoen euro komen, tegen 3,8 miljoen in 2015. Er zijn ontelbare factoren die de kosten van een datalek beïnvloeden, en het is haast onmogelijk om de exacte kosten te voorspellen. Je kan wel een schatting maken, daar zijn diverse tools voor, maar geen enkele tool is perfect.

We hebben een aantal factoren voor je op een rijtje gezet waar je rekening mee moet houden als je de werkelijke kosten wilt berekenen van een eventueel datalek in jouw organisatie.

Locatie, munteenheid en bedrijfsgrootte

Zelfs simpele dingen als de wisselkoers van de munteenheid waarin je bedrijf rekent kan een impact hebben op de kosten van een infosec-incident. Het is wel goed om te weten dat als je een kleine onderneming bent die weinig of geen klantdata verzamelt de kosten van een datalek belangrijk lager zijn dan die van een groter bedrijf.

De soort data die je verliest

De soort data die gelekt wordt, is een van de belangrijkste factoren in de berekening van wat het je gaat kosten. Als je alleen e-mailadressen lekt, wordt het waarschijnlijk niet zo'n grote kostenpost als in het geval dat je persoonlijk identificeerbare informatie (PII) lekt, of gevoelige klantdata, betaalkaartinformatie of patiëntgegevens. Hoe gevoeliger de data is, des te kostbaarder zal het lek worden. Je kan bij het verliezen van betaalkaartgegevens aansprakelijk worden gesteld voor de navolgende financiële schade van de klanten, en bij het lekken van patiëntgegevens kan het leiden tot zware boetes van de toezichthouder.

De plek van het lek

Wat een grote rol speelt in het aantal databestanden die worden gelekt, is de plek waar het gebeurt, en dat heeft dus invloed op de kosten. Het kan bijvoorbeeld gebeuren dat een lek wordt veroorzaakt door een derde partij, die voor jou bepaalde taken uitvoert. In hetzelfde recente onderzoek kwam Ponemon Institute erachter dat lekken in dergelijke samenwerkingsverbanden het kostbaarst zijn.

Operationele kosten

Een beveiligingsincident kan je bedrijfsvoering vertragen, verstoren of zelfs stilleggen. Voor een winkelbedrijf zou dat betekenen dat je verkoopverliezen leidt, voor een dienstverlenend bedrijf is het een belemmering in het leveren van klantondersteuning.

De nasleep

Als een datalek is ontstaan bij een bedrijf, dan is dat het resultaat van slechte beveiliging, of slecht uitgevoerd beleid. Dat houdt in dat je vervolgens je investeringen in tijd, mensen en geld daarop moet gaan richten. Sommige hardware of software moet vervangen worden of je zal meer mensen moeten aannemen die verstand van zaken hebben - en die zijn niet goedkoop.

Onderzoekskosten

Als je een gespecialiseerd bedrijf moet inhuren om je datalek te onderzoeken - of zelfs de politie - dan gaan die diensten je tonnen kosten, afhankelijk van de grootte van de aanval.

Publieke opinie

Als mensen je diensten niet meer willen gebruiken of je producten willen kopen na een groot datalek dan komt je omzet, winst, aandelenkoers en merkreputatie in gevaar.

Rechtszaken

Je kan een rechtszaak verwachten na een datalek en de kosten daarvan worden aanmerkelijk vergroot naarmate er zich meer mensen aansluiten bij de zaak. Veel bedrijven proberen dan te schikken, maar ook dat is een kostbare zaak waarvoor je geld moet reserveren.

Bedrijfswaarde

Als je juist bezig was met een overname of fusie kan een datalek schadelijk zijn voor de waarde van je bedrijf. Zo kelderde de waarde van Yahoo na de bekendwording van het enorme datalek dat het bedrijf had getroffen. De overname door Verizon kwam zelfs op de tocht te staan.