Wat kost een datalek?

De grote dataroof bij Sony PSN heeft ongekende reacties teweeggebracht. Nooit eerder is er door de geschreven pers en tv programma’s zoveel aandacht besteed aan de schade die is ontstaan door het inbreken op computersystemen. De ophef is begrijpelijk, want gegevens van – naar schatting – 100 miljoen mensen wereldwijd zijn in handen gekomen van cybercriminelen. En alsof dat nog niet erg genoeg is heeft Sony veel te lang gewacht met het bekend maken van het incident en de omvang, waardoor klanten lang moesten gissen naar de impact.

Dit lekken van data gaat geld kosten en de vraag is welk prijskaartje hieraan gehangen gaat worden. De pers is uiteraard vol op dit aspect van de zaak gesprongen en bedragen gaan melden die nog niet te verifiëren zijn.

Directe schade
Ook al zijn er de afgelopen jaren wereldwijd vele datalekken geconstateerd en opgelost, de kosten ervan blijven moeilijk in te schatten. Het is namelijk een complexe berekening, waarbij het om meer gaat dan alleen een database opnieuw opbouwen en de klanten nieuwe usernames en wachtwoorden verstrekken. Zeker waar persoonlijke data is gelekt, waarmee ID-diefstal of fraude kan worden gepleegd is de impact voor de klant in potentie veel groter. De mogelijke schade die door misbruik van creditcard of andere betaalgegevens kan ontstaan is in de regel niet eens te begroten. Daarbij komt, dat de banken die ongewild betrokken raken bij deze affaires geen belang hebben de herstel –en compensatieprocedures aan de grote klok te hangen. Dit zal namelijk negatieve effecten  hebben, omdat elke uitleg de cybercriminelen op weg helpt de volgende kraak nog slimmer te doen. In de VS zijn overigens wel diverse rechterlijke uitspraken gedaan over de compensatie van individuele gedupeerden, maar of die bedragen ooit in Europa worden toegekend is zeer de vraag.

Indirecte schade
Daarnaast geeft het een onvolledig beeld, want een datalek veroorzaakt ook indirecte schade. Uiteraard is de reputatie van het bedrijf in het geding en niet zelden worden daarbij ook de toeleveranciers betrokken. Met name die laatste categorie kan flink in de problemen komen als gevolg van een datalek. De hoster die een patch niet tijdig installeerde zal zonder meer aansprakelijk worden gesteld. Door zijn falen is de kans eveneens aanwezig dat enkele van zijn klanten de contracten niet zullen of zelfs mogen verlengen. Ook lager in de keten kan de schade nog speurbaar zijn. Bekend is dat bij eerdere gevallen extern personeel van de hoster of het datacenter in enkele gevallen wegens verzaken de deur is gewezen. In alle gevallen is het te hopen dat de betrokkenen over een correcte verzekering beschikken of op een andere wijze in staat zijn de geclaimde schade te compenseren.

Meldingsplicht
De kans dat dergelijke voorvallen discreet kunnen worden opgelost is kleiner dan gedacht. Ten eerste is de pers altijd geïnteresseerd in dit soort voorvallen en ook de kans dat gedupeerde klanten zich stil zullen houden is gering. Daarnaast wordt er gewerkt aan wetgeving die het melden van datalekken verplicht stelt. Voor het Nederlandse wetsvoorstel is overigens lange tijd door organisaties als Bits of Freedom gepleit.

Cijfers
Nog voor de recent gevallen van datalekken bekend werden presenteerde Symantec in de VS en Duitsland uitkomsten van een jaarlijks onderzoek gehouden door het Ponemon Institute. Centraal stond de vraag wat de kosten van een “data breach” zijn. De uitkomst laat weinig ruimte voor optimisme. In beide landen zijn de gemiddelde operationele kosten van datalekken afgelopen jaar verder opgelopen. In de VS bedroegen die per lek in 2010  $7,2 miljoen en in Duitsland €3,4 miljoen. Deze bedragen zijn nog exclusief de kosten die de getroffen onderneming moet maken om het imago weer op peil te brengen. Het eventuele verlies van beurswaarde is niet meegerekend. De kosten per verloren record (individuele klant gegevens)  bedragen $214 in de VS en €138 in Duitsland.

A propos verlies van data, voor de Duitse markt gold dat in 2010 even veel data werd gelekt door het verlies van fysieke dragers (usbsticks, laptops en dergelijke) als door het onbevoegd toegang verschaffen tot servers. Voor de uiteindelijke schade maakt dat weinig uit, want een datalek is in elk opzicht onacceptabel duur.


Rashid Niamat is sinds 2007 zelfstandig adviseur in strategieontwikkeling, implementatievraagstukken en communicatie trajecten rond e-activiteiten en samenwerkingen. Rashid houdt trouw een boeiend weblog bij over de internetmarkt.