’Schade Ddos-aanval sterk overdreven’

Dat voorstel deed Bernold Nieuwesteeg, gepromoveerd op onderzoek naar uitgaven aan cyberbeveiliging bij de Erasmus School of Law, zaterdag bij het radioprogramma van Jort Kelder op Radio 1.

„De enige partijen die informatie in de markt brengen zijn de leveranciers van softwarebeveiliging”, zegt de expert aan de Erasmus Universiteit. ,,We missen een zorgautoriteit, een tegengewicht”, stelde hij bij Kelder & Co.

De recente schade van de cyberaanvallen werd afgelopen jaren op tientallen miljarden gezet, de schattingen lopen sterk uiteen.

’Nonsens’

,,Dat blijkt vaak nonsens te zijn, het is hooguit 1 a 2 procent”, aldus Nieuwesteeg na zijn onderzoek.

Bedrijven investeren vervolgens fors in hun beveiliging. Het is niet objectief te verifiëren of al dat geld goed besteed is. „We weten niets van de return on investment”, aldus de promovendus in het programma.

Bedrijven, wetenschappers en overheid zouden veel vaker hun kennis moeten delen, niet alleen om aanvallen sneller te bestrijden maar ook omdat de effectiviteit te controleren is.

Prikkel

Aanvallen van hackers op het netwerk voor internetbankieren legden het betalingsverkeer plat. Toen was er wel een prikkel om de schade te minimaliseren, stelde hij. De drie grootbanken kwamen snel tot afspraken. Die ervaring blijkt echter niet snel te verplaatsen naar andere sectoren.

De overheid dreigt dit jaar met boetes, oplopend tot 4% van de jaaromzet, als bedrijven hun beveiliging van persoonsgegevens van klanten niet op orde hebben.

Die boetedreiging leidt tot de houding om precies de uitgevaardigde regeltjes te volgen, zodat toezichthouders bedrijven niet kunnen aanpakken. Nieuwesteeg bij Kelder & Co: ,,Maar dat gedrag gaat eraan voorbij aan de vraag of het wel werkt.”