Cyberrisico in euro's

Cyberrisico in euro's is een kansgewogen verwachte verliesexposure: een bedrag dat uitdrukt hoe vaak een verliesgebeurtenis naar verwachting optreedt en hoeveel die dan kost, met een eerlijke bandbreedte eromheen. Het is geen gevoel, geen kleurcode, geen volwassenheidsscore. Het is een cardinale grootheid in dezelfde eenheid waarin de rest van de strategie wordt gewogen, en daarmee de enige vorm waarin cyberrisico bestuurlijk vergelijkbaar wordt met kredietrisico, marktrisico en operationeel risico. Wie cyber niet in die eenheid kan zetten, kan er ook geen kapitaal op alloceren.

Dit stuk legt uit waarom dat zo zelden gebeurt, hoe je het wel doet, en welke open methoden je daarbij helpen zonder dat je vastloopt in een product. Het is bedoeld voor de CFO die intern het gesprek voert met zijn CISO en met zijn board, en die straks zelf moet kunnen verdedigen waarom een bedrag wel of geen geld waard is.

Waarom blijft cyberrisico in technische taal?

Het antwoord is even simpel als hardnekkig: omdat de kant die het werk doet en de kant die het geld toewijst niet dezelfde eenheid gebruiken. De securityfunctie rapporteert in heatmaps, in volwassenheidsniveaus, in dreigingsstellingen en in patches. Finance stuurt op verwachte kasstromen, op risk-adjusted return, op verwachte verliezen. Dat verschil is niet onschuldig. Het betekent dat de board op cyber feitelijk een ordinale weging krijgt voorgelegd, terwijl al het andere op de risk register cardinaal wordt afgewogen. Een investering vergelijken met een andere investering wordt daarmee onmogelijk: hoog tegenover hoog, geel tegenover geel, het zegt niets over de keuze die je maakt.

Er is een tweede reden, en die ligt aan de adviesmarkt zelf. Een groot deel van wat zich aandient als kwantificering is in praktijk een verkoopverhaal voor een tool of een dienst, en de uitkomst is dan zo geconstrueerd dat de eigen oplossing er goed uitkomt. Dat is precies waar de CFO op toetst als hij budget uitgeeft, en het is precies waar de geloofwaardigheid het snelst breekt. Kwantificering is een gemeenschappelijke taal tussen CFO en CISO, niet een toolaanschaf. Wie het frame omdraait, koopt een rapport en houdt het probleem.

Een derde reden is meer praktisch. Een verdedigbaar getal vraagt invoer die niet altijd voorhanden is: incidentfrequenties, omzetafhankelijkheid van systemen, hersteltijden, contractuele exposures. Veel organisaties hebben dat niet uit de kast klaar. Dat is geen reden om het niet te doen, het is een reden om ergens te beginnen. Een bereik met een eerlijke bandbreedte is altijd sterker dan een schijnprecies enkel getal en altijd sterker dan een kleur op een matrix.

Hoe vertaal je een risico naar een bedrag dat een CFO erkent?

De vertaling is geen kunststuk, het is een rekenmodel-categorie die je op drie variabelen rust. Een verliesscenario heeft een frequentie (hoe vaak treedt het naar verwachting per jaar op), een omvang (hoeveel kost het dan, met directe schade, herstelkosten, omzetderving, contractuele boetes en aansprakelijkheid) en een bandbreedte (de waarschijnlijkheidsverdeling rond beide). Het product van frequentie en omvang, uitgedrukt als verwacht jaarlijks verlies met een waarschijnlijkheidsbereik, is de grootheid waar finance op stuurt. Het is dezelfde wiskunde die je in kredietrisico en in operationeel risico gebruikt, alleen toegepast op een ander type gebeurtenis.

In drie stappen wordt het concreet.

Definieer het scenario, niet de dreiging. Niet "ransomware in het algemeen", maar "een ransomware-incident dat onze ERP-productieomgeving voor zoveel werkdagen platlegt". Een scenario heeft een duidelijk begin, een duidelijk eind, en een duidelijk geraakt bedrijfsonderdeel. Pas dan kun je het rekenen. Een dreigingscategorie zonder afgebakend scenario laat zich niet vertalen, en is waarschijnlijk de reden dat eerdere pogingen in een matrix bleven hangen.

Schat frequentie en omvang als bereik. Frequentie hoeft niet exact: een onderbouwde schatting van "tussen één keer per drie jaar en één keer per acht jaar" is bruikbaarder dan een hard getal dat niemand kan dragen. Omvang vraagt een combinatie van directe kosten (forensisch onderzoek, herstel, juridisch), tweede-orde kosten (omzetderving, boetes, schadeclaims, premieverhoging) en lange-staart kosten (klantverloop, reputatie, contractuele consequenties). Stel dat een uitval van een kernsysteem acht uur duurt en de dagomzet die daaraan hangt is X, dan is de derving-component van die acht uur een rekenwaarde, niet een gevoel.

Reken het uit als verwacht jaarlijks verlies, met bandbreedte. Vermenigvuldig frequentie met omvang en presenteer het resultaat als een verwacht jaarlijks verlies binnen een interval, bijvoorbeeld "met circa 80% waarschijnlijkheid ligt het jaarlijkse verlies uit dit scenario tussen bedrag A en bedrag B". Dit is wat in vakliteratuur annual loss exposure of annual loss expectancy heet. Het belangrijke aan dit getal is niet de schijnprecisie, het is de eenheid: euro's, jaar, kans. Daarmee kun je vergelijken, prioriteren en alloceren.

Wat dit oplevert is geen voorspelling. Een CFO weet net zo goed als een actuaris dat een bereik geen toekomstgarantie is. Wat het oplevert is een verdedigbare maatlat: een manier om twee maatregelen tegen elkaar af te wegen op risk-adjusted return, om een verzekeringspolis te beoordelen op wat hij wel en niet afdekt, en om aan de board te laten zien wat de beweging is van een investering ("deze stap verlaagt het verwachte jaarlijkse verlies van X naar Y, en zo werkt dat"). Risicoreductie, niet risico-eliminatie. Dat is de eerlijke claim die overeind blijft.

Welke open methoden geven dit bedrag gezag?

Het gezag van een bedrag komt niet van de partij die het uitrekent. Het komt van de methode waarop het rust. Vier open kaders worden in vakliteratuur consequent genoemd, en de CFO doet er goed aan ze bij naam te kennen, zodat hij in een board-zitting kan zeggen waar zijn cijfer vandaan komt.

NIST SP 800-30, de Amerikaanse federale richtlijn voor risk assessment van informatiesystemen, beschrijft de gestructureerde manier om bedreigingen, kwetsbaarheden, kans en impact in een risico-uitspraak om te zetten. De richtlijn is open, vrij beschikbaar en wereldwijd referentiemateriaal. Het is geen rekenmodel op zichzelf, het is het kader waaronder een rekenmodel past, en het maakt de risico-uitspraken navolgbaar voor wie ze later toetst.

FAIR, Factor Analysis of Information Risk, is de meest gangbare open standaard die het rekenmodel zelf invult. FAIR is genormeerd door The Open Group als O-RT (Risk Taxonomy) en O-RA (Risk Analysis). De kern is precies de drie variabelen hierboven: frequentie van verliesgebeurtenissen, omvang van het verlies, en de waarschijnlijkheidsverdeling waarin beide worden uitgedrukt. FAIR is geen product. Het is een methode, en de specificatie is publiek. Een adviseur die zegt dat hij FAIR doet, doet iets wat je kunt natrekken.

ISO 27005, de internationale norm voor informatiebeveiligingsrisicobeheer, geeft de organisatie-context waarin het rekenmodel werkt: hoe risicobeheer aansluit op het bredere managementsysteem, hoe je tot risicocriteria komt, en hoe je behandeling en monitoring inricht. Voor een CFO is dit het document dat de governance om het bedrag heen legt: niet alleen het getal, maar ook wie het mag goedkeuren en hoe vaak het wordt herzien.

DNB-publicaties over risicobeheer, met name de Good Practice Informatiebeveiliging en de toezichtsbrieven onder DORA, leggen voor financiële instellingen de Nederlandse context vast. DNB verwacht dat het ICT-risicobeheerskader formeel door het bestuur wordt goedgekeurd, dat het risico in bestuurlijke termen wordt gerapporteerd, en dat de bestuurders zich kunnen verantwoorden over de afweging. Voor de Nederlandse CFO is dit geen externe referentie, dit is zijn toezichthouder.

Wie zijn bedrag op deze vier kaders bouwt, heeft een verhaal dat standhoudt. Niet omdat het cijfer onaantastbaar is, maar omdat de redenering openbaar toetsbaar is.

Wat dit betekent voor het gesprek met je board

De winst van cyberrisico in euro's is bestuurlijk, niet technisch. Drie effecten op rij.

Eén, de board krijgt eindelijk een afweging op zijn eigen tafel. Niet "doen we genoeg aan cyber", maar "we verlagen het verwachte jaarlijkse verlies uit dit scenario met dit bedrag, voor deze kosten, met dit restrisico". Dat is een beslisvraag die een board kent. "Approve or feel guilty" verdwijnt, en in plaats daarvan komen twee of drie scenario's met een eerlijke bandbreedte. Dat is wat goed bestuur eruit haalt en wat de toezichthouder van een zorgvuldige afweging verwacht.

Twee, de verzekeringsbeslissing wordt scherper. Een polis die een deel van het verwachte verlies dekt, kun je nu beoordelen op wat hij feitelijk afdekt en wat hij overlaat. De lange staart die zelden in een polis valt (reputatieschade, klantverloop, contractuele consequenties bij ketenpartners) wordt zichtbaar als eigen risico in euro's, en daarmee als zelfstandige post in de afweging. Het is dezelfde discipline waarmee finance al naar marktrisico en kredietrisico kijkt.

Drie, de verhouding met je CISO verandert. Niet doordat hij in andere taal gaat praten, maar doordat jullie een gedeelde maatlat hebben. Een investeringsverzoek dat in volwassenheidspunten was gesteld, komt nu binnen als een verwachte risicoreductie in euro's per jaar, met een investering ertegenover en een restrisico dat expliciet is benoemd. Dat is geen marketing. Dat is hoe finance en risico in de rest van de organisatie al werken, eindelijk doorgetrokken naar cyber.

De vraag is daarmee niet of je kwantificeert, maar of je het verdedigbaar doet. Schijnprecisie is een breekpunt, een bereik met een eerlijke bandbreedte is een fundament. De methode is open, de eenheid is bekend, de toezichthouder verwacht een navolgbare afweging. Wat ontbreekt is meestal niet kennis, het is de discipline om twee of drie scenario's eerlijk door te rekenen en het resultaat te durven voorleggen.

Wie deze beweging maakt, zet de eerste echte stap die de board en de CFO van cyber wilden zien sinds het onderwerp op hun agenda kwam. Niet harder schreeuwen over de dreiging. Niet een nieuwe matrix. Een bedrag, in dezelfde eenheid, met de bandbreedte erbij, en de methode erachter die ieder kan natrekken. Dat is hoe je cyberrisico uitdrukt in de taal van finance.