De werkelijke kosten van downtime

Wat gebeurt er als een grote organisatie te maken krijgt met DDoS-aanvallen, softwarestoringen of zelfs een bedrijfsbrede hack? Hoewel de directe kosten van ongeplande downtime gemakkelijk zichtbaar zijn, moeten organisaties de indirecte of verborgen kosten van digitale storingen niet onderschatten. Daarom is het belangrijk om voorbereid te zijn op het onverwachte, in plaats van alle aandacht te richten op het voorkomen van ongeplande downtime.

Ongeplande uitval

Vorige maand bracht Netflix een documentaireserie uit over het datalek bij Ashley Madison. Deze commerciële datingwebsite, gericht op het mogelijk maken van buitenechtelijke affaires, werd gesloten nadat een onbekende persoon of groep genaamd ‘The Impact Team’ dreigde de identiteit van de gebruikers van de website bloot te geven.

De eigenaren van de website gaven niet toe, waardoor het zogenaamde Impact Team meer dan 60 gigabyte aan bedrijfsgegevens vrijgaf, waaronder de echte namen van de gebruikers, huisadressen, zoekgeschiedenis en chats. Beveiligingsonderzoekers vonden slechte beveiliging in de broncode van de website, samen met verzonnen cyberbeveiligingscertificaten. Bovendien kwam het bedrag van 19 dollar dat gebruikers betaalden om hun gegevens volledig te wissen direct ten goede aan de winst van het bedrijf – zonder dat er daadwerkelijk gegevens werden gewist.

Na de hack ging de website weer live – en volgens een rapport uit 2020 is de website nog steeds operationeel met meer dan 70 miljoen leden. Of de Ashley Madison-hack op de lange termijn nadelig was voor het bedrijf, valt dus te betwisten. Ongetwijfeld was het desastreus voor de gebruikers van wie de gegevens voor iedereen toegankelijk werden gepubliceerd.

Kosten van downtime

Ashley Madison mag dan een extreem geval zijn, het laat zien dat ongeplande downtime een groot aantal gevolgen heeft – zowel direct in de vorm van gederfde inkomsten, als indirect in de vorm van aantasting van de merkreputatie, verminderde aandeelhouderswaarde en vertraagde time-to-market. En ongeplande downtime is geen zeldzaamheid: jaarlijks verliezen Global 2000-bedrijven 400 miljard dollar, oftewel 9 procent van de winst, wanneer digitale omgevingen onverwacht uitvallen, zo meldt Splunk in zijn recente rapport The Hidden Costs of Downtime.

Het is geen verrassing dat inkomstenverlies de grootste kostenpost is. Volgens het rapport werd het verlies aan inkomsten als gevolg van downtime berekend op 49 miljoen dollar per jaar en kan het 75 dagen duren voordat die inkomsten zijn hersteld. De op een na grootste kostenpost wordt gevormd door boetes van regelgevende instanties, gemiddeld 22 miljoen per jaar, terwijl boetes voor het niet nakomen van SLA’s op de derde plaats komen met 16 miljoen.

Cyberaanvallen slokken ook budgetten op. Bij een ransomware-aanval adviseerde 67 procent van de ondervraagde CFO’s hun CEO en raad van bestuur om te betalen, hetzij rechtstreeks aan de dader, via de verzekering, een derde partij of alle drie. De combinatie van betalingen voor ransomware en afpersing kost jaarlijks 19 miljoen dollar.

Dit zorgt er ook voor dat innovatie wordt vertraagd: 74 procent van de ondervraagde technologie-executives ervaart een vertraagde time-to-market en 64 procent ervaart een stagnerende productiviteit van ontwikkelaars. Na ongeplande downtime moesten teams overschakelen van hoogwaardig werk naar het toepassen van softwarepatches en het deelnemen aan postmortems, wat leidde tot productiviteitsverlies.

Hersteltijd

Volgens het rapport bedragen de kosten van downtime in Europa 198 miljoen dollar. Door strengere regels voor toezicht op het personeel en cyberregulering betaalden Europese organisaties meer dan Amerikaanse organisaties aan overuren (12 miljoen dollar) en aan het herstellen van back-ups (9 miljoen). Geografie bepaalt ook hoe snel een organisatie financieel herstelt na een incident, zo blijkt uit het rapport: Europa en APAC hebben de langste hersteltijden, terwijl bedrijven in Afrika en het Midden-Oosten het snelst herstellen.

Dit maakt duidelijk dat CISO’s zich niet alleen moeten richten op het voorkomen van ongeplande downtime, maar ook op het verkorten van de hersteltijd. Wees voorbereid op het onverwachte: dit bespaart niet alleen aanzienlijke inkomstenderving, maar geeft de organisatie ook minder ongewenste media-aandacht en een betere klantervaring, waardoor je iets beter beschermd bent tegen die verborgen kosten.

Gerelateerde artikelen

Rapport: kwart cyberaanvallen gericht op OT-systemen

Rapport: kwart cyberaanvallen gericht op OT-systemen

Ofschoon bedrijven met OT vorderingen maken op het gebied van cybervolwassenheid, hebben ze met een snel groeiende hoeveelheid aanvallen te maken. Bijna een kwart van alle cyberaanvallen is nu op OT-ststemen gericht.

Jeroen Schipper (Gemeente Den Haag) is 
CISO of the Year 2024

Jeroen Schipper (Gemeente Den Haag) is 
CISO of the Year 2024

Jeroen Schipper, CISO bij de Gemeente Den Haag, heeft gisteravond de CISO of the Year 2024 Award gewonnen. Hij dankt de prijs aan zijn transformationele rol en zijn holistische en inclusieve benadering van cybersecurity. Ook zijn bijdragen aan de professionalisering van het CISO-vak en zijn rol als actieve vertegenwoordiger van de stad Den Haag op cybersecurity-gebied zijn meegewogen.

Zero trust: hoe maak ik het concreet?

Zero trust: hoe maak ik het concreet?

Jaarlijks zijn er tal van onderzoek- en adviesbureaus met allerlei overzichten van strategische trends in IT en cybersecurity. Steevast is zero trust onderdeel van deze lijstjes, met over het algemeen een toelichting in de trant van ‘vertrouw niets zomaar, maar verifieer. Maar wat moet je hier nu concreet mee als CIO, CISO of IT-manager?