Onverzekerde onveiligheid

Een miljard euro. Dat zijn naar schatting de jaarlijkse kosten voor computerbeveiliging van Nederlandse bedrijven en particulieren.

Een computervirus kan rampzalige gevolgen hebben voor een bedrijf. Het ontregelt het computernetwerk, werknemers kunnen geen gebruik maken van hun pc's en hangen het grootste deel van de dag bij de koffiemachine rond, of ze ruimen hun bureau eindelijk eens op. Is een bedrijf voor verkoop van producten volledig afhankelijk van de website, dan mist het inkomsten. En als het virus dan eenmaal onder controle is, moet alle geïnfecteerde hard- en software geschoond worden.

Toch zijn de gevolgen van een virusaanslag niet de grootste kostenpost voor het bedrijfsleven als het gaat om uitgaven die te maken hebben met computervirussen. Er wordt waarschijnlijk meer geld gestoken in de beveiliging tegen een virusaanval. Bedrijven zijn daar jaarlijks een aanzienlijk bedrag aan kwijt, zegt Edo Roos Lindgreen, hoogleraar IT en accountancy aan de Universiteit van Amsterdam. Maar, voegt hij hieraan toe, bedrijven zijn zich hier nauwelijks bewust van.

Roos Lindgreen heeft een sommetje gemaakt om inzicht te krijgen in de uitgaven van bedrijven aan viruspreventie. Hij is naast zijn hoogleraarschap aan de UvA werkzaam als partner bij accountantskantoor KPMG en houdt zich daar bezig met advies over ICT-toepassingen voor bedrijven. Met een van zijn klanten, een bedrijf met duizend computerwerkplekken, heeft hij de kosten voor virusbescherming doorgerekend. Deze gegevens heeft hij gebruikt als basis voor een berekening van de kosten in heel Nederland. Hierbij maakt hij gebruik van veel aannames, domweg omdat er geen concrete cijfers zijn.

De kosten voor preventie vallen uiteen in twee delen: kosten voor software en hardware en beheerskosten. Allereerst de beheerskosten. Bij een gemiddeld bedrijf met meer dan honderd werknemers zijn verschillende werknemers van de ICT-afdeling tijd kwijt aan virussen. Het gaat dan om installeren en actualiseren van antivirusproducten en het bijhouden van kennis op dit gebied. Daarnaast huren bedrijven regelmatig specialisten in voor viruspreventie. Bij het bedrijf waarmee Roos Lindgreen de kosten heeft berekend komt dit gefragmenteerde werk al snel neer op een volledige werkplek, verdeeld over meerdere werknemers. Hij schat dat het in Nederland in totaal om zo'n 5.000 fte's gaat, al is dit volgens hem zelf aan de lage kant. De kosten voor een volledige fte zijn moeilijk vast te stellen, maar deze zijn minimaal 60.000 euro als het gaat om eigen ICT-personeel en minimaal 100.000 euro voor ingehuurde expertise (à 500 euro per dag). Dit brengt de beheerskosten voor bedrijven en instellingen op 300 tot 500 miljoen euro.

De kosten voor software en hardware zijn lastiger vast te stellen. Antivirussoftware is er in verschillende soorten en maten, vaak toegesneden op het netwerk van een bedrijf. Bovendien zijn de kosten per werkplek bij een groot bedrijf lager dan bij een klein. Grofweg kan gesteld worden dat een midden- of kleinbedrijf (tot maximaal 100 werknemers) tussen de 35 en 75 euro per jaar per werkplek kwijt is aan antivirussoftware. Bedrijven met meer dan duizend werknemers komen al gauw op zo'n tien tot vijftien euro per werkplek per jaar uit. Als gemiddelde kosten per werkplek voor antivirussoftware neemt Roos Lindgreen 40 euro. De grote bedrijven betalen veel minder dan dat bedrag, maar er zijn in Nederland 546.000 bedrijven waar minder dan 50 mensen werken. Roos Lindgreen schat dat 3,5 miljoen werkplekken in Nederland een virusscanner moeten hebben. Veertig euro maal 3,5 miljoen maakt 140 miljoen euro. Ook dit is aan de lage kant. Het is bijvoorbeeld niet bekend hoeveel telewerkers een antiviruslicentie van het bedrijf gebruiken. En naast virusscanners hebben bedrijven vaak een firewall geïnstalleerd. Ook dit kost geld.

Dan zijn er nog de kosten voor extra hardware (servers) die de grotere bedrijven nodig hebben om attachments van e-mails in quarantaine te kunnen nemen om ze te controleren en ontsmetten. Het bedrijf uit het voorbeeld van Roos Lindgreen schat zijn kosten per jaar hiervoor op 10.000 euro. De hoogleraar denkt dat 5.000 grotere bedrijven in Nederland deze kosten maken. Dit maakt 50 miljoen euro.

Al deze verschillende kostenposten bij elkaar opgeteld levert een bedrag van tussen de 500 en 700 miljoen euro per jaar op voor het bedrijfsleven. In deze rekensom zijn niet de kosten meegenomen die een bedrijf aan het begin van het antivirustraject maakt, zoals onderzoek naar de noodzaak tot virusbescherming, de vergaderuren van de werkgroep implementatie antivirussoftware, de kosten voor extern advies en het installeren van de benodigde scanners.

Dan zijn er ook nog 4,5 miljoen thuiscomputers met internetaansluiting in Nederland; 80 procent hiervan is beschermd met antivirussoftware, maar de kosten hiervan zijn nauwelijks te calculeren. Sommige pakketten zijn gratis en er zijn illegale kopieën in omloop. Beter te schatten zijn de beheerskosten. Een particulier is twee of drie avonden per jaar bezig met actualiseren van de antivirussoftware en het bijstellen van zijn kennis van virussen, bijvoorbeeld door lezing van deze bijlage. In totaal komt dat uit op één werkdag per particuliere computer. Om de kosten hiervan te berekenen gaat Roos Lindgreen ervan uit dat een particuliere werkdag ongeveer honderd euro kost, totaal aan particuliere beheerskosten: 450 miljoen euro. Nog zonder alle kosten voor de aanschaf en downloadtijd van antivirussoftware. Tel dit op bij de kosten voor het bedrijfsleven en virusprotectie kost de samenleving minimaal één miljard euro. Allemaal op basis van aannames, geeft de hoogleraar toe. ,,Maar het zijn voorzichtige schattingen. En ik vrees dat het sommetje wel klopt.''

Ondanks al deze preventieve maatregelen slaat een virus soms toe. Dan kunnen de kosten voor een bedrijf snel oplopen. Medewerkers van de ICT-afdeling maken overuren, het bedrijfsnetwerk komt plat te liggen, werknemers moeten hun tijd anders besteden. Het maken van een goede schatting van deze schade is haast ondoenlijk, zegt Eddie Michiels, werkzaam bij Ernst & Young en hoogleraar beveiliging van telematicasystemen aan de Universiteit Twente. ,,Er wordt allerlei onderzoek gedaan naar beveiligingsincidenten, maar bedrijven zijn niet scheutig met het verstrekken van gegevens. Ze zijn bang voor imagoschade.'' De Monitor Internetbeveiliging 2003, die Roos Lindgreen in opdracht van het ministerie van Economische Zaken mede opstelde, gaat uit van een totale schade in Nederland als gevolg van `beveiligingsincidenten' van één miljard euro. Eén op de vier organisaties had vorig jaar last van een `ernstig beveiligingsincident', bij driekwart van deze gevallen was een virus de oorzaak. Andere oorzaken waren spam, uitval van systemen en diefstal van IT-apparatuur. Bedrijven kunnen zich niet verzekeren tegen de schade die een virus aanricht in een bedrijf, zegt een woordvoerder van het Verbond van Verzekeraars. Het is een ondernemersrisico.

Het midden- en kleinbedrijf is volgens Roos Lindgreen de meest kwetsbare groep in de hele schakel. ,,Het midden- en kleinbedrijf investeert vaak niet genoeg in beveiliging. De notaris, de tandarts en de slager op de hoek, maar ook het reclamebureau waar tien mensen werken, hebben vaak te weinig verstand van computers. En ze hebben meestal geen tijd om hun software up-to-date te houden. Onderhoud van het netwerk doen ze er een beetje bij.''

    • Peter Leijten