Hoe werkt de CyberRisk?
De CyberRisk wordt binnen de Website Security Check, NetCaptain en WebShepherd getoond bij alle systemen en is bedoeld om aan te geven hoe (on)veilig een systeem is. Het is goed om te beseffen dat er niet over een veilig systeem gesproken kan worden wanneer de CyberRisk onder een bepaalde waarde is. Wel kan er over het algemeen gezegd worden dat wanneer de CyberRisk is toegenomen, de kans op misbruik toeneemt. De CyberRisk helpt om te bepalen of het de goede kant op gaat qua beveiliging. Hoe lager de CyberRisk, hoe lager het risico.
Hoe wordt de CyberRisk berekend?
De minimum score van een CyberRisk is 100. Dit geeft aan dat er altijd een risico is, zelfs als alle bevindingen zijn opgelost. Het kan namelijk zijn dat er kwetsbaarheden in het systeem zitten die nog niet ontdekt zijn. De score van de CyberRisk wordt als volgt bepaald: er wordt gekeken naar de openstaande kwetsbaarheden; lage bevindingen tellen één keer mee, medium bevindingen drie keer, hoge bevindingen twaalf keer en kritieke bevindingen vijftien keer. Opgeloste bevindingen tellen uiteraard niet mee.
Binnen NetCaptain is het mogelijk om aan te geven of een systeem internet facing is (bijvoorbeeld een website). In dat geval wordt de score met 20% verhoogd. Servers waar hackers direct bij kunnen lopen een groter risico om aangevallen te worden. Bij de Website Security Check en WebShepherd wordt deze bonus standaard meegerekend omdat websites per definitie internet facing zijn.
In de bovenstaande grafiek is zichtbaar hoe de CyberRisk in verhouding staat met het aantal kwetsbaarheden. De rode lijn is de CyberRisk, de blauwe het aantal kwetsbaarheden. Na de eerste scan worden er 100 kwetsbaarheden opgelost. Opvallend is dat dit maar weinig uitmaakt voor de CyberRisk. Na de tweede scan is er praktisch geen afname te zien. Dit komt omdat de focus lag op het zo snel mogelijk wegpoetsen van triviale bevindingen. Vervolgens is bij de laatste scan te zien dat er weer 100 bevindingen opgelost zijn, maar dat er dit keer wel gekeken is naar wat belangrijk is. Als gevolg hiervan is de CyberRisk gehalveerd.
Bovenstaande voorbeeld laat goed zien hoe de CyberRisk kan helpen om te controleren of de focus goed is, wordt er risico gebaseerd opgelost, of wordt er voor kwantiteit gegaan?