Exploring ways to Model Reputation Loss A case study on information security at Dutch private banks A Master thesis for the study Informatics & Economics Faculty of economics, Erasmus University Rotterdam Author: Cas de Bie BSc. Supervisor at Erasmus University Rotterdam: Dr. Ir. Jan van den Berg Supervisor at PricewaterhouseCoopers: Drs. Frans van Buul Co-Reader: Prof. Dr. Gert van der Pijl RE Exploring ways to Model Reputation Loss Managementsamenvatting Dit onderzoek heeft als doel om de relatie tussen beveiligingsincidenten en reputatieschade te verkennen en te modelleren. Hierbij is er gekeken naar de mogelijke beveiligingsincidenten welke zich voordoen bij online banking systemen bij private banks en hoe reputatieschade daaruit kan voortvloeien. De private banking sector kenmerkt zich door het leveren van financiële producten en diensten aan welvarende individuen. Juist vanwege dit feit zijn de marges in deze sector initieel hoog en is de competitie daardoor de laatste jaren flink toegenomen. De private banks hebben vooral last van de toegenomen concurrentie van de vier grote banken in Nederland. Vanwege deze toename en de karakteristieken van de private banking sector, geschiedt de concurrentie vooral op basis van de kwaliteit van de geleverde producten en services. Om het hoofd boven water te houden investeren de pure private banks in het aantrekken van hoog opgeleid personeel, IT en fusies en overnames. Door de toegenomen kosten van al deze maatregelen zijn kostenbesparingen in de operationele processen aan de orde van de dag. Omwille van het verlenen van extra service, bieden steeds meer private banks online banking systemen aan. Met deze systemen hebben klanten zelf een digitaal en actueel overzicht van de rekeningstanden en de laatst gemaakte transacties (level 2 systeem). Sommige systemen bieden zelfs de mogelijkheid om ook online transacties uit te voeren (level 3 systemen). Uit dit onderzoek kwam naar voren dat slechts weinig private banks een level 3 systeem hebben geïmplementeerd maar bijna allemaal een level 2 systeem aanbieden. Uit de interviews blijkt dat een achterstand op level 3 banken zou kunnen leiden tot een competitief nadeel. Bij online private banking gaat het vaak om veel geld en een groot deel van de services zijn niet meer fysiek maar via het publiek toegankelijke Internet toegankelijk. Daarom is een online banking systeem gevoelig voor aanvallen via het Internet. Om deze aanvallen tegen te gaan moet een private bank voldoende maatregelen nemen om de vertrouwelijkheid (ongeautoriseerde personen mogen geen inzage hebben in geheime informatie), de integriteit (de informatie in het systeem moet volledig en juist zijn) en de beschikbaarheid (het systeem moet beschikbaar zijn en een goede reactiesnelheid hebben) van het online banking systeem veilig te stellen. Klanten stellen bepaalde eisen aan deze aspecten. Wanneer de private bank door een beveiligingsincident niet in staat is aan deze eisen te voldoen kan reputatieschade het gevolg zijn. Daarbij is het zelfs mogelijk dat de klant besluit elders te gaan bankieren. In de literatuur over IT-beveiliging zijn weinig methoden te vinden die ingaan op de relatie tussen beveiligingsincidenten en reputatieschade. Daarnaast zijn de methoden die ingaan op het meten van schade veroorzaakt door beveiligingsincidenten niet toereikend om reputatieschade te kunnen kwantificeren. In dit onderzoek wordt getracht fuzzy logic in te zetten als modelleertechniek. Fuzzy logic tracht, om door middel van gecumuleerde expertkennis, relaties te beschrijven en te modelleren. De grote kracht van fuzzy logic is dat het in staat is om relaties te modelleren welke door experts alleen in vage termen kunnen worden beschreven. Dit doet men door de experts in linguïstische termen (woorden) de relaties tussen variabelen in het model uit te laten leggen en op de achtergrond te vertalen naar meetbare eenheden. Om een fuzzy model op te kunnen stellen is een literatuurstudie uitgevoerd en zijn er interviews met experts gehouden. Grofweg waren hierbij twee fases te onderscheiden. Eerst werd aan de hand van een literatuurstudie een conceptueel model opgesteld over 2 Exploring ways to Model Reputation Loss hoe de relatie tussen beveiligingsincidenten en reputatieschade eruit ziet. Vervolgens was het de bedoeling dat met behulp van experts het fuzzy model in te vullen. Met behulp van het resulterende model zouden IT-security managers de reputatieschade kunnen bepalen die voortkomt uit potentiële of voorkomende incidenten. De volgende stap zou dan zijn om met behulp van beveiligingsmaatregelen de reputatieschade aantoonbaar terug te dringen. Wanneer het lukt om tot een dergelijk model te komen kunnen managers bepalen wat de opbrengsten van investeringen in IT-security maatregelen zijn en deze daardoor beter verantwoorden. De eerste fase van het onderzoek waarin het conceptueel model gevormd werd is succesvol verlopen. Het resultaat was een voorgesteld fuzzy model met daarin de indicatoren voor reputatieschade en een beschrijving van de onderlinge relaties tussen de indicatoren en reputatieschade. In het kort komt het erop neer dat de incidenten welke zich kunnen voordoen in te delen zijn aan de hand van de kwaliteitsaspecten van beveiliging, te weten vertrouwelijkheid, integriteit en beschikbaarheid. Vervolgens heeft de onderzoeker bekeken wat de impact van dergelijke aanvallen op deze kwaliteitsaspecten zou kunnen zijn en gezocht naar indicatoren. Daarnaast kan reputatieschade uitgedrukt worden in het aantal klanten wat na een beveiligingsincident vertrekt. Analoog hieraan is het beheerd vermogen wat de private bank verliest doordat klanten weglopen bij de bank een goede indicator voor reputatieschade. Het conceptueel model is te zien in figuur 15. Het hieruit voorvloeiende voorgesteld fuzzy model is te zien in figuur 23. De tweede fase van het onderzoek had als doel om aan de hand van interviews met experts bij Nederlandse private banks de voorgestelde relaties te valideren en het fuzzy model in te vullen. Deze fase verliep niet volgens plan omdat bleek dat de experts niet voldoende kennis hadden om het gedrag van hun klanten te beschrijven wanneer er zich beveiligingsincidenten voordoen. Daarom is besloten om het voorstelde fuzzy model in figuur 23 met behulp van interviews met experts te valideren en aan te passen. Er is getracht om het onderzoek een dusdanige wending te geven dat er aanbevelingen gegeven kunnen worden over hoe men alsnog een fuzzy model kan opstellen. Het uiteindelijke model is gebaseerd op het model in figuur 23 en de interviews met de experts en is te zien in figuur 24. Het succesvol invullen van dit model moet plaatsvinden aan de hand van een vervolgonderzoek waarbij gebruikers van online banking systemen bij private banks geïnterviewd worden om na te gaan wat de reactie op beveiligingsinciden- ten kan zijn. Naast het fuzzy model heeft dit onderzoek nog enkele andere resultaten. Zo bleken de experts allen tot op heden gebruik te maken van kwalitatieve argumenten om investeringen in IT-beveiligingsmaatregelen te verantwoorden en geven de experts aan dat zij geen heil zien in pure kwantitatieve methoden om investeringen te verantwoorden. De experts denken dat kwantitatieve methodes voor het bepalen van de opbrengst van investeringen in IT-beveiligingsmaatregelen de kwalitatieve argumenten niet kunnen vervangen maar wel kunnen aanvullen of versterken. De behoefte aan methoden welke de opbrengst van investeringen in IT-beveiligingsmaatregelen op basis van kwantitatieve methoden gecombineerd met kwalitatieve argumenten in kaart brengen, wordt op deze manier bevestigd. 3 Exploring ways to Model Reputation Loss Foreword This master thesis is the product of the research I have conducted in the period between July 2005 and January 2006 in combination with an internship at the Security & Technology department of PricewaterhouseCoopers (PwC) in Utrecht. I have found it inspiring to work in a dynamic environment with a lot of professionals, all with different expertises. In addition, PwC is a company with a huge cumulative expertise, a lot of IT and with very good in place support services. Such an environment has stimulated my (by default) curiosity. In total, I have come to the conclusion that advising companies about IT- security issues is fun and a challenge. This is why I hope to start working at PwC Security & Technology starting next February. Of course there were some obstacles when writing this thesis. First it was hard to become used to the rhythm of going to work every day. This was especially true when the train was overloaded with people and the public transport turned into a jungle. Social scientists who like to research the increased individualism or the origin of mankind’s social behaviour are invited to travel by train on a daily basis between Rotterdam and Utrecht. Furthermore I like to thank the NS for all the delay of trains which made it possible to work a little longer on my thesis. In addition working for 6 months to find solutions to a single research problem has been a test to my patience. Also writing this thesis in English was not easy. By doing this research I have learned that the research question and the scope are the most important parts of a research. Due to the fact that working with Visio has become a hobby while writing my thesis I would like to illustrate the concluding description of my study in the figure below. Bachelor 1 B While the study advances, the basics of o us rc s ec ine Ma ic on ss om om on ic Informatics and of Economics are integrated by ec Bachelor 2 & 3 s M a A looking how IT can have an influence on the n l c a c g ia g o n e c i Master u m n t n economy and vice versa. In the end Informatics & a n t e u in in n o g t F c c a Project Economics is the study of how IT can be used to management s s g e enhance economics and in return which economic s s y c n r i e e t s c i i t e r r i r u s r t s a a a o e e u m c s c Cost Informatics & E-busi- e w w c m n r o e e i t t i t aspects must be taken into account regarding IT.