A stochastic Gordon-Loeb model for optimal cybersecurity investment under clustered attacks

Each language version is independently generated for its own context, not a direct translation.

Hier is een uitleg van het wetenschappelijke artikel in eenvoudig Nederlands, met behulp van alledaagse vergelijkingen.

De Kern: Waarom je niet kunt wachten met je digitale slot

Stel je voor dat je een huis hebt. Je hebt een slot op de deur (je cybersecurity). Maar in plaats van dat er één dief per jaar probeert in te breken, gebeuren er dingen op een heel onvoorspelbare manier: soms is het rustig, en dan ineens komt er een bende dieven die één voor één proberen binnen te komen. Als de eerste dief het slot ziet, roept hij zijn vrienden op. Ze komen in een stormloop.

Dit artikel van Callegaro en collega's gaat over hoe je het beste omgaat met zo'n onvoorspelbare bende dieven. Ze zeggen: "Je mag niet zomaar een vast bedrag per jaar uitgeven aan sloten. Je moet slim en snel reageren op de situatie."

Hier is hoe ze dat uitleggen, stap voor stap:

1. Het oude idee vs. de nieuwe realiteit

Het oude idee (De Gordon-Loeb methode):
Vroeger dachten experts: "Laten we berekenen hoeveel het kost als er één keer iets misgaat, en hoeveel het kost om een slot te kopen. Dan kopen we dat slot."

Vergelijking: Dit is alsof je elke maand precies €50 uitgeeft aan veiligheid, of het nu rustig is of dat er een orkaan aan zit te komen. Het is een statisch plan.

Het nieuwe idee (Dit artikel):
De auteurs zeggen: "Cyberaanvallen komen niet één voor één. Ze komen in groepen (clusters). Als er al een aanval is geweest, is de kans dat er direct nog meer komen veel groter."

Vergelijking: Het is alsof je een alarm hebt dat niet alleen piept, maar ook de buren waarschuwt. Zodra de eerste dief de straat op komt, komen er binnen 5 minuten nog tien. Je moet dus direct je gordijnen dichtdoen en je alarm harder zetten, niet wachten tot de volgende maand.

2. De "Hawkes-proces": De lawine-effect

De auteurs gebruiken een wiskundig model genaamd een Hawkes-proces. Dat klinkt ingewikkeld, maar het is simpel:

Zelf-versterking: Elke cyberaanval maakt de kans op de volgende aanval groter.
Vergelijking: Denk aan een sneeuwbal die rolt. Als hij begint te rollen, pakt hij meer sneeuw op en wordt hij groter en sneller. Bij cyberaanvallen is het zo: als hackers een zwak punt vinden, proberen ze dat direct uit te buiten en raken ze andere systemen in de buurt.

Het oude model (Poisson-proces) zag dit niet. Het dacht dat aanvallen als regendruppels waren: willekeurig en onafhankelijk van elkaar. Het nieuwe model ziet ze als een lawine.

3. De slimme investering: Reageren in real-time

Het doel van de auteurs is om een formule te vinden die zegt: "Hoeveel moet je nu uitgeven aan beveiliging, gezien de situatie op dit exacte moment?"

Het probleem: Als je te veel uitgeeft, ben je arm. Als je te weinig uitgeeft, word je gehackt.
De oplossing: Een adaptieve strategie.
- Is het rustig? Dan investeer je normaal.
- Zie je dat er een aanval is geweest en dat de "intensiteit" (het gevaar) stijgt? Dan gooi je direct extra geld in de beveiliging. Je bouwt een extra muur terwijl de aanval nog bezig is.
- Is de storm voorbij? Dan stop je met het bouwen van extra muren om geld te besparen.

Vergelijking: Stel je bent een brandweercommandant.

Oude manier: Je hebt een vast budget om elke dag 10 brandblussers te kopen, of er nu brand is of niet.
Nieuwe manier: Je kijkt naar de rook. Zodra je rook ziet (een aanval), stuur je direct 50 blussers en 100 brandweermannen. Zodra de brand gedoofd is, stop je met sturen. Je bent flexibel.

4. Wat zeggen de cijfers?

De auteurs hebben dit uitgewerkt met computersimulaties. De resultaten zijn verrassend duidelijk:

Dynamisch is beter: Als je reageert op de situatie (dynamisch), bespaar je veel meer geld dan als je een vast plan volgt. Je voorkomt grotere schade door sneller te reageren op de "lawine" van aanvallen.
Het gevaar van onderschatting: Als je denkt dat aanvallen willekeurig zijn (zoals in de oude modellen), ga je te weinig investeren. Je denkt: "Oh, het is rustig, ik wacht wel even." Maar dan komt de lawine en ben je te laat.
Verzekeringen: Dit is ook belangrijk voor verzekeringsmaatschappijen. Als je laat zien dat je slim reageert op aanvallen (je bent een "goede klant" die snel schakelt), moet je minder premie betalen. Je bent minder risicovol.

5. Samenvatting in één zin

Cyberveiligheid is geen statisch schild dat je één keer koopt; het is een levendige verdediging die moet reageren op de storm van aanvallen. Als je begrijpt dat aanvallen in groepen komen (clusters), kun je je geld veel slimmer en effectiever besteden dan wanneer je denkt dat het maar willekeurige druppels zijn.

De les voor iedereen: Wacht niet tot de aanval is gebeurd om je verdediging te verbeteren. Als er één hacker probeert in te breken, ga er dan vanuit dat er binnen een minuut een hele bende aankomt, en zorg dat je dan al klaar bent.

Each language version is independently generated for its own context, not a direct translation.

Hier is een gedetailleerde technische samenvatting van het artikel "A stochastic Gordon-Loeb model for optimal cybersecurity investment under clustered attacks" in het Nederlands.

Titel

Een stochastisch Gordon-Loeb-model voor optimale investering in cyberveiligheid onder de dreiging van gegroepeerde aanvallen.

1. Probleemstelling

Cyberrisico's vormen een van de grootste bronnen van operationele risico's voor organisaties wereldwijd, met toenemende kosten voor datalekken. Bestaande modellen voor optimale investering in cyberveiligheid, zoals het seminale werk van Gordon en Loeb (2002), zijn voornamelijk statisch. Ze bepalen een eenmalige investering om de verwachte netto-voordelen te maximaliseren, maar negeren twee cruciale dynamische aspecten:

Tijdsgebonden clustering van aanvallen: Cyberaanvallen treden vaak in bundels op (bijvoorbeeld na het ontdekken van een kwetsbaarheid of door verspreiding van malware), wat niet goed wordt gemodelleerd door memoryless processen zoals de Poisson-proces.
Adaptieve timing: Organismen moeten kunnen reageren op veranderende bedreigingslandschappen in real-time, in plaats van een statisch beleid te hanteren.

Het doel van dit onderzoek is het ontwikkelen van een continu-tijd stochastisch model dat deze dynamische en gegroepeerde aard van cyberaanvallen integreert om een adaptief investeringsbeleid te bepalen.

2. Methodologie

A. Modellering van Aanvallen (Hawkes-proces)

In plaats van een Poisson-proces gebruiken de auteurs een Hawkes-proces ( $N_t$ ) om de aankomsttijden van cyberaanvallen te modelleren. Dit proces heeft een zelf-excitieve eigenschap: elke aanval verhoogt de intensiteit ( $\lambda_t$ ) voor toekomstige aanvallen, wat leidt tot tijdelijke clustering.
De intensiteit evolueert volgens:
$d\lambda_t = \xi(\alpha - \lambda_t)dt + \beta dN_t$
Waarbij $\alpha$ de langetermijngemiddelde intensiteit is, $\xi$ de vervalrate, en $\beta$ de grootte van de zelf-excitatie bepaalt.

B. Dynamiek van Kwetsbaarheid en Investering

Cybersecurity-niveau ( $H_t$ ): Het niveau van beveiliging wordt gemodelleerd als een kapitaalgoed dat onderhevig is aan technologische veroudering (depreciatie $\rho$ ). Investeringen ( $z_t$ ) vinden continu plaats.
Breach-kans: De kans dat een aanval succesvol is, wordt bepaald door een functie $S(H_t, v)$ , waarbij $v$ de basiskwetsbaarheid is. Deze functie voldoet aan de eisen van het Gordon-Loeb-model (dalend en convex in investering).
Verlies: Bij een succesvolle breach wordt een willekeurig verlies $\eta_i$ geleden.

C. Optimalisatieprobleem

Het probleem wordt geformuleerd als een tweedimensionale stochastische optimale controleprobleem. De doelstelling is het maximaliseren van de verwachte netto-voordelen over een planninghorizon $[0, T]$ :
$\sup_{z \in \mathcal{Z}} \mathbb{E} \left[ \int_0^T \left( \bar{\eta}(v - S(H_t, v))\lambda_t - z_t - \frac{\gamma}{2}z_t^2 \right) dt + U(H_T) \right]$
Hierbij vertegenwoordigt de eerste term de reductie in verwachte verliezen, de tweede en derde term de kosten van investering (met een niet-lineaire kostenfunctie om extreme pieken te straffen), en $U(H_T)$ de restwaarde van de beveiliging.

D. Oplossingsmethode

Het probleem wordt opgelost via Dynamic Programming. De waardefunctie $V(t, \lambda, h)$ voldoet aan een Hamilton-Jacobi-Bellman (HJB) partiële integro-differentiaalvergelijking (PIDE).
De optimale investeringsrate $z^*_t$ wordt afgeleid als:
$z^*_t = \frac{1}{\gamma} \left( \frac{\partial V}{\partial h} - 1 \right)^+$
Dit betekent dat er alleen wordt geïnvesteerd als de marginale meerwaarde van beveiliging ( $\frac{\partial V}{\partial h}$ ) de marginale kosten (1) overtreft.

De numerieke oplossing van de PIDE wordt uitgevoerd met de method of lines, waarbij de ruimtelijke domeinen ( $\lambda$ en $h$ ) worden gediscretiseerd en het resulterende systeem van ODE's wordt opgelost.

3. Belangrijkste Bijdragen

Stochastische Uitbreiding van Gordon-Loeb: Het is de eerste studie die het Gordon-Loeb-model uitbreidt naar een continu-tijd stochastisch kader met een Hawkes-proces voor aanvallen.
Adaptief Beleid: Het model levert een real-time adaptief investeringsbeleid op dat reageert op de huidige intensiteit van aanvallen. In tegenstelling tot statische modellen, kan de investering toenemen wanneer de intensiteit $\lambda_t$ stijgt door een recente aanval.
Kwantificering van Clustering: Het onderzoek toont aan dat het negeren van de clustering van aanvallen (door een Poisson-model te gebruiken) leidt tot suboptimale investeringsbeslissingen, zelfs als het gemiddelde aantal aanvallen correct wordt geschat.
Actuariële Implicaties: Het model koppelt investeringen in preventie direct aan de premievorming voor cyberverzekering, waarbij wordt aangetoond dat optimale preventie zowel de verwachte verliezen als de variabiliteit (risico) verlaagt.

4. Resultaten en Numerieke Analyse

De auteurs gebruiken een reeks parameters (o.a. gemiddeld 60 aanvallen per jaar, depreciatie $\rho=0.2$ ) om de resultaten te simuleren:

Dynamiek van de Investering: De optimale investering $z^*_t$ reageert direct op pieken in de intensiteit $\lambda_t$ . Tijdens periodes van intense clustering (hoge $\lambda_t$ ) stijgt de investering significant boven het niveau van een statisch beleid.
Vergelijking met Statische Strategieën: Een adaptieve dynamische strategie levert een relative winst van ongeveer 15% op ten opzichte van de beste constante investeringsstrategie (afhankelijk van het initiële beveiligingsniveau).
Vergelijking met Poisson-modellen:
- Een Poisson-model met dezelfde basale intensiteit onderschat de risico's en leidt tot te lage investeringen.
- Zelfs een Poisson-model dat is gekalibreerd om hetzelfde verwachte aantal aanvallen te genereren (maar zonder clustering), resulteert in een suboptimaal beleid. De adaptieve Hawkes-strategie presteert beter, vooral in hoge-risico scenario's, omdat deze de tijdsafhankelijkheid van de dreiging benut.
Premieverlaging: In een verzekeringssimulatie leidt het toepassen van de optimale dynamische strategie tot een reductie van de pure premie met ongeveer 65% en een verlaging van de standaarddeviatie van verliezen met ongeveer 55% ten opzichte van geen investering.

5. Betekenis en Conclusie

De studie onderstreept dat cyberrisico-management niet statisch kan zijn. Door de empirisch onderbouwde eigenschap van "clustering" van cyberaanvallen te modelleren via Hawkes-processen, kunnen organisaties hun investeringen in cyberveiligheid veel effectiever afstemmen op de daadwerkelijke dreiging.

Voor Risicomanagers: Het biedt een wiskundig onderbouwd kader om investeringen dynamisch aan te passen in plaats van vast te houden aan jaarlijkse budgetten.
Voor Verzekeraars: Het model biedt een basis voor het differentiëren van premies op basis van het daadwerkelijke preventiegedrag (self-insurance), wat leidt tot eerlijkere prijsstelling en betere risicoverdeling.

Kortom, het integreren van realistische, dynamische bedreigingspatronen in investeringsmodellen is essentieel voor een kosteneffectieve en robuuste aanpak van cyberveiligheid.