Overal ter wereld stagneert de weerbaarheid van organisaties tegen cybercriminaliteit, terwijl kwaadwillenden wél voortgang maken. Met name de Benelux loopt achter, terwijl India voorop loopt. Ook handelen volgens de regelgeving inzake privacy kost bedrijven moeite. Daarop duidt wereldwijd, jaarlijks onderzoek door NTT Security.

Cybercriminaliteit en datadiefstal behoren tot de vijf belangrijkste bedrijfsrisico’s. Er lijkt voldoende bewustzijn te zijn van deze twee risico’s, maar vooralsnog baart het vooruitzicht van de gevolgen van een economische of financiële crisis organisaties meer zorgen dan de gevolgen van een cyberaanval. En dat terwijl deze cyberrisico’s voor een aanzienlijk deel beheersbaar zijn.

Voor elke participerende organisatie analyseerden de onderzoekers de reacties op goede en slechte toepassingen in cybersecurity en de resultaten tonen een zorgwekkend gebrek aan vooruitgang: in 2019 was de gemiddelde score – net als in 2018 – slechts +3, wat betekent dat er bijna evenveel slechte als goede toepassingen zijn. In de Benelux scoren België (+1) en Nederland (0) onder het wereldwijde gemiddelde.

India, dat nog niet eerder werd meegenomen in het jaarlijkse onderzoek, presteert het best op het gebied van cybersecurity. Wat verder opvalt, is dat de aanpak van cyberrisico’s van organisaties in Frankrijk, Duitsland en Singapore het afgelopen jaar verslechterden, evenals de prestaties van bedrijven in de financiële dienstverlening, telecom, chemie, farmacie, olie en gas en de gezondheidszorg.

Stagnatie in Benelux

Omdat minder dan de helft (45%) van de respondenten in België, Nederland en Luxemburg al zijn ‘kritieke data’ als ‘volledig veilig’ beschouwt, exact hetzelfde percentage als in 2018, concluderen de samenstellers van het rapport dat de Benelux achterloopt. Ruim een derde geeft aan liever losgeld te betalen bij ransomware dan een boete te krijgen omdat ze niet voldoen aan de voorschriften voor dataprotectie. Hetzelfde deel betaalt liever een hacker dan te investeren in beveiliging. Ook dit zijn dezelfde resultaten als in 2018, wat een gebrek aan vooruitgang suggereert.

Qua privacy staat het er iets beter voor. Hoewel 81 procent aangeeft het naleven van de regelgeving belangrijk te vinden, weet 10 procent niet aan welke regels het bedrijf moet voldoen. Slechts een kwart (24%) denkt dat de GDPR – het onderzoek is nog geen jaar na de ingangsdatum gehouden – op hen van toepassing is. De GDPR geldt echter voor alle organisaties die werken met klanten in een lidstaat van de Europese Unie.

Beveiligingsbudgetten groeien niet mee met de in omvang toenemende cyberaanvallen, constateren de onderzoekers. In organisaties binnen de Benelux was slechts een kleine toename in het percentage van IT-budgetten gereserveerd voor beveiliging: veertien procent. Het percentage van het operationele budget voor beveiliging daalde sinds 2018 zelfs naar 15.

Benelux-organisaties slagen er niet in proactief op te treden inzake de interne beleidsvoering en processen. De helft heeft een formeel informatiebeveiligingsbeleid, slechts 43 procent heeft een plan voor respons op incidentenrespons, een stijging van 1 procent ten opzichte van 2018.

Ondanks alle voorlichting over cybersecurity en veilig en hygiënisch werken, vindt een grote minderheid van veertig procent – let wel: het gaat hier om besluitvormers – cybersecurity een ‘probleem van de IT-afdeling, niet van de hele organisatie’. En de vooruitzichten stellen niet gerust: het percentage bedrijven dat beschikt over te weinig vaardigheden en middelen inzake beveiliging neemt toe: 48 tegenover 44 in 2018. Benelux-bedrijven hebben dus meer hulp nodig van externe beveiligingsbedrijven.

Kosten en tijd

Respondenten uit de Benelux denken, in contrast met de respondenten wereldwijd, dat de tijd die wordt besteed aan het herstel van een datalek afneemt ten opzichte van vorig jaar: 57 dagen (-6 dagen) voor de Benelux en 66 dagen (+9 dagen) wereldwijd. Daar staat tegenover dat het geschatte omzetverlies gestegen is met 12,7 procentpunten in 2019, vergeleken met 10,3 punten in 2018 en 9,9 in 2017.

De kosten voor het herstellen van een datalek blijven hoog, met gemiddeld bijna 900.000 euro voor Benelux-bedrijven en een miljoen euro wereldwijd. Met name in de Scandinavische landen zijn de kosten naar verwachting veel hoger, met 1,6 miljoen euro voor Noorwegen en een eerste plaats voor Zweden met 2,7 miljoen euro – meer dan het dubbele van het wereldwijde gemiddelde. Olie en gas neemt de eerste plaats in de industriesector in met een verwachte 2 miljoen euro.

“[…] Bedrijven zijn tot stilstand gekomen op hun weg naar cybersecurity”, zegt Charles Bovy, director MSS PreSales EMEA & regional lead voor de Benelux bij NTT Security. “De wereld om hen heen verandert, door de integratie van nieuwe technologie en digitale transformatieprojecten die onze manier van zaken doen veranderen. Cybercriminelen profiteren van deze stilstand, waardoor datalekken de krantenkoppen blijven halen.”

“Het is duidelijk dat beleidsmakers beveiliging zien als een enabler; iets dat het bedrijf en de maatschappij in het algemeen kan helpen. Maar hoewel het besef van de risico’s groot is, ontbreekt het organisaties nog altijd aan het vermogen, of misschien de wil, om ze effectief te beheren. We zien een lage respons op gebieden als intern beveiligingsbeleid en plannen voor incidentenrespons, evenals een gebrek aan kennis over regelgeving die van invloed is op bedrijven – alles ondersteund door de verwachting dat wanneer iets fout gaat, dit de schuld is van de IT-afdeling. Het ontwerp en de uitvoering van cyberbeveiligings-strategieën moeten verbeteren, anders zal het bedrijfsrisico toenemen.”

Over het onderzoek

NTT Security heeft in februari en maart 2019 Jigsaw Research onderzoek laten doen naar de houding inzake cybersecurity onder ruim 2.200 non-IT-beslissers (waarvan 101 in de Benelux). Het onderzoek werd uitgevoerd in zeer uiteenlopende sectoren in twintig landen in Noord- en Zuid-Amerika, de Aziatisch-Pacifische regio en Europa. De beslissers werkten in business development, strategie, finance, sales, operations, productie, HR en in marketing. De meeste organisaties telden meer dan 500 werknemers.

REAGEREN

Plaats je reactie
Je naam