Nieuw rapport signaleert gebrek aan investeringen in cybersecurity

Orga­ni­sa­ties over de hele wereld lopen vast in hun voortgang op het gebied van cyber­se­cu­rity en riskeren verlam­ming nu cyber­cri­mi­nelen steeds geavan­ceerder te werk gaan. De Benelux loopt achter op het gebied van cyber­se­cu­rity, India presteert het best. Dit blijkt uit het rapport 2019 Risk:Value – ‘Desti­na­tion stand­still. Are you asleep at the wheel?’ van NTT Security.

Bedrijfsrisico’s

NTT Security deed onderzoek naar de houding van 2.256 non-IT-beslis­sers waarvan 101 in de Benelux – ten opzichte van risico’s en de waarde van veilig­heid voor het bedrijf. Het vijfde Risk: Value-rapport bundelt de antwoorden van C‑level execu­tives en andere senior beslis­sers in verschil­lende sectoren in twintig landen in Noord- en Zuid-Amerika, de Aziatisch Paci­fi­sche regio en Europa.

Cyber­se­cu­rity en data­dief­stal staan in de top vijf van belang­rijke bedrijfsrisico’s. De resul­taten tonen aan dat orga­ni­sa­ties zich bewust zijn van de risico’s van cyber­be­drei­gingen. Enkel de kans op een ‘econo­mi­sche of finan­ciële crisis’ baart orga­ni­sa­ties meer zorgen dan het risico op ‘cyber­aan­vallen op de organisatie’.

Helpen

De meer­der­heid van de respon­denten – 84 procent wereld­wijd, en 77 procent in de Benelux – gelooft dat goede cyber­se­cu­rity hun bedrijf zal helpen. Respec­tie­ve­lijk 88 en 80 procent is van mening dat cyber­se­cu­rity een grote rol speelt in de samenleving.

Voor elke onder­zochte orga­ni­satie analy­seerde NTT Security de reacties op goede en slechte toepas­singen in cyber­se­cu­rity, waarbij goede toepas­singen positieve scores ople­verden en slechte negatieve scores. De resul­taten tonen een zorg­wek­kend gebrek aan voor­uit­gang: in 2019 was de gemid­delde score – net als in 2018 – slechts +3, wat betekent dat er bijna evenveel slechte als goede toepas­singen zijn. In de Benelux scoren België (+1) en Nederland (0) onder het wereld­wijde gemiddelde.

Beste prestaties

Bedrijven in India, een nog niet eerder onder­zocht land, presteren het best op het gebied van cyber­se­cu­rity, zelfs beter dan de Verenigde Staten en het Verenigd Konink­rijk. De pres­ta­ties van orga­ni­sa­ties in Frankrijk, Duitsland en Singapore verslech­terden het afgelopen jaar, evenals de pres­ta­ties van bedrijven in de finan­ciële dienst­ver­le­ning, tele­com­mu­ni­catie, chemi­ca­liën, farma­ceu­ti­sche producten, olie en gas en parti­cu­liere gezond­heids­zorg­sec­toren. Hierdoor ontstaat twijfel over de robuust­heid van kritieke nationale infrastructuur.

Benelux

Als we kijken naar de Benelux dan valt op:

• Minder dan de helft van de Benelux-respon­denten beschouwt al zijn ‘kritieke data’ als ‘volledig veilig’ – 45 procent, exact hetzelfde percen­tage als in 2018.
• Ruim een derde geeft aan liever losgeld te betalen aan een hacker, dan een boete te krijgen omdat ze niet voldoen aan de voor­schriften voor datapro­tectie. Hetzelfde deel betaalt liever een hacker dan te inves­teren in bevei­li­ging. Dit zijn dezelfde resul­taten als in 2018, wat het gebrek aan voor­uit­gang illustreert.
• Hoewel 81 procent aangeeft het naleven van de regel­ge­ving belang­rijk te vinden, weet tien procent niet aan welke regels het bedrijf moet voldoen.
• Slechts 24 procent denkt dat de AVG (Algemene Veror­de­ning Gege­vens­be­scher­ming) – een jaar na de uiterste nale­vings­datum – op hen van toepas­sing is. De AVG heeft echter betrek­king op alle orga­ni­sa­ties die werken met klanten in een lidstaat van de Europese Unie.
• Bevei­li­gings­bud­getten zijn niet toerei­kend voor de toene­mende dreiging van cyber­aan­vallen. Er was slechts een kleine toename in het percen­tage van IT-budgetten gere­ser­veerd voor bevei­li­ging (14 procent). Het percen­tage van het opera­ti­o­nele budget voor bevei­li­ging daalde sinds 2018 naar 15 procent.
• Benelux-orga­ni­sa­ties slagen er niet in proactief op te treden als het gaat om interne beleids­voe­ring en processen. De helft (50 procent) heeft een formeel infor­ma­tie­be­vei­li­gings­be­leid, slechts 43 procent heeft een plan voor inci­den­ten­res­pons; een stijging van 1 procent ten opzichte van 2018.
• 40 procent vindt cyber­se­cu­rity een ‘probleem van de IT-afdeling, niet van de hele organisatie’.
• Het percen­tage bedrijven dat nog steeds beschikt over te weinig vaardigheden/​middelen neemt toe: 48 procent tegenover 44 procent in 2018. Dit toont aan dat Benelux-bedrijven meer hulp nodig hebben van externe beveiligingsbedrijven.

Kosten en tijd 

Uit het rapport 2019 Risk: Value blijkt ook dat Benelux-respon­denten, in tegen­stel­ling tot het wereld­wijde gemid­delde, van mening zijn dat de tijd besteed aan het herstellen van een datalek afneemt ten opzichte van vorig jaar: 57 dagen (-6 dagen) voor de Benelux en 66 dagen (+9 dagen) wereld­wijd. Het geschatte omzet­ver­lies is echter gestegen: 12,7 procent in 2019, verge­leken met 10,3 procent in 2018 en 9,9 procent in 2017.

De kosten voor het herstellen van een datalek blijven hoog, met gemiddeld bijna 900.000 euro voor Benelux-bedrijven en een miljoen euro wereld­wijd. Met name in de Scan­di­na­vi­sche landen zijn de kosten naar verwach­ting veel hoger, met 1,6 miljoen euro voor Noorwegen en een eerste plaats voor Zweden met 2,7 miljoen euro – meer dan het dubbele van het wereld­wijde gemid­delde. Olie en gas neemt de eerste plaats in de indu­strie­sector in met een verwachte 2 miljoen euro te besteden aan herstelwerkzaamheden.