Overzicht
Actueel
09 January 2020
'IT Nederland niet opgewassen tegen complexiteit cybercrime'

Meer dan driekwart (77 procent) van de IT’ers vreest dat zijn of haar bedrijf kwetsbaar is voor een aanval. Een ruime meerderheid (57 procent) van de Nederlandse bedrijven is bovendien al eens slachtoffer geweest van cybercriminaliteit. Dat blijkt uit onderzoek van InSpark, specialst in digitale transformaties.

Ook in de publieke sector zien we een zorgwekkende inschatting van de huidige stand van zaken ten opzichte van cybercrime en de toenemende complexiteit van aanvallen. Onderzoek van Pure Storage wijst uit dat ruim een derde (37 procent) van de IT-top van Nederlandse overheden gelooft dat hun huidige infrastructuur de doelstellingen voor digitale transformatie niet kan ondersteunen. Al kun je dus ook zeggen dat bijna twee derde (63 procent) er wèl op vertrouwt dat hun huidige data-infrastructuur het mogelijk maakt hun strategische transformationele doelstellingen te behalen.

Leestijd: 3 minuten

Cybercrime: merendeel bedrijven kwetsbaar

Het onderzoek van InSpark onthult een grote mate van kwetsbaarheid voor hackers en cybercriminelen. Meer dan de helft van de Nederlandse IT’ers (65 procent) maakt zich enigszins zorgen over de mogelijke gevolgen van cyberaanvallen op hun bedrijf, negen procent maakt zich zelfs veel zorgen.

Een ruime meerderheid (57 procent) van de Nederlandse bedrijven is al eens slachtoffer geweest van cybercriminaliteit. En 77 procent van de IT’ers vreest dat zijn of haar bedrijf kwetsbaar is voor een aanval. Volgens de respondenten is de grootste kwetsbaarheid op het gebied van cybersecurity de onzorgvuldigheid van de medewerkers (63 procent), gevolgd door de onkunde of onwetendheid van de medewerkers (62 procent).

IT-top overheden en digitale transformatie

Ook Nederlandse overheden ervaren problemen met compliance, kosten en prestaties, zo laat onderzoek van Pure Storage zien. 37 procent van de IT-top gelooft dat hun huidige infrastructuur de doelstellingen voor digitale transformatie niet kan ondersteunen. Uit een enquête onder senior ICT-managers bij overheden in Nederland bleek dat de huidige data-infrastructuur de operationele wendbaarheid (67 procent) aantast, de operationele kosten verhoogt (90 procent), compliance-uitdagingen creëert (78 procent) en het vermogen vermindert om aan de verwachtingen van de burger te voldoen (82 procent).

Volgens het rapport voldoet slechts 47 procent van de huidige ICT-projecten van de overheid volledig aan de verwachtingen en wordt op tijd en binnen budget opgeleverd. 62 procent is van plan zijn datastrategie en infrastructuur te herzien om de departementale strategische doelstellingen binnen de komende twee jaar beter te ondersteunen. De grootste obstakels die zich op hun weg bevinden, zijn echter; investeringen in data-infrastructuur (86 procent), investeringen in applicaties (82 procent), legacy-processen en gebrek aan wendbaarheid (84 procent), en een gebrek aan digitale vaardigheden en ervaring (76 procent).

Bedrijven onderschatten risico's

Terug naar de bevindingen van InSpark. Hoewel IT’ers zich wel zorgen maken over de mogelijke gevolgen van cyberaanvallen en de schade die cybercriminelen kunnen aanrichten, denken de meesten dat zij de zaken binnen de eigen organisatie goed op orde hebben. Van alle ondervraagde IT’ers is twaalf procent er zelfs van overtuigd dat zijn of haar bedrijf helemaal niet kwetsbaar is voor cyberaanvallen. Slechts vier procent kwalificeert het eigen bedrijf als zeer kwetsbaar, terwijl het overgrote merendeel (77 procent) van mening is dat zijn of haar bedrijf hooguit enigszins kwetsbaar is.

Meer dan de helft van de respondenten is dus al eens getroffen door cybercrime, maar Derk van der Woude, Lead Consultant Security bij InSpark, denkt dat het percentage in werkelijkheid veel hoger is. “Zo goed als zeker zijn bedrijven die niet weten of in hun organisatie een cyberaanval heeft plaatsgevonden, al eens door criminelen bezocht. Het werkelijke percentage ligt waarschijnlijk op 75 procent.” Van der Woude baseert deze schatting op ervaringen van InSpark, die regelmatig bij bedrijven binnenkomt om een securityscan uit te voeren. “In veel gevallen ontdekken we breaches die niet bekend waren, maar wel direct actie behoeven.”

'Veiligheid wordt nauwelijks getest'

“Bedrijven gaan er te makkelijk van uit dat het met de kwetsbaarheid van de eigen organisatie voor cybercrime wel meevalt”, vervolgt Van der Woude. “Uit het onderzoek blijkt bijvoorbeeld dat driekwart van de respondenten ‘tevreden’ is over het niveau van de eigen cybersecurity. Dit resulteert in een lakse houding als het gaat om het testen en controleren. Een schrikbarende dertien procent van de respondenten geeft aan nooit een securitytest of pentest uit te voeren, terwijl bijna de helft van de IT’ers zegt niet te weten of zulke test gedaan worden.” Van de respondenten die wel testen uitvoeren, doet slechts dertien procent dit meerdere malen per jaar.

Door hun beveiliging niet of weinig te testen, maken organisaties zich kwetsbaar voor de activiteiten van cybercriminelen. Het trainen van medewerkers in het herkennen van de groeiende risico’s van cybercrime is een belangrijk preventiemiddel, evenals het hanteren van een stringent wachtwoordbeleid. “Deze maatregelen zijn echter niet afdoende”, vertelt Van der Woude. “Een user awareness training kan helpen om de risico’s te beperken, maar is niet voldoende. Cybersecurity vraagt om specialistische kennis en de inzet van professionele tooling. In de meeste bedrijven is dat niet aanwezig. Vaak zie je dat de afdeling IT het deel security erbij doet.”

“Het Nederlandse bedrijfsleven beseft nog onvoldoende dat bijna elk bedrijf tegenwoordig een softwarebedrijf is”, vervolgt Van der Woude. “Cybercriminelen zijn enorm sluw en zetten steeds geavanceerder middelen in om in te breken. Dat vraagt om specialistische kennis om je hiertegen te weren.” 

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.
Neem contact op
Oplossingen van Awareways

Er is geen kant-en-klare oplossing om alles veilig af te schermen. Security is tenslotte geen product, maar een proces, waarin de tegenpartij bovendien altijd een stap voorloopt. Goed beleid op het gebied van informatiebeveiliging is daarom dynamisch, en evolueert mee.

Awareways biedt een brede verscheidenheid aan mogelijkheden, in te zetten op verschillende niveaus en geheel afhankelijk van de specifieke wensen en benodigdheden van een organisatie. Het startpunt is vaak een volledige nulmeting, een analyse die in kaart brengt hoe het met informatiebewustzijn gesteld is. Op basis van een uitgebreide evaluatie gericht op een optimale gebruikerservaring en een hoge respons wordt inzichtelijk waar de sterke en zwakke punten liggen.

Vervolgens worden er diverse handvatten aangereikt om informatieveiligheid organisatiebreed aan de kaak te stellen. Oplossingen die gekenmerkt worden up-to-date kennis afgestemd op de laatste ontwikkelingen en wetgevingen. Binnen de diverse trajecten is alles op maat af te stemmen, van de bedrijfseigen toon en huisstijl tot een eigen beheer- en rapportage-omgeving, in verschillende talen beschikbaar en met actieve ondersteuning.

Kijk eens op awareways.com/producten voor onze concrete oplossingen, of neem contact op voor meer informatie. | Vind ons ook op LinkedIn.

Kijk ook eens naar

Praktijkvoorbeelden
Een overzicht van onze praktijkvoorbeelden.
Security Awareness Engine
De spil in jouw security awareness programma.
Nulmeting
Awareness in cijfers het kan echt.