Het is wereldwijd bedroevend gesteld met de cyberbeveiliging van organisaties. Dat zegt Gerwin Naber, verantwoordelijk voor de cybersecurity- en privacypraktijk van PwC, op basis van de Global State of Information Security® Survey 2018, een periodieke studie van PwC in samenwerking met de tijdschriften CIO en CSO.
PwC ondervroeg ruim 9500 bestuurders en IT-executives uit 122 landen (waaronder Nederland) over de beveiliging van bedrijfsinformatie. Uit het onderzoek blijkt dat circa de helft van de organisaties basale zaken, zoals bewustzijnstrainingen voor werknemers en een adequaat incident-responsebeleid, niet op orde heeft. “Cybercrime is de snelst groeiende vorm van fraude bij bedrijven. Ondanks de toenemende dreiging, ontberen verrassend veel organisaties een effectieve aanpak van cybersecurity”, zegt Gerwin Naber.
Personeel zwakste schakel
De uitgaven aan beveiliging nemen toe, blijkt uit het onderzoek. Maar een zwakke schakel is het blindelings vertrouwen in eigen personeel en zogeheten third parties, zoals serviceproviders en leveranciers. Bijna een derde van de respondenten wijt cyberincidenten aan nalatigheid en kwaadwilligheid van eigen personeel. Voormalige werknemers (26%) en third parties (19%) scoren ook hoog als (waarschijnlijke) bron van cyberincidenten. Bijna een kwart (23 procent) van de incidenten wordt toegeschreven aan ‘de onbekende hacker’, veelal omdat bedrijven niet weten wie de aanvallers zijn.
Gerwin Naber: “Uit ons onderzoek blijkt dat er nauwelijks tijd en aandacht wordt besteed aan de vraag waarom een bedrijf doelwit is voor die onbekende hacker. Daardoor blijft een bedrijf doelwit. Om die cirkel te doorbreken moet je met threat intelligence op zoek naar motieven van hackers. Dus waar zijn de hackers op uit en hoe gaan ze te werk? Als je die informatie hebt, kun je je beveiliging daarop inrichten.”
Internet of things hoger op agenda
De beveiliging van slimme apparaten die met internet zijn verbonden, staat iets hoger op de bestuurdersagenda dan een jaar geleden. Van de respondenten heeft inmiddels twee derde een zogeheten internet of things-beveiligingsstrategie (2016: 62%). Toch zijn dit soort apparaten meestal nog slecht beveiligd. Zo heeft slechts 36% uniforme cybersecurity-standaarden en beleidsmaatregelen voor IoT-apparaten en –systemen. Slechts een derde heeft zijn beleid op het gebied van dataverzameling, dataretentie en datavernietiging vernieuwd of aangepast. Dit geldt ook voor systeem-interconnectiviteit, identiteits- en toegangsmanagement en het in kaart brengen van kwetsbaarheden rondom hun business.
Hoe bereid je je voor op cyberaanvallen?
Wat kunnen bestuurders doen om effectief cyberaanvallen voor te bereiden? Het rapport van PwC heeft drie simpele adviezen:
C-suites moeten eigenaarschap naar zich toetrekken: bestuurders moeten zelf eigenaar worden van het opbouwen van cyberweerbaarheid. Het bepalen van een top-down strategie om cyber- en privacyrisico’s in de onderneming te beheersen is essentieel.
Streef niet enkel vanuit risicomijding naar meer weerbaarheid: het bereiken van grotere cyberweerbaarheid leidt naar sterkere economische prestaties op lange termijn.
Werk doelbewust samen en deel geleerde lessen: sectoren en overheden moeten over de grenzen van hun eigen organisatie, sector of land heenstappen en samen testen, interconnectiviteitsrisico’s identificeren en leren van elkaars risicomanagementaanpak
