Nieuws
Waarom nemen organisaties security nog steeds niet serieus?
19 oktober 2017 - Volgens het Openbaar Ministerie heeft over vijf jaar 50 procent van onze criminaliteit met cybercrime te maken. Nu al zorgen cybercriminelen voor meer overlast dan fietsendieven. Een duidelijke trendbreuk. Hoe komt het dan toch dat investeringen in degelijke ICT-beveiliging nog altijd achterblijven?
Patrick de Goede van Eijk, Cybersecurity Architect bij T-Systems geeft redenen waarom security serieuze prioriteit van ondernemers dient te krijgen.Cyberstrategie
Als het gaat om de aanpak van cybercrime zet Nederland zijn beste beentje voor. Dit blijkt ook uit de recente ‘Cyber Readiness Index 2.0’ van het Potomac Institute for Policy Studies. Het rapport is bijvoorbeeld positief over de strategie die Nederland de afgelopen jaren heeft ontwikkeld als het gaat om de bestrijding van cybercrime. Nederland is op meerdere fronten klaar om cyberaanvallen af te slaan.
De Goede van Eijk: "Toen Patricia Zorko het rapport tijdens de One Conference 2017 van het NCSC in ontvangst nam, moest de plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid toegeven dat de onderzoekers niet alleen maar positief zijn over de ‘cyber readiness’ van Nederland. 'De visie en de ambitieuze plannen van Nederland worden niet ondersteund met voldoende geld, materiaal en mankracht' zo klonk het strenge oordeel."
Meer euro’s
Voor cyberveiligheid zijn kortom niet alleen woorden nodig, maar ook meer euro’s. Op de vraag ‘hoeveel meer euro’s?’ gaf de Cyber Security Raad eerder al indirect antwoord. Om digitaal de voeten droog te houden, moeten zowel overheden als bedrijven tien procent van het ICT-budget besteden aan security.
Aan die tien procent zitten overheden en bedrijven nog lang niet, en directies laten zich maar moeilijk overtuigen van de noodzaak om meer te investeren in security. Volgens consultants van Pierre Audoin is er in Nederland zelfs sprake van een ‘onderinvesteren’ in security. Hoe komt het toch dat informatiebeveiliging nog altijd niet de aandacht krijgt die het verdient? Daar zijn meerdere oorzaken voor aan te wijzen:
1. Zichtbaar resultaat van investeringen blijft uit
"Samen geven we miljarden uit aan cybersecurity, maar die investeringen lijken niet meteen zoden aan de dijk te zetten. Ondanks al het geld dat naar cybersecurity gaat, viert cybercriminaliteit hoogtij en was de angst voor aanvallen nog nooit zo groot. Dat motiveert directies niet om extra budget voor security vrij te maken," aldus de securityexpert.
2. Aandacht voor cybersecurity is incidentgedreven
Als zich gedurende een langere periode geen security-incidenten voordoen, is de kans groot dat extra geld voor beveiliging uitblijft. Want we zijn toch goed beveiligd? Of in ieder geval niet interessant voor cybercriminelen? Om even te vergeten dat het uitblijven van incidenten ook gewoon een kwestie van geluk kan zijn. Ook is niet uit te sluiten dat de cybercriminelen wel degelijk binnen zijn, maar nog niet zijn opgemerkt.
3. Security wordt als vanzelfsprekend ervaren
"Vaak is de gedachte dat de leverancier van bijvoorbeeld een WAN-verbinding, clouddienst of een analytics-platform wel zorgt voor de security," stelt De Goede van Eijk. "Was het maar zo. Voor de security moet u vaak nog extra ‘shoppen’ of aanvullende maatregelen treffen. Een stap naar bijvoorbeeld de cloud kan dan ook niet zonder een gezonde aandacht voor een end-to-end security."
4. Security wordt als een last ervaren
Security wordt vaak gezien als iets vervelends dat de dagelijkse werkzaamheden belemmert en de productiviteit drukt. Net zoals een bezoek aan de tandarts is security pijnlijk en ongemakkelijk, zo is de opvatting. Maar net zoals het uitstellen van een bezoek aan de tandarts leidt ook het uitstellen van securitymaatregelen uiteindelijk tot spijt.
5. Financiële prikkel om te investeren in cybersecurity ontbreekt
De Goede van Eijk: "Grote incidenten die de krantenkoppen halen, zijn vaak helemaal niet zo desastreus voor het slachtoffer. Zo was retailketen Target in 2013 groot in het nieuws nadat hackers de creditcardgegevens van 40 miljoen klanten hadden gestolen. Uiteindelijk bedroeg de schade voor Target ‘slechts’ 105 miljoen dollar, oftewel minder dan 0,1 procent van de jaaromzet.
De RAND Corporation becijferde dat de meeste cyberincidenten minder dan 0,4 procent van de jaaromzet kosten. Dit kan voor bedrijven reden zijn om de gok te wagen dat ze de kosten wel kunnen dragen als ze onverhoopt een keer het slachtoffer zijn van cybercriminelen."
Gevaarlijke gok
In de praktijk kan dit een uiterst gevaarlijke gok zijn. In sommige gevallen moet een slachtoffer de deuren na een incident zelfs noodgedwongen sluiten. Het overkwam onder andere Diginotar, hostingprovider Code Spaces en de foto-, film- en ontwerpstudio PHGR. Zeker kleinere bedrijven lopen dit risico. Volgens de Amerikaanse National Cyber Security is zestig procent van de kleine bedrijven zelfs niet in staat om de eerste zes maanden na een cyberaanval te overleven.
"De wet schrijft ook voor dat organisaties persoonsgegevens zo goed mogelijk moeten beveiligen. Doen zij dit niet, dan kan de Autoriteit Persoonsgegevens vanaf 25 mei 2018 boetes opleggen die kunnen oplopen tot maximaal 20 miljoen euro of vier procent de wereldwijde jaaromzet. Redenen genoeg om security uiterst serieus te nemen," besluit De Goede van Eijk.
Doorsturen | Reageer | Nieuwsbrief