Nieuws 07 november 2017

PwC: 'Organisaties falen bij effectieve aanpak van cybersecurity'

Het is wereldwijd bedroevend gesteld met de cyberbeveiliging van organisaties.

Dat zegt Gerwin Naber, verantwoordelijk voor de cybersecurity- en privacypraktijk van PwC, op basis van de Global State of Information Security Survey 2018, een periodieke studie van PwC in samenwerking met de tijdschriften CIO en CSO. PwC ondervroeg ruim 9.500 bestuurders en IT-executives uit 122 landen (waaronder Nederland) over de beveiliging van bedrijfsinformatie.

Uit het onderzoek blijkt dat circa de helft van de organisaties basale zaken, zoals bewustzijnstrainingen voor werknemers en een adequaat incident-responsebeleid, niet op orde heeft. "Cybercrime is de snelst groeiende vorm van fraude bij bedrijven", zegt Gerwin Naber. "Ondanks de toenemende dreiging, ontberen verrassend veel organisaties een effectieve aanpak van cybersecurity."

Zwakste schakel

De uitgaven aan beveiliging nemen toe, blijkt uit het onderzoek. Maar een zwakke schakel is volgens PwC het blindelings vertrouwen in eigen personeel en zogeheten third parties zoals service providers en leveranciers. "Bijna een derde (30 procent) van de respondenten wijt cyberincidenten aan nalatigheid en kwaadwilligheid van eigen personeel. Voormalige werknemers (26 procent) en third parties (19 procent) scoren ook hoog als (waarschijnlijke) bron van cyberincidenten. Bijna een kwart (23 procent) van de incidenten wordt toegeschreven aan ‘de onbekende hacker', veelal omdat bedrijven niet weten wie de aanvallers zijn", aldus PwC.

Naber: "Uit ons onderzoek blijkt dat er nauwelijks tijd en aandacht wordt besteed aan de vraag waarom een bedrijf doelwit is voor die onbekende hacker. Daardoor blijft een bedrijf doelwit. Om die cirkel te doorbreken moet je met threat intelligence op zoek naar motieven van hackers. Dus waar zijn de hackers op uit en hoe gaan ze te werk? Als je die informatie hebt, kun je je beveiliging daarop inrichten."

Internet of things

De beveiliging van slimme apparaten die met internet zijn verbonden, staat iets hoger op de bestuurdersagenda dan een jaar geleden. Van de respondenten heeft inmiddels twee derde een zogeheten Internet of Things-beveiligingsstrategie (2016: 62 procent).

Toch zijn dit soort apparaten meestal nog slecht beveiligd. Zo heeft slechts 36 procent uniforme cybersecurity-standaarden en beleidsmaatregelen voor IoT-apparaten en -systemen. Slechts een derde heeft zijn beleid op het gebied van dataverzameling, dataretentie en datavernietiging vernieuwd of aangepast. Dit geldt ook voor systeem-interconnectiviteit, identiteits- en toegangsmanagement en het in kaart brengen van kwetsbaarheden rondom hun business.

Het rapport van PwC doet drie aanbevelingen voor bedrijven:

• C-suites moeten eigenaarschap naar zich toetrekken: bestuurders moeten zelf eigenaar worden van het opbouwen van cyberweerbaarheid. Het bepalen van een top-downstrategie om cyber- en privacyrisico's in de onderneming te beheersen is essentieel.
• Streef niet enkel vanuit risicomijding naar meer weerbaarheid: het bereiken van grotere cyberweerbaarheid leidt naar sterkere economische prestaties op lange termijn.
• Werk doelbewust samen en deel geleerde lessen: sectoren en overheden moeten over de grenzen van hun eigen organisatie, sector of land heenstappen en samen testen, interconnectiviteitsrisico’s identificeren en leren van elkaars risicomanagementaanpak.

> PwC 'Global State of Information Security Survey 2018'