De staat van de wereldwijde cybersecurity is erbarmelijk. De beveiliging van organisaties wereldwijd, ook in Nederland, laat ernstige steken vallen.
‘Het is wereldwijd bedroevend gesteld met de cyberbeveiliging van organisaties,’ zegt Gerwin Naber, verantwoordelijk voor de cybersecurity- en privacypraktijk van PwC. Uit de Global State of Information Security Survey 2018, een periodieke studie van PwC in samenwerking met de tijdschriften CIO en CSO, blijkt dat circa de helft van de organisaties basale zaken, zoals bewustzijnstrainingen voor werknemers en een adequaat incident-responsebeleid, ontbeert.
Onverstandig volgens Naber. ‘Cybercrime is de snelst groeiende vorm van fraude bij bedrijven. Ondanks de toenemende dreiging, ontberen verrassend veel organisaties een effectieve aanpak van cybersecurity.’
Het blindelings vertrouwen in eigen personeel en zogeheten third parties zoals service providers en leveranciers vormt een groot probleem. Naber: ‘Bijna een derde (30 procent) van de respondenten wijt cyberincidenten aan nalatigheid en kwaadwilligheid van eigen personeel. Voormalige werknemers (26 procent) en third parties (19 procent) scoren ook hoog als (waarschijnlijke) bron van cyberincidenten. Bijna een kwart (23 procent) van de incidenten wordt toegeschreven aan ‘de onbekende hacker’, veelal omdat bedrijven niet weten wie de aanvallers zijn.’
Naber: ‘Er wordt nauwelijks tijd en aandacht besteed aan de vraag waarom een bedrijf doelwit is voor die onbekende hacker. Daardoor blijft een bedrijf doelwit. Om die cirkel te doorbreken moet je met threat intelligence op zoek naar motieven van hackers. Dus waar zijn de hackers op uit en hoe gaan ze te werk? Als je die informatie hebt, kun je je beveiliging daarop inrichten.’
Slechte beveiliging IoT
De beveiliging van slimme apparaten die met internet zijn verbonden, staat iets hoger op de bestuurdersagenda dan een jaar geleden. Van de respondenten heeft inmiddels twee derde een zogeheten Internet of Things-beveiligingsstrategie (2016: 62 procent). Dergelijke apparaten zijn vaak slecht beveiligd. Zo heeft slechts 36 procent uniforme cybersecurity-standaarden en beleidsmaatregelen voor IoT-apparaten en -systemen. Slechts een derde heeft zijn beleid op het gebied van dataverzameling, dataretentie en datavernietiging vernieuwd of aangepast. Dit geldt ook voor systeem-interconnectiviteit, identiteits- en toegangsmanagement en het in kaart brengen van kwetsbaarheden rondom hun business.
Bron: http://executivefinance.nl/2017/11/waarom-faalt-de-aanpak-van-cybersecurity/