Hiscox Cyber Readiness Report 2018: Nederlandse bedrijfsleven is matig tot slecht voorbereid op cyberaanvallen. - ProteQtor IT Security B.V.

Hiscox Cyber Readiness Report 2018: Nederlandse bedrijfsleven is matig tot slecht voorbereid op cyberaanvallen.

Nederland het slechtst voorbereid op cyberaanvallen

Hiscox is een verzekeraar gespecialiseerd in verzekeringen tegen cyberaanvallen. Sinds vorig jaar houden ze jaarlijks een onderzoek onder meer dan 4.100 executives, afdelingshoofden, IT managers en andere belangrijke spelers op het gebied van cybersecurity in het Verenigd Koninkrijk, de Verenigde Staten, Duitsland, Spanje en Nederland. Wat blijkt uit het 2018 rapport? Nederland scoort het slechts op alle fronten.

More...

Hoop voor het beste, maar wees op het slechtste voorbereid

U hoeft alleen maar het nieuws te volgen om te weten, dat er een onzichtbare vijand is die met de dag brutaler en effectiever wordt met zijn aanvallen. Er is geen alternatief dan het zelf zo goed mogelijk te beschermen met geavanceerde oplossingen en gekwalificeerd personeel en/of externe partners. Het kop in het zand steken is duidelijk geen alternatief.

Cyberaanvallen een kostbare zaak

Cyberbedreigingen het hoofd bieden is een kostbare zaak. Maar het slachtoffer worden van een cyberaanval kost nog veel meer. Hiscox berekende dat gemiddeld per jaar cyberaanvallen de organisatie zo'n $229.000 kost. Dit was omgerekend ten tijde van het uitkomen van het rapport zo'n €184.000. De jaarlijkse kosten nemen absoluut toe naarmate het bedrijf groter is:

  • Bedrijf met minder dan 250 medewerkers: rond de €28.000 ($32.760)
  • Bedrijf met tussen de 250 en 1000 medewerkers: rond de €240.000 ($280.784)
  • Bedrijf met meer dan 1000 medewerkers: rond de €450.000 ($531.159)

Maar relatief gezien kan de impact op een kleiner bedrijf vele malen groter zijn. Een kleine organisatie kan door een cyberaanval sterk in de problemen geraken of zelfs moet sluiten. 

Reputatieschade en verlies van vertrouwen

Maar naast financiële kosten, levert een hack ook reputatieschade en vertrouwensschade bij klanten en consumenten op. Denk hierbij aan klanten die opzeggen en potentiele klanten die voor een ander kiezen, omdat ze het vertrouwen in de organisatie hebben verloren. Het kan ook een negatief effect hebben op de relatie met partners, die naar verwerkersovereenkomsten en de bijbehorende sancties zullen refereren. Tot slot kan de schade zo groot zijn dat personeel ontslagen moet worden of zelfs het bestaan van het bedrijf in gevaar komt.  

8 van de 10 Nederlandse bedrijven zijn slecht voorbereid

In het onderzoek werd cybersecurity gereedheid van de onderzochte bedrijven bepaald door hun strategie (toezicht en resourcing) en hun uitvoering (processen en technologie) in kaart te brengen. Aan de hand daarvan werden de bedrijven verdeeld in Cyber Novices, Cyber Intermediates en Cyber Experts. Gemiddeld gezien was 73% een cyber beginneling. Slechts 11% was een cyberexpert. Maar voor Nederland liggen die toch al niet gunstige cijfers nog lager. 82% was een cyber beginneling. 4 van de 5 bedrijven gaven aan dat ze nog niet veel aan cyber security hadden gedaan om hun organisatie te beschermen. Ondanks dat de helft van de respondenten aangaven dat ze minimaal 3 cyberaanvallen in de afgelopen 12 maanden hadden gehad. Slechts 7% zijn Cyber Expert. Nederland is duidelijk het slechtst presterende jongetje van de klas.

Slechts 2 van de 5 bedrijven geven hun medewerkers cybersecuritytraining

Maar het gaat om meer dan alleen om het IT-budget. Het draait ook om de medewerkers en deze zijn vaak de zwakste schakel in de verdediging. De meeste geslaagde aanvallen vinden nog steeds via e-mail plaats. Het is dus van belang om deze medewerkers te trainen om de kans op infectie terug te dringen. Slechts 42% van de Nederlandse respondenten geven hun medewerkers een cybersecurity training en bieden bewustwordingsprogramma's.

De helft van de Nederlandse respondenten was slachtoffer

50% van de Nederlandse ondervraagden waren slachtoffer va een cyberaanval. Hiervan was twee-derde in de energiesector en financiële dienstverlening. Verontrustend was dat 8% niet wist of ze slachtoffer waren van een hack. 

Na een cyberaanval doet de helft niets.

Een ander verontrustend gegeven is dat de helft van de slachtoffers aangeeft, dat ze geen veranderingen in hun beleid hebben doorgevoerd. 'Business as usual' dus. Degenen die wel wat doen, geven aan meer geld uit te geven aan preventie- en detectietechnologiën. Maar trainingen en bewustwordingsprogramma's aan medewerkers staat stuk lager op het prioriteitenlijstje, terwijl de Cyber Experts aangeven dat zulke trainingen de aantallen incidenten vermindert.

Wat u moet doen

Het advies van Hiscox is om snel maatregelen te nemen en die niet te beperken tot alleen technologie. Kort samengevat is het advies als volgt:

  • Focus niet alleen op technologie;
  • check
    Zorg dat de technologie actueel is en opgewassen is tegen huidige en toekomstige aanvallen;
  • Denk pro-actief;
  • Stel strakke processen op;
  • check
    Train het personeel in cyberveiligheid;
  • check
    Maak medewerkers bewust;
  • check
    Houd regelmatig tests, zoals 'phishing'-tests en cyberaanvalsimulaties;
  • check
    Zorg dat systemen en software up-to-date zijn.

Zal 2018 het jaar van de kentering zijn?

Zal de AVG een positief effect hebben gehad op de cybergereedheid van Nederlandse bedrijven? We gaan het vast lezen in de Hiscox Cyber Readiness Report 2019. Maar tot dat moment is het van groot belang om heel kritisch naar de eigen organisatie te kijken en hoe gereed deze is wat cybersecurity betreft. Als verzekeraar refereert Hiscox naar cyberverzekeringen om in ieder geval de financiële risico's van cyberaanvallen af te dekken. Maar kijk ook naar de bescherming die er nu is. Vertrouwt u nog steeds op gedateerde anti-virus software? Dat is onnodig risico lopen. Er zijn nu veel geavanceerdere en betaalbare oplossingen te verkrijgen zoals het Endpoint Protection Platfom van SentinelOne. Hier leest u waarom uw bedrijf SentinelOne zou moeten overwegen. Zorg daarnaast voor dat uw medewerkers op de hoogte zijn van de risico's en deze risico's ook kunnen herkennen.

Dat uw organisatie een keer slachtoffer wordt van een cyberaanval is bijna onvermijdelijk. Maar zorg ervoor dat u voorbereid bent, zodat u de aanval zonder al te veel gevolgen kan doorstaan.

Mark van Horik

Mark is mede-oprichter en managing partner van ProteQtor IT Security. Mark schrijft en geeft lezingen over onderwerpen die te maken hebben met privacy, cybersecurity en marketing technology.

Click Here to Leave a Comment Below

Leave a Comment: