07 sep
Wij bogen ons over de Cybersecuritymonitor 2022 die het CBS onlangs publiceerde. Natuurlijk vooral met onze (kritische) MKB-bril op.
Wat valt op?
We hebben de Cybersecuritymonitor doorgenomen, en deze zaken vallen ons op:
- Grote bedrijven blijven meer maatregelen nemen dan kleine. Niet verwonderlijk, want het MKB heeft minder menskracht, tijd en geld beschikbaar. Deze bevinding is in lijn met het onderzoek van ABN AMRO, dat concludeert dat het MKB blijft achterlopen op het gebied van cybersecurity.
- 2FA neemt toe. Dit is een zeer positieve ontwikkeling. Toch blijft dit ook bij kleinere organisaties (minder dan 50 medewerkers) achter.
- Bij de uitvoering van de ICT-veiligheidswerkzaamheden valt ons op dat er nog relatief grote groepen zijn die het zelf doen. Maar cybersecurity omvat inmiddels zoveel processen en cybercriminelen zijn zo gewiekst, dat het zeker voor een organisatie met 250 medewerkers of minder het vrijwel ondoenlijk om het echt goed te doen.
- Het aantal incidenten waarbij data is vernietigd door een aanval van buitenaf (over het algemeen ransomware) lijkt in de afgelopen twee jaar af te nemen. Hier wordt gesproken over een percentage tot 4% (uitgaande van organisaties met meer dan 250 medewerkers). Dat oogt als een laag percentage. Maar in absolute zin betekent het dat ongeveer 1 op de 25 bedrijven jaarlijks slachtoffer wordt van alleen al ransomware. De kans op uitval van ICT-systemen door een aanval van buiten is ongeveer 1 op 8 en voor hacks (onthulling van data door inbraken) is dit ongeveer 1 op 12 – hier zie je wel een toename ten opzichte van eerdere jaren.
- De kosten van een incident bedragen over het algemeen minder dan 1% van de omzet, maar er is een toename van gevallen waarbij deze kosten oplopen tot 10% van de omzet.
Wat vinden wij?
De Cybersecuritymonitor 2022 laat een beeld zien dat bedrijven zich bewuster worden van digitale dreiging en risico’s. Dat zien wij ook bij onze klanten. Tegelijkertijd kunnen de percentages een vertekend beeld geven. Want een kans van 4% op schade door een ransomware-aanval en een buit van minder dan 1% van de omzet lijken klein. Maar reken dat in de praktijk eens uit… Dit zijn alsnog forse cijfers!
Verder herhalen we graag een punt dat we eerder hebben gemaakt: in hoeverre bepaalt het aantal maatregelen de weerbaarheid van een organisatie? Hoe zit het met beleid, processen, procedures en vooral: de mens? Daar wordt in de monitor geen aandacht aan besteed.
Net als in voorgaande edities is in de monitor een hoofdstuk gewijd aan het gebruik van DNSSEC (DNSSEC zorgt voor een digitale handtekening van DNS-records, zodat de aanvrager de authenticiteit kan controleren. Hierdoor is ‘spoofen’ of cache-poisoning niet mogelijk). Dit is voor webapplicaties een goede maatregel. Maar wij zien in de praktijk veel websites die zelden of nooit worden gecontroleerd op kwetsbaarheden. Terwijl er in de wereld meer dan 1.000 kwetsbaarheden per maand worden gevonden, die een website of systeem dat een dag eerder nog veilig was, weer onveilig maakt. DNSSEC is goed, periodiek controleren is een must.
Tot slot: het CBS publiceert deze monitor, het NCSC kwam onlangs met het Cybersecuritybeeld Nederland. Wat ons betreft is het een goed idee om deze onderzoeken door overheidsinstanties te bundelen in één overkoepelend onderzoek dat alle aspecten van digitale weerbaarheid en cybersecurity van organisaties omvat.
De cybersecuritymonitor geeft een goed beeld van de ontwikkelingen. Maar de markt zal daarmee echt aan de slag moeten om de weerbaarheid in de praktijk daadwerkelijk te gaan verhogen. Want dat is natuurlijk waar het uiteindelijk om gaat. Het team van ThreadStone helpt daar graag bij.