Bij organisaties over de hele wereld stagneert de vooruitgang op het gebied van cybersecurity. Daarmee riskeren ze verlamming omdat cybercriminelen geavanceerd te werk gaan. Dit blijkt uit een internationaal onderzoek van NTT Security. India is het best presterende land.
Het vijfde Risk: Value-rapport bundelt de antwoorden van ruim 2.200 c-level executives en directeur in verschillende sectoren in twintig landen in Noord- en Zuid-Amerika, Zuidoost-Azië en Europa, waarvan 101 in de Benelux.
De resultaten tonen aan dat organisaties zich bewust zijn van de risico’s van cyberbedreigingen. Enkel de kans op een ‘economische of financiële crisis’ baart organisaties meer zorgen dan het risico op ‘cyberaanvallen op de organisatie’. De meerderheid van de respondenten – 84 procent wereldwijd, en 77 procent in de Benelux – gelooft dat goede cybersecurity hun bedrijf zal helpen. Respectievelijk 88 en tachtig procent is van mening dat cybersecurity een grote rol speelt in de samenleving.
Voor elke onderzochte organisatie analyseerde NTT Security de reacties op goede en slechte toepassingen in cybersecurity, waarbij goede toepassingen positieve scores opleverden en slechte negatieve scores. De resultaten tonen een zorgwekkend gebrek aan vooruitgang: in 2019 was de gemiddelde score – net als in 2018 – slechts +3, wat betekent dat er bijna evenveel slechte als goede toepassingen zijn.
In de Benelux scoren België (+1) en Nederland (0) onder het wereldwijde gemiddelde. Minder dan de helft van de Benelux-respondenten beschouwt al zijn ‘kritieke data’ als ‘volledig veilig’ – 45 procent, exact hetzelfde percentage als in 2018. Ruim een derde geeft aan liever losgeld te betalen aan een hacker, dan een boete te krijgen omdat ze niet voldoen aan de voorschriften voor dataprotectie. Hetzelfde deel betaalt liever een hacker dan te investeren in beveiliging. Dit zijn dezelfde resultaten als in 2018, wat het gebrek aan vooruitgang illustreert.
Regelgeving
Hoewel 81 procent aangeeft het naleven van de regelgeving belangrijk te vinden, weet tien procent niet aan welke regels het bedrijf moet voldoen. Slechts 24 procent denkt dat de AVG (Algemene Verordening Gegevensbescherming) – een jaar na de uiterste nalevingsdatum – op hen van toepassing is. De AVG heeft echter betrekking op alle organisaties die werken met klanten in een lidstaat van de Europese Unie. Veertig procent vindt cybersecurity een ‘probleem van de it-afdeling, niet van de hele organisatie’.
Het blijkt ook dat Benelux-respondenten, in tegenstelling tot het wereldwijde gemiddelde, van mening zijn dat de tijd besteed aan het herstellen van een datalek afneemt ten opzichte van vorig jaar: 57 dagen (-6 dagen) voor de Benelux en 66 dagen (+9 dagen) wereldwijd. Het geschatte omzetverlies is echter gestegen: 12,7 procent in 2019, vergeleken met 10,3 procent in 2018 en 9,9 procent in 2017. De kosten voor het herstellen van een datalek blijven hoog, met gemiddeld bijna 900.000 euro voor Benelux-bedrijven en een miljoen euro wereldwijd.
Beveiligingsbudgetten zijn niet toereikend voor de toenemende dreiging van cyberaanvallen. Er was slechts een kleine toename in het percentage van it-budgetten gereserveerd voor beveiliging (veertien procent). Het percentage van het operationele budget voor beveiliging daalde sinds 2018, naar vijftien procent.
Bedrijven in India, een nog niet eerder onderzocht land, presteren het best op het gebied van cybersecurity, zelfs beter dan de VS en het VK. De prestaties van organisaties in Frankrijk, Duitsland en Singapore verslechterden het afgelopen jaar, evenals de prestaties van bedrijven in de financiële dienstverlening, telecommunicatie, chemie, farma, olie en gas en particuliere gezondheidszorg.