Hoewel bedrijven meer geld voor it-security vrijmaken, blijven er hiaten zitten in de aanpak van veiligheidsproblemen. Dat blijkt uit de de vierde editie van de Information Security Breaches Survey, een initiatief van Infosecurity.be en PwC Belgium.
De studie van PwC formuleert hoe Belgische bedrijven – zowel KMO’s als grote ondernemingen – met cyberrisico’s omgaan, welke de meest voorkomende cyberdreigingen zijn en welke lessen hieruit zijn te trekken?
Een aspect is zonneklaar: het budget voor it-beveiliging blijft stijgen, niet alleen naar aanleiding van GDPR, maar ook omdat bedrijfsleiders zich in toenemende mate zorgen maken over de reputatie van hun onderneming.
‘Toch wordt vaak nog niet voldaan aan bijkomende verplichtingen van de AVG, zoals een incidentmeldingsprocedure’, stelt Marc Sel, director PwC Belgium. ‘Tevens evalueert een derde van de respondenten de security-inspanningen niet op een formele wijze.’
Sels pleit daarom voor een aanpak met brede en geïntegreerde security-oplossingen, met meer en beter gebruik van ‘threat intelligence’ en een actieve samenwerking tussen alle actoren: overheid, bedrijven, academici en gebruikers. Ook extra trainingsprogramma’s moeten gebruikers weerbaarder maken.
Ernstige incidenten werden even vaak als vorig jaar gemeld (vijftien procent van de respondenten), maar haast evenveel bedrijven wisten niet of ze een lek hadden opgelopen (een stijging met een derde). Getroffen organisaties wisten vaak niet hoelang het lek bestond.
Phishing
‘Het valt op dat menselijk falen de hoofdoorzaak van lekken blijft, met social engineering of phishing (55%) als grootste pijnpunten, en dit ondanks doorlopende trainingsprogramma’s (57%)’, stipt Ivo Meertens van Infosecurity Belgium aan. De bedrijfsleiding (C-level) ziet nu echt wel het belang van informatiebeveiliging in, maar er is nog werk aan de winkel, zoals bijvoorbeeld de toekenning van ‘ownership’ van data en processen.
Meer respondenten melden een financieel verlies door datalekken – waarvan vijf procent meer dan een miljoen euro verlies veroorzaakten. Tegelijk stijgen ook de herstelkosten. Meertens wijst erop dat een derde van de respondenten geen bedrag kon plakken op het financieel verlies of de herstelkosten: ‘Dit staaft de overtuiging dat de kostprijs van datalekken nog steeds wordt onderschat.’
Personeelstekort
Ondanks detectiesystemen en log-analyse, steunt haast driekwart van de respondenten het meest op meldingen en klachten van gebruikers om gecompromitteerde toestellen te identificeren. Daarbij blijken toestellen in eigendom van het bedrijf (laptops, mobiele toestellen) en netwerkapparatuur vaker het doelwit van aanvallen te zijn dan bring your own device (BYOD)-toestellen (die iets meer dan een kwart van de onderzochte toestellen uitmaakten).
Slechts een helft van de organisaties evalueert de incident response-procedures, en dan gewoonlijk pas na een incident, dus niet proactief. Als mogelijke belemmeringen voor meer effectieve procedures wijzen respondenten op gebrekkige overzichten van gebeurtenissen in verschillende systemen en domeinen, procedureproblemen en budget- en personeelstekorten.
De volledige studie wordt voorgesteld en toegelicht door Marc Sel tijdens een seminarie op Infosecurity.be, op donderdag 23 maart, 11h – 11h45, zaal 3.
