Actueel
12 september 2019
CBS : bedrijven nemen steeds meer cybersecuritymaatregelen
Nederlandse bedrijven nemen steeds meer maatregelen om zich te weren tegen cyberaanvallen van buitenaf. Met name middelgrote bedrijven maken een inhaalslag, terwijl het aantal ICT-veiligheidsincidenten door een aanval van buitenaf is gedaald. Dat valt te lezen in de Cybersecuritymonitor 2019 die deze week door het Centraal Bureau voor de Statistiek werd gepubliceerd.
Leestijd: 3 minuten
CBS Cybersecuritymonitor
De Cybersecuritymonitor van het CBS wordt mede op verzoek van het Ministerie van Economische Zaken en Klimaat samengesteld. Aan de hand van een twintigtal indicatoren wordt een beeld geschetst van de cybersecurity in Nederland. In vergelijking met de eerste editie is er in deze derde uitgave met name voor de bedrijven een aantal extra indicatoren opgenomen, waarbij een beeld geschetst wordt van de ICT-incidenten waar bedrijven en personen slachtoffer van zijn geworden en de maatregelen die ze ertegen nemen.
De derde editie van de Cybersecuritymonitor is te downloaden op de website van het CBS (PDF).
Uit het Cybersecuritybeeld Nederland 2019 dat eerder deze zomer verscheen, wordt in de landelijke media nog herhaaldelijk gequote. De boodschap ‘ontwrichting van de maatschappij ligt op de loer’ is dan ook een serieuze insteek waarbij de NCTV de digitale dreiging voor de nationale veiligheid permanent noemt. “Vrijwel alle vitale processen en systemen in Nederland zijn deels of volledig gedigitaliseerd waarbij er nauwelijks terugvalopties of analoge alternatieven zijn. Deze factoren gecombineerd met het achterblijven van de weerbaarheid, maken Nederland kwetsbaar voor digitale aanvallen.”
De nu verschenen Cybersecuritymonitor 2019 van het CBS heeft gelukkig ook goed nieuws. We nemen een aantal van de belangrijkste cijfers door in deze blog.
Cybersecuritymaatregelen
Het aantal door bedrijven genomen cybersecuritymaatregelen halen de onderzoekers van het CBS uit de jaarlijkse enquête “ICT-gebruik bedrijven”, waarin bedrijven uit een lijst van twaalf verschillende maatregelen kunnen aangeven welke maatregelen worden toegepast. Denk daarbij aan het installeren van antivirussoftware, een beleid voor sterke wachtwoorden en authenticatie via een software- of een hardware-token. In het algemeen geldt hoe meer maatregelen tegelijkertijd genomen worden, hoe hoger het ICT-beveiligingsniveau van een bedrijf.
In het vorige kalenderjaar lag het percentage bedrijven dat aangaf meer dan zes cybersecuritymaatregelen te nemen 5 procentpunt hoger dan in 2017. Grotere bedrijven geven vaker aan meer cybersecuritymaatregelen te nemen dan kleinere bedrijven. Zo gaf in 2018 ruim 90 procent van de bedrijven met 500 en meer werknemers aan meer dan zes cybersecuritymaatregelen te hebben genomen. Voor bedrijven met twee werknemers was dat slechts 17 procent.
De grootste toename was volgens het CBS te zien bij bedrijven met tien tot twintig medewerkers. Bijna 40 procent gaf in 2018 aan meer dan zes cybersecuritymaatregelen te gebruiken. Een jaar eerder was dat nog 31 procent.
Favoriete maatregelen
Antivirussoftware, een beleid voor sterke wachtwoorden en het opslaan van gegevens op een andere fysieke locatie vormen de top 3 van meest gebruikte securitymaatregelen.
Van de bedrijven met 500 of meer werkzame personen maakte 99 procent in 2018 gebruik van antivirussoftware, 95 procent had een sterk wachtwoordenbeleid en hetzelfde percentage sloeg gegevens ergens anders op. Bij bedrijven met twee medewerkers was dit respectievelijk 82, 56 en 57 procent.
Encryptie voor het opslaan van data werd het minst toegepast door bedrijven. Van de grote bedrijven maakte 69 procent hier gebruik van tegen 19 procent van de bedrijven met twee medewerkers.
Inhaalslag middelgrote bedrijven
Uit de resultaten van de derde editie van de monitor van het CBS blijkt dat middelgrote bedrijven een inhaalslag maakten ten opzichte van grote bedrijven in het gebruik van meer geavanceerde cybersecuritymaatregelen. Vooral het gebruik van authenticatie via een soft- of hardwaretoken en beleid voor sterke wachtwoorden nam in 2018 toe bij bedrijven van twintig tot vijftig werkzame personen (met 9 en 6 procentpunt). Grote bedrijven gingen vooral meer gebruik maken van encryptie voor opslag en voor het versturen van data.
Daar stond tegenover dat het aantal cybersecurityincidenten enigszins is afgenomen, waar grote bedrijven nog altijd fors meer mee te maken hebben. Een cybersecurityincident wordt door het CBS gedefinieerd als een verstoring in een ICT-systeem waardoor digitale informatie potentieel verloren gaat of onthuld wordt. Er wordt onderscheid gemaakt tussen gewone incidenten en incidenten door een aanval van buiten.
Incidenten: vooral van binnenuit
Daar stond tegenover dat het aantal cybersecurityincidenten enigszins is afgenomen, waar grote bedrijven nog altijd fors meer mee te maken hebben. Een cybersecurityincident wordt door het CBS gedefinieerd als een verstoring in een ICT-systeem waardoor digitale informatie potentieel verloren gaat of onthuld wordt. Er wordt onderscheid gemaakt tussen gewone incidenten en incidenten door een aanval van buiten.
De gewone incidenten zijn een gevolg van een storing van een ICT-systeem van het bedrijf zelf of door onbedoeld handelen van eigen personeel (zoals het onthullen van bedrijfsgegevens door het verliezen van een USB-stick). Cybersecurityincidenten door een aanval van buitenaf zijn juist door toedoen van cybercriminelen die proberen een bedrijf aan te vallen met behulp van ICT.
Verreweg de meeste ICT-veiligheidsincidenten hebben een interne oorzaak, bijvoorbeeld een storing of onbedoeld handelen van eigen personeel. In grotere bedrijven werken vaak meer mensen met een computer en is er vaak een complexere ICT-infrastructuur. Dat vergroot de kans op incidenten. Ook werken er gemiddeld meer ICT-specialisten waardoor cybersecurityincidenten eerder opgemerkt worden.
Awareways en het MKB
We weten dat grotere bedrijven over het algemeen meer cybersecuritymaatregelen nemen dan kleinere bedrijven, dankzij de aanwezigheid van ICT-experts en het feit dat ze doorgaans over grotere en complexere ICT-infrastructuur beschikken. Dat maakt echter ook dat het MKB achterloopt, terwijl onderzoek van Datto (2018) heeft aangetoond dat Europese MKB’ers meer te lijden hebben onder bijvoorbeeld ransomwareaanvallen in vergelijking met andere bedrijven wereldwijd. Daarnaast zit er een groot verschil tussen hoe MKB-ondernemingen enerzijds en externe ICT-beheerders anderzijds aankijken tegen cybersecurity. Waar slechts 23 procent van het midden- en kleinbedrijf zich zorgen maakt over cybersecurity, geldt dat voor 60 procent van de ICT-beheerders.
Awareways biedt MKB’ers een brede verscheidenheid aan mogelijkheden, in te zetten op verschillende niveaus en geheel afhankelijk van de specifieke wensen en benodigdheden van een organisatie. Het startpunt is vaak een volledige nulmeting, een analyse die in kaart brengt hoe het met informatiebewustzijn gesteld is. Op basis van een uitgebreide evaluatie gericht op een optimale gebruikerservaring en een hoge respons wordt inzichtelijk waar de sterke en zwakke punten liggen.
Vervolgens worden er diverse handvatten aangereikt om informatieveiligheid organisatiebreed aan de kaak te stellen. Oplossingen die gekenmerkt worden up-to-date kennis afgestemd op de laatste ontwikkelingen en wetgevingen. Binnen de diverse trajecten is alles op maat af te stemmen, van de bedrijfseigen toon en huisstijl tot een eigen beheer- en rapportage-omgeving, in verschillende talen beschikbaar en met actieve ondersteuning.
Kijk eens op awareways.com/producten voor een aantal van onze oplossingen, of neem contact op voor meer informatie.
