Nationale IT-Security Monitor 2016: meer dan ooit regeert de angst voor nieuwe dreigingen

006-009-security-monitor3-1

Met de Nationale IT-Security Monitor houdt Pb7 Research in samenwerking met Infosecurity Magazine de vinger aan de pols van de Nederlandse IT-security markt. Net als in de vorige edities hebben we onderzocht wat de belangrijkste trends en investeringen zijn op het gebied van IT-beveiliging in de zakelijke markt. In de zomer van 2016 heeft Pb7 Research daarvoor 219 bedrijven met 50 of meer medewerkers ondervraagd met behulp van een web gebaseerde panel survey. Het onderzoek is dit jaar mede mogelijk gemaakt dankzij de steun van Platinum sponsors Sogeti en IBM en Gold sponsors TSTC en Sophos.

In de Nationale IT-Security Monitor van vorig jaar constateerden we dat de inspanningen om IT veilig te houden steeds meer werden ingegeven door het gebruik van relatief nieuwe technologieën, met het gebruik van cloud en mobiele apparaten voorop. Maar ook de aandacht voor compliance in verband met de voorbereidingen op de Algemene Data Protectie Verordening en de Meldplicht Datalekken, hield de gemoederen stevig bezig. Langzaam begon het imago van IT-beveiliging te kantelen: IT-security is niet alleen een noodzakelijk kwaad, maar ook een groot zakelijk belang in de digitaliseringsslag waar veel organisaties zich voor zien staan.

Dreigingsbeeld

Nu, 12 maanden later, blijkt dat er in een jaar veel kan gebeuren. Het zakelijk belang wordt alsmaar groter, maar dan vooral doordat meer dan ooit de angst - wederom - regeert. De dreigingen zijn groter, de bedreigers beter georganiseerd en de impact is zichtbaarder dan ooit door de opkomst van ransomware aan de ene kant en de meldplicht van datalekken aan de andere kant. Kijken we naar het type veiligheidsincidenten dat plaatsvindt - ook buiten IT, dan zien we dat malware het vaakst tot incidenten leidt, maar dat schade veelal voorkomen wordt. De impact van ‘analoge’ incidenten is meestal nog altijd groter dan de impact van digitale incidenten.

Toch is het aantal bedrijven dat schade lijdt door IT-security-incidenten aanzienlijk. Vooral het fysieke verlies van informatiedragers leidde het afgelopen jaar vaak tot schade. Maar inmiddels heeft ook ransomware al bijna 1 op de 10 bedrijven benadeeld. Opvallend is ook dat meer dan 40% van de organisaties zegt te maken te hebben gehad met DDoS-aanvallen.

tabel1 Figuur 1: Incidenten - met welke van de volgende incidenten heeft uw organisatie de afgelopen 12 maanden te maken gehad?

Als we naar de incidenten kijken vanuit het oogpunt van dataverlies, valt de menselijke invloed op. Dataverlies komt het meest voor doordat medewerkers informatiedragers verliezen door onhandigheid of diefstal. Gebruikers veroorzaken vaker schadelijke incidenten dan cybercriminelen. En hoewel de aard van het dataverlies willekeurig is bij het verlies van informatiedragers, is de impact groot, vooral sinds de Meldplicht Datalekken en de Algemene Data Protectie Verordening.

Het ‘goede’ nieuws is dat de bereidheid om te investeren in IT-beveiliging hierdoor sterk is toegenomen, terwijl we vorig jaar een duidelijke afvlakking moesten constateren. Vorig jaar gaven de securitybeslissers aan dat van elke IT-euro 8 cent naar IT-beveiliging gaat. Dit jaar is dat gestegen tot 11 cent en voor het komend jaar verwacht men dat de uitgaven nog eens met 19% gaan stijgen.

Beleid

Op het gebied van beleid zijn enkele opvallende verschuivingen waarneembaar. De sterkste groei zien we op het vlak van de Algemene Data Protectie Verordening, wat logischerwijs voortvloeit uit het naderbij komen van deze verordening. Een andere opvallende verschuiving is dat steeds meer organisaties IT-security vast zijn gaan leggen in de software ontwerpregels en dat wellicht daardoor iets minder bedrijven aangeven securitybeleid te hebben rond het testen van nieuwe oplossingen. Security wordt vaker ‘meegebakken’.

tabel3 Figuur 3: Geformuleerd Beleid - op welke gebieden heeft uw organisatie beleid geformuleerd op het gebied van IT beveiliging?

Om wat meer achtergrond te krijgen bij het IT-securitybeleid hebben we de securitybeslissers een aantal stellingen voorgelegd. En ook daar zien we interessante verschuivingen ten opzichte van de resultaten van vorig jaar. In 2015 was het aantal organisaties dat IT-beveiliging zag als een noodzakelijk kwaad aan het afnemen (35% eens). Organisaties begonnen IT-beveiliging te zien als een kans om processen te optimaliseren en om succesvol nieuwe producten te kunnen lanceren. Een jaar later zien we dat het idee van ‘noodzakelijk kwaad’ een sterke comeback maakt, ten koste van beide andere gezichtspunten.

tabel4 Figuur 4: Stellingen rond IT securitybeleid - ben u het eerder eens of oneens met de volgende stellingen met betrekking tot de organisatie en beleid van IT beveiliging?

Investeringen

We zien een toenemende bereidheid om in IT-beveiliging te investeren. Organisaties geven aan ook op meer gebieden prioriteit te geven dan vorig jaar (figuur 5). Net als vorig jaar, geven veel organisaties vaak prioriteit aan netwerkbeveiliging, gevolgd door databeveiliging. Dit jaar zien we dat netwerkbeveiliging opnieuw een flinke impuls krijgt en dat daarnaast op drie gebieden de aandacht sterk is toegenomen, waaronder het investeren in medewerkersbewustzijn.

Opvallend is verder dat de investeringen in mobiele security en preventie en risicobeheer minder aandacht krijgen dan vorig jaar. Toch, als we naar de verwachte toename in uitgaven kijken, zien we dat er beduidend meer bedrijven meer gaan uitgeven aan mobiele beveiliging dan dat er bedrijven zijn die er minder in gaan investeren. De sterkste groei kunnen we het komend jaar verwachten in netwerkbeveiliging en vooral medewerkersbewustzijn.

tabel5 Figuur 5: Prioriteiten en investeringen - links: Welke van de volgende investeringen hebben prioriteit in de komende 12 maanden? Rechts: In welke mate verwacht u dat de investeringen op deze gebieden in de komende 12 maanden toe- dan wel afnemen? *percentage bedrijven met toename minus het percentage bedrijven met een afname

Datalekken en compliance

In 2018 wordt de Algemene Data Protectie Verordening van kracht. Zoals verwacht is nog niet iedere organisatie klaar met de voorbereidingen. Het aantal organisaties dat diverse benodigde maatregelen heeft genomen, is sterk toegenomen, maar de realiteit is desondanks dat veel organisaties onvoldoende prioriteit hebben gegeven en behoorlijk achterlopen.

tabel6 Figuur 6: Gereedheid met betrekking tot Algemene Data Protectie Verordening - in welke mate voldoet uw organisatie aan de volgende eisen van de Europese Dataprotectie Verordening?

Bijna de helft (45%) geeft aan dat de directie wel bekend is met het thema, maar er geen prioriteit aan geeft. Als men er al prioriteit aan geeft, wordt het gedelegeerd naar IT. Slechts bij 9% van de ondervraagde organisaties is de directie actief betrokken bij de aanpak.

Het afgelopen jaar is de meeste vooruitgang geboekt op het vlak van de meldplicht datalekken en het opstellen van een privacy strategie. Toch geldt ook daar dat minder dan één op de drie organisaties gereed is.

Cloud en Mobiel

Het blijft ook in 2016 voor veel organisaties een uitdaging om grip te krijgen op veiligheid in de cloud en met mobiele apparaten. De manier waarop organisaties veilig cloudgebruik proberen te realiseren, is sterk in ontwikkeling. Identiteitsbeheer is inmiddels de belangrijkste maatregel om grip te krijgen. De snelste groei komt uit encryptie, waarbij organisaties zelf het sleutelbeheer zeggen te doen. Vorig jaar was dit nog vrij uitzonderlijk, maar nu maakt één op de vier organisaties er al gebruik van.

Ook op het gebied van mobiele apparaten zien we dat het aantal maatregelen toeneemt. Het gebruik van antimalware neemt toe tot 40%, encryptie tot 34%. Ook richt men zich sterker op gedrag van gebruikers met betrekking tot bijvoorbeeld wachtwoorden en bij verlies (30%) en wordt toegang tot bedrijfsdata vaker beperkt (39%).

tabel7 Figuur 7: Veilig cloudgebruik - welke maatregelen heeft u genomen om veilig cloudgebruik te waarborgen?

Analyse

Nederlandse organisaties bevinden zich massaal in een digitaliseringsslag. IT-onderwerpen als cloud, Big Data en Internet der Dingen worden door bedrijven omarmd en worden ingezet om processen te transformeren, nieuwe producten en diensten in de markt te zetten en om anders te communiceren met de klant. Hoe belangrijk het ook is om boven op deze ontwikkelingen te zitten vanuit een security-perspectief, de CISO heeft in 2016 andere problemen aan zijn hoofd.

Zoals 2015 het jaar van compliance met data wet- en regelgeving had moeten zijn, maar het toch vaak niet werd, zo is 2016 niet het jaar van de digitalisering geworden. Meer dan ooit regeert de angst voor nieuwe dreigingen. CISO’s moeten grip krijgen op de doorbraak van ransomware en alsmaar complexere aanvallen van steeds beter georganiseerde cybercriminelen en van meer en minder bevriende naties. De uitdaging om alle bedreigingen het hoofd te bieden, is groter dan ooit en groeit veel organisaties ook daadwerkelijk boven het hoofd.

2016 is niet alleen het jaar van de ‘angst’. In de Nationale IT-Security Monitor constateren we ook dat de aandacht voor het gedrag van de gebruiker/medewerker sterk is toegenomen. Al jaren weten we dat gebruikersgedrag de oorzaak is van veel security incidenten. Maar in 2016 sturen we geen e-mails meer rond met gedragsregels, maar investeren organisaties daadwerkelijk in training. Het besef dat gebruikers fouten zullen blijven maken, wordt verder aangepakt door ruimere investeringen in databeveiliging. Vooral encryptie lijkt een stevige doorbraak te hebben gemaakt.

Hoewel de CISO in de ban is van nieuwe en groeiende bedreigingen, zal deze moeten waken om terug te vallen op een reactieve houding, waarbij de agenda bepaald wordt door de dreiging van de dag. De CISO kan en mag niet voorbij gaan aan de digitaliseringsslagen die binnen de eigen organisatie plaatsvinden. Te allen tijde moet voorkomen worden dat nieuwe toepassingen en digitale diensten met onvoldoende voorbereiding de wereld worden ingestuurd. De aandacht van de CISO op deze plek, is cruciaal en mede bepalend voor het succes van digitalisering.

Het is dan ook belangrijk dat de CISO gaat bepalen waar zijn aandacht het verschil kan maken en waar hij juist over onvoldoende schaal en kennis beschikt om de organisatie veilig te houden. Weten waar je waarde ligt en waar de markt het verschil kan maken, is belangrijker dan ooit.

Peter Vermeulen, directeur Pb7 Research

sponsoren