Nationale IT-Security Monitor 2018/2019: impact en aantal incidenten blijft

shutterstock_417068818-2

Na afwezigheid van een jaar is de Nationale IT-Security Monitor weer helemaal terug.

Met deze monitor houdt Pb7 Research in samenwerking met Infosecurity Magazine de vinger aan de pols van de Nederlandse IT-security markt. In november 2018 zijn 228 bedrijven met 50 of meer medewerkers ondervraagd met behulp van een web gebaseerde panel survey. Net als in de voorgaande edities onderzoeken we wat de belangrijkste trends en investeringen zijn in de zakelijke markt. Het onderzoek is dit jaar mede mogelijk gemaakt dankzij de steun van hoofdsponsors IBM, Kaspersky Lab en Sogeti.

IBM_Security kasperskylab_200x46 Sogeti_Logo

In het onderzoek proberen we veel vraagpunten over een aantal jaren heen ter herhalen, zodat we goed inzicht krijgen in de ontwikkelingen. Maar we borduren ook voort op de laatste bevindingen en houden onze ogen open voor nieuwe thema’s. Zo hebben we in deze editie ook weer goed gekeken naar de belangrijkste drijfveren achter security-investeringen en het veranderende dreigingsbeeld. Ook keken we opnieuw naar de impact van de cloud, mobiele databeveiliging en compliance uitdagingen ten aanzien van met name de AVG. Dit jaar keken we ook specifiek naar het Internet of Things.

Resultaten

In de vorige Nationale IT-Security Monitor constateerden we dat IT-security dreigingen steeds tastbaarder werden. Terwijl de afhankelijkheid van IT sterk was toegenomen, waren de dreigingen veel reëler geworden door ransomware-golven die grote bedrijven plat wisten te leggen. Bovendien werd de hand van meer en minder bevriende overheden steeds zichtbaarder. Maar IT-security werd ook een onderwerp op directie­niveau door de onvermijdelijke komst van de Algemene Verordening Gegevensbescherming. We stelden dan ook dat de angst wederom regeerde in IT-securityland.

Intussen zijn in het afgelopen jaar 2018 de gemoederen aardig verhit geraakt. In navolging van de Verenigde Staten worden ook in Nederland en de EU IT- en IT-securityleveranciers ‘uit voorzorg’ in de ban gedaan. En het aantal datalekken en de ernst ervan lijken eerder toe dan af te nemen, ondanks alle wet- en regelgeving. De cybercrime-bedreigingen nemen allerminst af. We zien bovendien een toenemende aandacht voor steeds geraffineerdere en bovendien gepersonaliseerde hybride cybercrime, zoals CEO-fraude die bij bijvoorbeeld Pathé miljoenen euro’s heeft gekost.

Dreigingsbeeld

Als we kijken naar het type IT-veilig­heidsincidenten dat plaatsvindt binnen Nederlandse organisaties, zien we dat er de afgelopen twee jaar eigenlijk heel weinig is veranderd. Net als twee jaar geleden is meer dan 70% van alle organisaties getroffen door malware. Meestal weet men schade te voor­komen, maar toch zijn er aardig wat organisaties bij wie malware tot schade leidde. Iets minder vaak, maar toch bij 1 op de 2 organisaties, staat het verlies van informatiedragers zoals laptops, smartphones of USB-sticks. Bij dergelijke incidenten wordt relatief vaak schade geleden. Er zijn ook incidenten die wat vaker plaatsvinden dan twee jaar geleden, zoals ransomware en hacks, maar de verschillen zijn niet heel groot.

tabel 1

Opvallend is dat geen enkel type incident minder vaak is gaan plaats­vinden. Wel hebben DDoS-aanvallen minder vaak tot schade geleid. Blijkbaar zijn organisaties daar nu wat beter tegen gewapend. Nieuw in ons overzicht is CEO-fraude. Opvallend is dat meer dan een op de vier organisaties met zulke incidenten te maken heeft gehad, waarbij het bij 6% van alle organisaties ook tot daadwerkelijke schade heeft geleid.

Investeringen

Het is dan ook niet vreemd dat de uitgaven aan IT-security sterk blijven stijgen. Volgens de ondervraagde bedrijven stegen de uitgaven aan IT-security met 14% in 2018. Voor 2019 verwacht men hetzelfde percentage. Vooral bij zakelijke dienstverleners en in de publieke sector zien we een sterke groei plaatsvinden. Binnen finance en de industrie groeien de uitgaven beneden gemiddeld, maar ook nog altijd met bijna 10% per jaar.

Angst lijkt daarbij niet (langer) de belangrijkste drijfveer. Hoewel er nog best vaak gereageerd wordt op inciden­ten binnen of buiten de organisatie of het algemene dreigingsbeeld, liggen de belangrijkste drijfveren elders. Navraag leert dat vooral het groeiende gebruik van de cloud bedrijven aanzet om meer te gaan investeren in IT-beveiliging. Dat wordt op de voet gevolgd door wet- en regelgeving, waarbij opvalt dat ‘andere wetgeving’ nog vaker wordt genoemd dan de AVG.

tabel 2

Daarna zien we dat veel organisaties aangeven dat de directie wakker is geworden en de noodzaak van investeringen begrijpt. Dat zal zowel het gevolg zijn van de toenemende afhankelijkheid van IT, al dan niet vanuit de cloud, als de eisen en sancties van wet- en regelgevers rond onder meer de AVG.

Waar investeren Nederlandse organisa­ties dan in? Veel organisaties geven een hoge of zelfs topprioriteit aan een groot aantal security-gebieden. Het meest genoemd worden veilige content en threat management evenals netwerk­beveiliging. Dat zijn voor IT-beveiligers toch wel de belangrijkste hygiëne-gebieden die op orde moeten zijn en ieder jaar dienen te worden geëvalueerd. We kunnen stellen dat dat inmiddels ook geldt voor databeveiliging, hoewel veel organisaties daar nog wel een slag kunnen maken. Het wordt dan ook relatief vaak als topprioriteit aangemerkt.

Medewerkersbewustzijn staat inmiddels ook bij veel organisaties op de agenda. Het is zelfs de meest genoemde topprioriteit. Met de opkomst van complexe dreigingen, waarbij cyber­criminelen steeds uitgekookter van persoonlijke zwakheden van medewerkers proberen te profiteren, is dat begrijpelijk en zijn geregelde opfriscursussen bittere noodzaak.

Ieder jaar hameren we in de monitor op het belang van secure en private by design. Het belang van secure development lijkt achter te blijven. Maar als we er rekening mee houden dat maar de helft van de ondervraagde bedrijven zelf software ontwikkelt of op maat laat ontwikkelen, kunnen we ook stellen dat dit voor Nederlandse organisaties een bijzonder belangrijk thema is.

Datalekken en compliance

Het is alweer twee en een half jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) van kracht werd. Je zou dus mogen verwachten dat alle voorbereidingen inmiddels zijn afgerond en dat er hier en daar nog wat bijgeschaafd wordt. Het goede nieuws is dat beduidend meer organisaties beduidend meer stappen hebben afgerond. Het slechte nieuws is dat de meerderheid van de Nederlandse organisaties nog altijd in gebreke blijft.

tabel 3

Dataprotectie Verordening?

Als er een datalek optreedt, reageert niet iedere organisatie even adequaat. Slechts 26% meldt alle incidenten zowel aan de directie als aan de betrokkenen. Veel organisaties kiezen ervoor om alleen ernstige incidenten te melden. Bij 22% van de bedrijven worden gedupeerden meestal niet of helemaal niet op de hoogte gesteld van een datalek. Ook zegt maar 40% altijd netjes een melding te maken bij de Autoriteit Persoonsgegevens bij verlies van privacygevoelige informatie. Dat is overigens wel een verbetering ten opzichte van de 35% van het onderzoek in 2016, maar het oogt toch teleurstellend.

Cloud, mobiel en IoT

Nederlandse bedrijven zijn in de afgelopen tien jaar steeds meer gebruik gaan maken van de cloud en mobiele oplossingen. In het verlengde daarvan zien we dat steeds meer bedrijven ook het Internet of Things (IoT) omarmen. Wat het IoT betreft, staan we pas aan het begin, ondanks dat we al behoorlijk lang geleden zijn begonnen met het aan elkaar knopen van apparaten. Maar de toegenomen rekenkracht en de mogelijk­heden die daardoor ook ontstaan om dingen autonoom slimme beslissingen te laten nemen dankzij kunstmatige intelligentie en machine learning, zorgen ervoor dat we een lange innovatiegolf tegemoet kunnen zien. En dat brengt helaas ook weer nieuwe bedreigingen met zich mee.

Maar ook op het gebied van de cloud nemen de uitdagingen voor bedrijven toe. Veel organisaties laten de schroom ten aanzien van cloud computing varen en vertrouwen steeds meer kritische workloads aan de cloud toe. Die cloud is dan wel in de meeste gevallen een matig geïntegreerde multicloud die zich moet gaan ontwikkelen tot een efficiënte hybride cloud. De meeste organisaties hebben nog onvoldoende grip op hun cloud-omgeving, wat niet alleen beheer, maar ook beveiligingsrisico’s met zich meebrengt. Zoals we eerder zagen, hebben IT-security investeringen in dit domein dan ook behoorlijk wat prioriteit. In de tussentijd wordt vooral ook veel in identiteitsbeheer en veilig gedrag geïnvesteerd.

tabel 4

Wat mobiel datagebruik betreft, geldt ook dat richtlijnen voor veilig gedrag en gebruikerstraining aan belang toenemen. Wat we dit jaar vooral zien, is dat IT van afstand veel vaker apparaten goed kan beheren. Het aantal bedrijven dat over MDM beschikt, nam sterk toe.

Over de beveiliging van IoT bestaan veel zorgen. Aan de ene kant zijn er de bekende verhalen over fabrikanten die de software niet of nauwelijks hebben beveiligd: kinderarmbandjes waarmee niet alleen de ouders hun kind kunnen vinden in het park, babyfoons waar iedereen mee kan kijken, maar ook slecht beveiligde printers waarmee hackers op uw bedrijfsnetwerk kunnen komen. En dan zijn er nog de botnets die bestaan uit gehackte IoT-apparaten die u voor een prikkie kunt huren om een DDoS-aanval op te zetten.

Tekortkomingen

Veel fabrikanten laten dus de nodige steken vallen bij de ontwikkeling van nieuwe producten. Maar de risico’s nemen ook toe door het beheer van fysieke apparaten aan het internet te koppelen. Apparatuur kan gemani­puleerd worden, zodat oververhitting en brandgevaar ontstaat; weg- en waterwerken kunnen ook niet zonder grote risico’s via het internet benaderd worden.

De respondenten in de monitor wijzen vooral naar de tekortkomingen van leveranciers. Wat hun eigen IoT-activiteiten betreft, geeft een derde aan dat security er pas aan het eind ‘aan wordt toegevoegd’, terwijl maar een op de vijf altijd de regel ‘secure by design’ aanhoudt. Daar valt zeker nog wel het nodige te verbeteren.

Analyse

IT-security is een serieuze zaak. Dat feit lijken we inmiddels allemaal te begrijpen. In de wereld van IT-security wordt vaak geroepen dat IT-security te belangrijk is om aan IT’ers en IT-beveiligers over te laten. Nu iedereen - van de bestuurder tot aan de minister - het bloedserieus begint te nemen, wordt er verzucht dat het toch fijn zou zijn als ze ook wat meer verstand van zaken hadden. Maar IT-security is en blijft nu eenmaal een complex onderwerp waar alleen het falen zichtbaar is.

tabel 5

In de vorige monitor constateerden we dat de angst voor nieuwe dreigingen en voor nieuwe regels (AVG!) IT-security stevig in zijn greep had. Ook dit jaar zien we dat de dreigingen verder toenemen en dat de impact van incidenten steeds groter wordt. En dat terwijl Nederlandse organisaties steeds afhankelijker worden van IT. Het voordeel daarvan is, dat de budgetten voor IT-beveiliging vrij stevig mogen blijven groeien.

Het nadeel is dat het aantal incidenten waar bedrijven mee te maken hebben, ondanks deze investeringen, maar blijft groeien. Er lijkt een klein succesje te zijn bij het bestrijden van DDoS-aanvallen, maar verder zien we in de Monitor dat de schade eerder toe- dan afneemt. De wapenwedloop tussen cybercriminelen en beveiligers valt te vaak nog uit in het voordeel van de slechteriken, die steeds geavanceerdere manieren bedenken om organisaties van hun geld te ontdoen. Daardoor moeten CISO’s net zo hard in nieuwe kennis en vaardigheden investeren om bedreigingen zo goed mogelijk te neutraliseren.

Toch valt er nog meer dan genoeg te verbeteren bij Nederlandse organisaties. Het gebrek aan compliance met de AVG - die alweer twee en een half jaar van kracht is - is opvallend. Nog altijd lijken veel bedrijven af te wachten of en waar het fout gaat en proberen ze er dan het beste van te maken. AVG compliance blijft voorlopig werk-in-uitvoering. Wel blijft het een belangrijke drijfveer voor security-investeringen.

De belangrijkste drijfveer voor security investeringen is het toenemende gebruik van de cloud. Voor veel organisaties komt het cloud-gebruik inmiddels in de ‘mainstream’ van de IT-infrastructuur. Daarmee komen ook veel van de data-kroonjuwelen in de cloud terecht. Voorheen vermeden organisaties dat simpelweg, maar nu moeten ze ervoor zorgen dat ze de cloud veilig maken en houden. Zo wordt databeveiliging, waaronder encryptie, een steeds belangrijker thema.

tabel 6

De volgende stap is de opkomst van het Internet of Things (IoT). De mogelijkheid om digitaal de fysieke omgeving te manipuleren biedt niet alleen grote mogelijkheden voor de eigenaar en gebruikers, maar ook voor cyber­criminelen. Helaas gaat daar nog altijd veel mis. Ook de ondervraagde organisaties die zich met IoT bezig­houden, denken lang niet altijd in termen als ‘secure by design’ en laten security te laat in het proces aansluiten.

Als CISO loop je rond met een kruiwagen met steeds meer kikkers. Het lijkt onmogelijk om ze er allemaal in te houden. Hoe frustrerend dat ook kan zijn, het maakt het vak uitdagend voor de gepassioneerde beveiliger. Zo bezien is IT-security in 2018 alleen maar leuker geworden.

Peter Vermeulen is directeur van Pb7 Research