‘Meer geld naar koffie dan naar security’

De mate waarin een bedrijf zijn cyber-security voor elkaar heeft, wordt een steeds belangrijker criterium bij de keuze voor een leverancier. Zeker als er data wordt uitgewisseld of ict-systemen gekoppeld zijn, is het belangrijk om te weten of die partij de beveiliging wel op orde heeft.

‘De digitalisering van producten en productieprocessen maakt de verbindingen tussen bedrijven makkelijker, maar verhoogt tegelijkertijd de kwetsbaarheid voor cyberaanvallen. Klanten beseffen dat die koppelingen gevolgen kunnen hebben voor de veiligheid van hun data. Ze houden daar rekening mee bij de aankoop van producten’, concludeert Roland Berger Strategy Consultants in hun studie naar cyber-security.

Cyber-security

Volgens de onderzoekers zijn het niet alleen potentiële klanten die steeds meer waarde hechten aan data- en informatiebescherming bij marktpartijen, ook regeringen (in de rol van regelgever), ratingbureaus (die de kredietwaardigheid van bedrijven inschatten) en verzekeraars (die uitkeren bij cyberaanvallen) worden steeds strenger.

Alexander Belderok, hoofd van het Operations/Manufacturing Competence Center van Ronald Berger legt uit dat alle betrokkenen er bij bedrijven in toenemende mate op aansturen hun cyber-security zorgvuldig te plannen. Daarnaast onderscheiden leveranciers zich steeds meer in de mate waarin ze cyber security serieus nemen.’

Verantwoordelijkheid bij management

Volgens de adviseurs is het topmanagement van bedrijven zich er vaak niet van bewust dat de verantwoordelijkheid voor goede beveiliging bij hen ligt, en niet bij de ict-afdeling. ‘Ook onderschatten bedrijven wat de schade van een hack kan zijn – mede omdat ze zich niet realiseren dat belanghebbenden steeds hogere eisen stellen aan cyber-security‘, aldus de adviseurs.

10 procent ict-budget

Ook brancheorganisatie Nederland ICT benadrukt dat er op strategisch niveau blijvende aandacht moet zijn voor cyber security. Volgens de branchevereniging zouden organisaties minimaal 10 procent van hun ict-budget vrij moeten maken voor digitale beveiliging.

Koffie of beveiliging?

Volgens de brancheorganisatie geven Nederlandse bedrijven meer geld uit aan de koffieautomaat dan aan het beveiligen van hun digitale infrastructuur en zijn veel directies zich onvoldoende bewust van het belang van een goede aanpak. ‘De kennis van security moet binnen de top van bedrijven echt omhoog’, aldus Nederland ICT.

Hackers

Belderok ziet dat veel ict-afdelingen zich traditioneel richten op de communicatiesystemen en zakelijke software. ‘Ze vergeten dat door de digitalisering ook gevaar dreigt voor de productsoftware en de verbinding van deze producten met bijvoorbeeld de onderhoudsafdelingen. Hackers kunnen tegelijkertijd verschillende delen van een bedrijf aanvallen. Cyber-security kan niet meer gericht zijn op de losse onderdelen, het vereist een integrale aanpak.’

‘Nu het internet het voor criminelen mogelijk maakt alle onderdelen van bedrijven te raken, moet al het personeel bewust worden gemaakt van de risico’s’, zegt Belderok. ‘Gerichte training kan werknemers helpen om zwakten in de systemen zelf te ontdekken, voordat het te laat is.’

Protocollen

Projectmanager Frank Schrijver van Roland Berger: ‘ Er zijn allerlei certificeringen en protocollen die de cyber security moeten waarborgen. Maar het moet in het DNA van bedrijven komen te zitten dat geen één protocol je tegen alle bedreigingen kan beschermen.’

Hij benadrukt dat vooral veelgebruikte en verouderde protocollen kwetsbaar zijn voor hackers. ‘Protocollen zijn vaak statisch. Het is belangrijk om te onthouden dat digitale beveiliging vraagt om constante monitoring van wat er gebeurt en welke aanvallen plaatsvinden.’ Uit eerder onderzoek van HP blijkt dat cybercriminelen nog altijd erg succesvol met aanvalsmethoden die al jaren bekend zijn. Bij 44% van de aanvallen worden kwetsbaarheden gebruikt die al twee tot vier jaar bekend zijn.

8,8 miljard schade

In Nederland is de schade door cyberaanvallen 8,8 miljard euro per jaar, berekende de Amerikaanse denktank Center for Strategic and International Studies in 2014. Dat is 1,5 procent van het bruto nationaal product, iets minder dan de voorspelde economische groei voor 2015.

Volgens Berger is de maakindustrie het vaakst doelwit van hackers, namelijk in bijna een kwart van de gevallen. Hij wijt dat aan de ‘vierde industriële revolutie’; de ontwikkeling waarbij verbinding tussen grote databestanden, software van fabrieken en machinetechnologie verbonden zijn via een netwerk.

‘Bedrijven sturen hun fabrieken en servicenetwerken vaker online aan, gebruiken computergestuurde processen om producten te ontwikkelen en slaan hun onderzoeksresultaten digitaal op. Na de maakindustrie zijn de financiële sector en verzekeraars het vaakst doelwit’, stelt de onderzoeker.

Dreiging

Roland Berger heeft een vijfstappenplan opgesteld waarmee bedrijven hun cyber-security kunnen verbeteren:

  • Vaststellen welke bedrijfsonderdelen bescherming nodig hebben;
  • Begrijpen hoe groot de dreiging is;
  • De dreiging kwantificeren;
  • Evalueren welke oplossingen er zijn;
  • Die oplossingen onderdeel laten worden van de bedrijfscultuur.

Lees ook:

Beeld Dmitry Kalinin via Flickr.