Informatiebeveiliging in 2019

Het jaar is pas net ten einde en januari is altijd een mooie maand om even terug te blikken op hetgeen de revue heeft gepasseerd. Natuurlijk gaan we hier niet alle individuele aanvallen, maar proberen we een beeld te schetsen middels cijfers en percentages. Zo is het interessant om te beginnen met het volgende statement: 2019 was, voor informatiebeveiliging, het slechtste jaar ooit. Hiermee bedoelen we niet dat veel mensen op straat zijn gezet. Maar juist dat er misschien wel te weinig mensen bezig zijn met informatiebeveiliging en privacy. Uit diverse onderzoeken, waaronder een rapport van IBM, is gebleken dat de gemiddelde kosten voor een bedrijf als gevolg van een lek (verlies van data / persoonsgegevens) in 2019 uitkwamen op meer dan drieënhalf miljoen. Om een beeld te schetsen, dat getal lag 5 jaar geleden 12% lager. Dus om een nog beter beeld te schetsen, in de eerste helft van 2019 steeg het aantal datalekken met 54%. Meerdere onderzoeken over het aantal blootgestelde gegevens in 2019 geven daarnaast ook nog eens aan dat het om meer dan 4 miljard gegevens gaat. Dat zijn nog eens cijfers.

Meer dan alleen financiële kosten

De kosten van een dusdanige aanval bestaan uit verschillende elementen. Zo wordt er, zeker tegenwoordig, vaak een bedrag betaald aan ‘kidnappers’ (in het geval van ransomware) om de ‘gegijzelde’ bestanden terug in handen te krijgen. Dit bedrag kan, afhankelijk van de grootte van de organisatie, oplopen tot miljoenen. Daarnaast heb je nog de kosten die zich opstapelen tijdens de aanval. Veel bedrijven huren vaak IT-experts en cybersecurity teams in om de boel te komen redden. Tegelijkertijd ligt het bedrijf vaak plat, wat ook veel geld kost. En nadat je dan flink hebt betaald en je de bestanden weer terug hebt gekregen, moet je alles repareren en niet vergeten alle kwetsbaarheden te dichten. Kortom, een aardig prijskaartje. En van dit soort grote en bovenal succesvolle ransomware aanvallen hebben we er in 2019 meer gezien. Opvallend hierin is dat het NCSC al eerder in hun veiligheidsbeeld 2019 meldde dat het aantal malware aanvallen juist is afgenomen. Dit zou kunnen betekenen dat er door hackers tegenwoordig meer wordt gekeken naar de potentie van een doelwit in plaats van blind schieten en hopen iets waardevols te raken.

De consument heeft er genoeg van

Uit verschillende onderzoeken is gebleken dat in 2019 81% van de consumenten per direct zou stoppen met het gebruik van een bepaald merk in het geval van een datalek. Voor bedrijven een verschrikkelijke ontwikkeling. Naast het feit dat er dus veel financiële schade wordt geleden, komt daar ook nog een reputatieschade bij die ongetwijfeld ook weer financieel zijn stempel achter zal laten. Dit is, volgens ons bij Beschermheren, een interessante ontwikkeling te noemen. Een aantal jaar geleden werd er door de consument namelijk minder snel met de vinger naar getroffen bedrijven gewezen. Dit had alles te maken met de nog ‘onwetende’ consument. Tegenwoordig zijn zowel Privacy als ook informatiebeveiliging een enorm hot topic en heeft de consument door dat bedrijven wel degelijk stappen kunnen nemen ter voorkoming van een dergelijke aanval. Maar dit gebeurt nog te weinig. Wanneer je de financiële schade combineert met de reputatieschade, kunnen we wel zeggen dat dit een bedrijf tot faillissement kan drijven.

En alsnog, na 12 maanden van berichtgeving in 2019, zijn er zoveel bedrijven waar de boel nog niet op orde is. Uit een onderzoek onder ruim 250 medewerkers bij Nederlandse organisaties, uitgevoerd door Markteffect, blijkt dat 32% geen idee heeft of er een zakelijke encryptie oplossing voor e-mail beschikbaar is. Weet een derde van de medewerkers van Nederlandse organisaties niet of er binnen zijn bedrijf of instelling maatregelen zijn genomen om te voldoen aan de AVG-voorwaarden. En als klap op de vuurpijl worden veel werknemers niet eens op de hoogte gesteld van voorgevallen datalekken.

Grote discrepantie tussen beleid en de naleving

Wat deze cijfers ons vertellen, en wat wij ook zien bij Beschermheren, is dat er een groot gat zit tussen het opgestelde beleid (als dat er al is) en de naleving hiervan. Dus nog steeds lijkt het niet goed door te dringen dat informatiebeveiliging iets is dat het hele bedrijf aangaat. Van de CEO tot aan de schoonmaaksters. Het is juist daarom dat wij zeggen dat informatiebeveiliging niet alleen om techniek gaat, maar juist ook om organisatie en de mens. Het op orde krijgen van de huishouding op het gebied van informatiebeveiliging is een proces (van volwassenheid), dat tijd kost en nodig heeft. Een proces dat begint met het opstellen van het juiste beleid & processen het op de juiste manier afstellen van de techniek en ervoor zorgen dat het wordt nageleefd door de mens. Dit is een proces zonder einde, maar wel eentje die u als organisatie enorm veel geld kan besparen.

Wilt u meer weten over onze manier van werken? Of heeft u vragen naar aanleiding van hetgeen u gelezen heeft? Neem dan contact op of woon ons gratis seminar bij op 28 januari aanstaande. Er zijn nog maar enkele plekken beschikbaar, dus wees er snel bij.