hoe denkt de it verantwoordelijke over cyberaanvallen? een onderzoek van webroot.

Deze zomer zijn het voornamelijk de gif-eieren die de boventoon voeren in het nieuws. Nog niet heel lang geleden waren allerlei vormen van ransomeware zoals Wannacry het gesprek van de dag. In mei dit jaar, heeft Webroot een behoorlijk onderzoek gedaan onder ICT-beslissers in het MKB.

onderzoek naar cyberaanvallen

De focus van dit onderzoek ligt op de wijze waarop ICT-beslissers in het MKB kijken naar de toenemende dreigingen. Zijn zij hier volledig op voorbereidt? In hoeverre zijn bedrijven klaar om na een aanval direct weer up and running te zijn? Is er een idee wat het zou kosten als het bedrijf getroffen wordt? Voor ons een heel interessant onderzoek om te bekijken en uiteraard delen wij deze informatie ook graag met de rest van Nederland. Sommige resultaten vonden wij in ieder geval wel bijzonder, oordeel zelf maar.

Belangrijkste resultaten Webroot onderzoek:

- 96% van de ondervraagden gelooft dat het bedrijf vatbaar is voor een cyberaanval.

- 80% gebruiken een extern bedrijf voor IT security.

- 94% kijkt opnieuw naar het budget voor beveiliging sinds recente aanvallen.

- 29% denkt helemaal klaar te zijn voor een cyberaanval.

- 89% zijn overtuigd dat zij de IT-problemen prima zelf kunnen oplossen.

- 65% denk dat een cyberaanval vooral heel erg schadelijk is voor het imago van het bedrijf.

- Er is gevraagd aan de respondenten om een schatting te geven van de geschatte kosten van 1 'geslaagde' cyberaanval. Dit was de conclusie:

o $580,000 U.S.

o £738,000 U.K.

o AUD 1,893,000

weinig vertrouwen in de beveiliging

Wat valt jou op als je naar deze cijfers kijkt? Mij een aantal dingen waar ik er twee van wil uitlichten. Allereerst ben ik positief verrast door het hoge aantal mensen dat zich realiseert dat het bedrijf vatbaar is voor een cyberaanval. Eigenlijk is ieder bedrijf met data een interessant slachtoffer voor cybercriminelen. Het punt is wat mij betreft veel minder positief. 80% van de ICT-Beslissers in een organisatie geeft aan de security te hebben uitbesteed aan een derde partij. Slechts 29% geeft aan helemaal klaar te zijn voor een cyberaanval. Je zou verwachten dat dit getal veel hoger is. Als jij de cybersecurity uitbesteed, dan ga je er toch vanuit dat je hierop kunt vertrouwen. Volgens mij ligt het in dit geval niet aan het vertrouwen in de derde partij, maar meer in het eigen bedrijf en personeel. Op het moment dat je een derde partij inhuurt voor beveiliging, wil dat niet zeggen dat je geen verantwoordelijkheid hebt naar je klanten. Die verantwoordelijkheid kun je niet afkopen. Volgens mij zou dit vertrouwen veel hoger zijn als meer bedrijven trainingen geven: ?Wat te doen tijdens/na een cyberaanval?. Op het moment dat er meer kennis is, zal het vertrouwen ook groeien. 

Wat kost het als ik slachtoffer ben van een cyberaanval?

Een ander opvallend punt zijn de geschatte kosten. Uiteraard is de schade volledig afhankelijk van het soort aanval, formaat van het bedrijf, gevoeligheid van de data. Het Ponemon instituut, onderzoekers in de wereld van Privacy en Beveiliging, heeft uitgezocht wat in 2016 gemiddeld genomen kost als jouw bedrijf slachtoffer is van een cyberaanval. In het onderzoek geven zij aan dat het €134,- per getroffen bestand is. Om dit bedrag uit te rekenen hebben ze diverse factoren meegenomen, ik som er een aantal voor je op:

- Alle klanten op de hoogte brengen (verplicht).

- Onderzoekers inhuren om na te gaan hoe dit heeft kunnen gebeuren, hoe het voorkomen had kunnen worden en bekijken wat er nog te redden is.

- Herstellen van de data.

- Eventuele rechtszaken als gevolg van de cyberaanval.

- Verloren omzet.

- PR Campagne om de gebeurtenissen naar buiten te brengen en de schade beperkt te houden.

- Imago schade.

Sommige factoren lijken misschien overdreven maar het zijn allemaal voorbeelden uit de praktijk. Ik moet wel zeggen dat ik in Nederland nog niet veel rechtszaken gezien heb als gevolg van een cyberaanval. Toch is het prima mogelijk dat een Nederlands bedrijf klanten heeft in een ander land met andere regels. In het volgende blog vertel ik meer over wat je er als bedrijf tegen kunt doen. Hoe kijk jij aan tegen deze resultaten? Hoe is het bij jouw bedrijf geregeld? Laat het weten in een reactie!