Het Global Information Security Survey 2002 is uitgevoerd voor VNU Business Publications/Computable en CMP uitgevoerd door Price Waterhouse Coopers. 8.100 ICT-professionals vulden de vragenlijst volledig in.
Uit het wereldwijde onderzoek wordt duidelijk dat gebrekkige beveiliging tot aanzienlijke schade kan leiden. In bijna de helft van de gevallen leiden aanvallen op het systeem tot onbruikbare applicaties en uitvallen van het netwerk. Ook de tijd dat applicaties en netwerken niet beschikbaar zijn is aanzienlijk. Deze is meestal te meten in uren, maar regelmatig ook in dagen. In extreme gevallen waren de systemen van een bedrijf tien of meer dagen uit de lucht.
Eigen personeel
In ruim de helft van de gevallen blijken inbraken in het systeem van een bedrijf pas achteraf, door analyse van log files, ontdekt te worden. De daders, hoewel ze vaak anoniem blijven, worden door de getroffen ondernemingen in overgrote meerderheid gezocht onder hackers. Maar een goede tweede is het eigen personeel, terwijl voormalige medewerkers eveneens een niet onaanzienlijk veiligheidsrisico vormen.
De maatregelen tegen veiligheidsincidenten zijn vaak eenvoudig. Passwords heeft vrijwel ieder bedrijf, maar meer geavanceerde toegangscontrole als smart cards en biometrische authenticatie komt maar bij enkele ondernemingen voor. En hoewel beveiligingsvraagstukken ondertussen hoog op de agenda staan lopen de investeringen in zeventig procent van de gevallen niet in de pas te lopen met het beleid. Meer dan de helft van alle respondenten beweert dan ook dat de hoge kosten effectieve beveiliging in de weg staat. Overigens blijkt dat zowel in Europa als in de Verenigde Staten ruim een kwart van de ondervraagde bedrijven het afgelopen jaar niets heeft veranderd aan hun veiligheidsbeleid, terwijl de bedreigingen steeds talrijker worden.
Top 10 van aanvalsmethoden op ICT-systemen
| Noord-Amerika | Europa | |
| Uitbuiten van bekende zwakke punten in het OS | 46,7% | 34,6% |
| Uitbuiten van een bekende applicatie | 29,4% | 22,6% |
| Misbruik van bestaande accounts/authorisaties | 20,4% | 18,7% |
| Menselijke fouten | 21,1% | 18,3% |
| Uitbuiten van slechte toegangscontrole | 17,9% | 14,6% |
| Externe denial of service | 18,2% | 14,7% |
| Uitbuiten van onbekende zwakke punten in het OS | 16,5% | 13,0% |
| Raden van passwords | 9,3% | 9,0% |
| Uitbuiten van onbekende applicatie | 6,1% | 4,7% |
| Interne denial of service | 3,2% | 1,9% |
Wie verdenkt u van de veiligheidsincidenten?
| Noord-Amerika | Europa | |
| Hackers/terroristen | 62,6% | 50% |
| Ongeauthoriseerd personeel | 27,0% | 26,2% |
| Geauthoriseerd personeel | 22,9% | 22,2% |
| Voormalige medewerkers | 12,2% | 11% |
| Klanten | 5,8% | 8,1% |
| Concurrenten | 4,2% | 5,8% |
Hoe beveiligt u informatiesystemen?
| Noord-Amerika | Europa | |
| Eenvoudige gebruikerswachtwoorden | 90,5% | 86,3% |
| Meervoudige logons en wachtwoorden | 56,1% | 52,9% |
| Softwarematige toegangscontrole voor PC’s | 31,5% | 29,6% |
| Toetsenblokkering | 21,7% | 23,5% |
| Softwarematige toegangscontrole voor mainframes | 22,1% | 26,3% |
| Single sign on-software | 20,3% | 20,3% |
| Tokens/smart cards | 14,9% | 18,4% |
| Biometrische authenticatie | 4,1% | 2,3% |
Wat staat in uw organisatie effectieve beveiliging in de weg?
| Noord-Amerika | Europa | |
| Hoge kosten | 58,8% | 47,9% |
| Tijdgebrek | 50,7% | 57,3% |
| Te weinig training | 37,5% | 25,2% |
| Complexiteit van de technologie | 31,0% | 31,0% |
| Weinig aandacht | 23,3% | 23,4% |
| Te weinig gekwalificeerd personeel | 26,1% | 20,4% |
| Geen steun van het management | 24,2% | 20,7% |
| Tempo van de veranderingen | 23,8% | 17,4% |
| Geen samenwerking tussen afdelingen | 22,1% | 16,4% |
| Slecht beleid | 16,3% | 13,3% |
| Geen goede technologie | 14,4% | 11,1% |
Hoeveel downtime had u het afgelopen jaar door veiligheidsincidenten?
| Noord-Amerika | Europa | |
| Geen | 17% | 28,3% |
| Minder dan 4 uur | 25,4% | 25,9% |
| 4 tot 8 uur | 19,1% | 19% |
| 8 tot 24 uur | 18,1% | 14,4% |
| 1 tot 3 dagen | 11,7% | 7,9% |
| 3 tot 6 dagen | 5,3% | 2,6% |
| 6 tot 10 dagen | 1,9% | 1,0% |
| Meer dan 10 dagen | 1,5% | 0,9% |
Bescherming van klantgegevens:
| Noord-Amerika | Europa | |
| Gedragsregels voor werknemers | 69,1% | 68,0% |
| Beveiligde webtransacties | 51,2% | 45,5% |
| Privacy-beleid staat op website | 45,3% | 34,3% |
| Veiligheidsbeleid jarlijks evalueren | 42,8% | 31,2% |
| Versleutelde communicatie | 37,0% | 32,0% |
| Versleutelde databases | 22,4% | 20,1% |
| Verificatie door derden | 18,2% | 16,4% |
| Benoeming hoofd beveiliging | 6,6% | 21,5% |
| Inschakelen privacy-consultants | 5,6% | 9,8% |
Ontdekken van aanvallen op het systeem
| Noord-Amerika | Europa | |
| Analyse van server en firewall log files | 50,1% | 54,3% |
| Intrusion detectie systeem | 39,6% | 38,4% |
| Alarmering door collega | 38,9% | 33,0% |
| Schade aan data of materiaal | 19,7% | 14,9% |
| Alarmering door klant of leverancier | 15,1% | 13,5% |
| Alarmering door service provider | 6,1% | 9,3% |
Effect van de aanvallen
| Noord-Amerika | Europa | |
| Applicaties onbruikbaar | 46,9% | 40,1% |
| Netwerk niet beschikbaar | 45,7% | 34,9% |
| Vertrouwelijke informatie verspreid | 15,9% | 13,7% |
| Data verdwenen of beschadigd | 12,9% | 11% |
| Financiële schade | 8,4% | 8,3% |
| Klantgegevens onbereikbaar | 8,0% | 6,2% |
| Schade aan reputatie | 6,2% | 6,9% |
| Diefstal intellectueel eigendom | 5,0% | 5,2% |
| Misbruik identiteit | 2,9% | 5,2% |
| Fraude | 3,2% | 3,7% |
Controle en evaluatie van beveiligingsbeleid
| Noord-Amerika | Europa | |
| Controle én evaluatie | 31,4% | 35,4% |
| Alleen controle | 4,8% | 10,8% |
| Alleen evaluatie | 38,8% | 32,6% |
| Geen actie | 25,0% | 29,8% |
Beveiligingsmaatregelen na 11 september
| Noord-Amerika | Europa | |
| Beleid herzien | 68,3% | 66.3% |
| Nieuwe instructies voor personeel | 74,2% | 57,8% |
| Herziening/opstellen disaster recovery | 59,5% | 48,9% |
| Opstellen interne communicatieprocedures | 41,7% | 41,0% |
| Extra bescherming intellectueel eigendom | 32,9% | 23,1% |
| Extra bescherming fysiek eigendom | 31,4% | 23,8% |
| Verbeterde samenwerking beveiligingsafdelingen | 29,1% | 24,3% |
| Procedures voor klanten/leveranciers | 21,0% | 20,9% |
| Betere screening personeel | 20,2% | 11,0% |
| Instellen hoofd beveiliging | 13,4% | 18,9% |
Prioriteiten voor de komende 12 maanden
| Noord-Amerika | Europa | |
| Strategisch: | ||
| Verbeterde netwerkbeveiliging | 71,5% | 70,1% |
| Blokkeren ongeautoriseerde toegang | 58,4% | 55,8% |
| Verbeteren veiligheidsarchitectuur | 50,9% | 44,4% |
| Ontwikkelen beveiligingsstrategie | 38,0% | 32,7% |
| Integreren fysieke en virtuele beveiliging | 29,1% | 22,1% |
| Topmanagement erbij betrekken | 26,7% | 22,9% |
| Meer budget | 25,5% | 12,2% |
| Outsourcing | 8,5% | 10,5% |
| Tactisch | ||
| Beter beveiligen OS | 62,8% | 54,8% |
| Beter beveiligen applicaties | 54,3% | 46,9% |
| Installeren firewalls | 49,6% | 52,1% |
| Betere toegangscontrole | 45,0% | 47,2% |
| Tegengaan virusdreiging | 50,0% | 47,0% |
| Veilige remote access | 44,8% | 45,2% |
| Intrusion detection tools | 43,3% | 32,3% |
| Beveiligde web-browsers | 34,1% | 28,4% |
| Toezicht op gebruikers | 36,1% | 25,6% |
Lopen veiligheidsuitgaven in de pas met beleid?
| Noord-Amerika | Europa | |
| Volledig | 5,9% | 5,8% |
| Bijna volledig | 23,3% | 21,9% |
| Enigszins | 40,0% | 39,7% |
| Slecht | 21,0% | 19,7% |
| Niet | 9,9% | 12,9% |
Marco van der Hoeven
