Het ziet er slecht uit met de informatiebeveiliging van bedrijven. Dat is in het kort de teneur van de ‘Information beveiliging breaches survey 2004’ in Groot-Brittannië.
Chris Potter laat er geen twijfel over bestaan: “De afgelopen vier jaar is de toestand sterk verslechterd. Bijna alle bedrijven van enige omvang doen nu een beroep op internet. Ze beseffen wel dat ze aan beveiliging moeten doen, maar in het algemeen is de controle verminderd. Zo zijn er organisaties die vroeger een strikte controle op onder meer webbrowsing-toepassingen uitoefenden, maar dat nu opgeven, terwijl bedrijven die in de afgelopen twee jaar de stap naar het Web zetten, er zelfs niet aan zijn begonnen.” Potter is information security assurance partner en projectleider van het tweejaarlijkse onderzoek dat Pricewaterhousecoopers uitvoerde in opdracht van het Britse ministerie van handel en industrie (Department of Trade & Industry)
Harde cijfers
De cijfers liegen er dan ook niet om. Circa 94 procent van de grote bedrijven was in het voorbije jaar slachtoffer van beveiligingsincidenten, met een frequentie van één keer per week. Bij ruim 90 procent was sprake van kwaadwillendheid (‘malicious’); de gemiddelde schade veroorzaakt door het ergste incident bedroeg 65.000 tot 190.000 pond (96.000 tot 280.000 euro). Net als twee jaar geleden werden de ergste incidenten in de meeste gevallen veroorzaakt door een externe factor (lees: virussen, wormen…). Voor de grote bedrijven (250+) wogen interne factoren zwaarder (in casu 51 procent, waarvan 7 procent een mix van interne en externe factoren). Fraude en diefstal met behulp van ict kwamen relatief weinig voor (wat de inherente eerlijkheid van werknemers aantoont, ondanks een verminderde loyaliteit ten opzichte van het bedrijf), maar tekenden wel voor de ernstigste inbreuken.
Potter constateert dat beveiliging ‘in gedachten een erg hoge prioriteit heeft’, desondanks heeft bijna ‘een derde van de bedrijven met meer dan 250 werknemers geen beveiligingbeleid’. En dat is het beste resultaat ooit. Gemiddeld wordt 3 procent van het ict-budget aan beveiliging besteed, bij grote bedrijven tot 4 procent. Dit getal ligt echter nog steeds onder een aanbevolen minimum van 5 procent ligt.
Rol overheid
Moet de overheid derhalve meer actie bij de bedrijven afdwingen via wetten en reglementen? “Bedrijven verkiezen een ondersteunende functie,” countert Potter, en de richtlijnen die de overheid de voorbije jaren met grote inspanningen op brede schaal heeft verspreid, werden dan ook door kleine en middelgrote bedrijven het meest gewaardeerd.
Wetten en reglementen kunnen wel helpen, maar bieden geen garantie tegen mogelijke problemen. Zo dateert de Data Protection Act – de Britse wet op de bescherming van dataprivacy – al van 1998, maar slechts 44 procent van alle bedrijven kan naleving van de wet aantonen (en 15 procent werkt eraan). Daar staat tegenover dat een derde van alle bedrijven (en zelfs 9 procent van de grote bedrijven) helemaal niet van plan is om de nodige maatregelen te nemen.
Ook bleek slechts 3 procent van alle bedrijven bereid om naar aanleiding van het ergste incident dat hen overkwam, gerechtelijke stappen te ondernemen. En slechts 23 procent van hen nam disciplinaire maatregelen tegen hun werknemers. Opmerkelijk is voorts dat 71 procent van de bedrijven ervan overtuigd was dat er geen wet of bedrijfsbeleid was overtreden!
Grootste zorg
Voor de komende tijd maakt Potter zich zorgen over zowel een technisch als een bedrijfsprobleem. “Het huidige gebruik van draadloze netwerken is alarmerend. Meer dan de helft van de gebruikers oefenen in het geheel geen controle uit over het gebruik ervan en nog geen 20 procent heeft de wep-faciliteit (wireless equivalent privacy) ingeschakeld.” Kortom, wat twee jaar geleden een potentiële tijdbom was, lijkt nu een technische nachtmerrie.
Vanuit bedrijfsstandpunt baart het tekort aan mensen met een adequate expertise nog de meeste zorgen. “Beveiliging leeft bij de bedrijfsleiding op hoog niveau, maar tegelijk worden niet de vereiste controlesystemen uitgebouwd en wordt er onvoldoende geïnvesteerd. Heel wat bedrijven missen personen die het beveiligingsgevaar begrijpen en het puur zakelijke belang ervan kunnen hard maken. Beveiliging wordt immers nog te vaak gezien als een overheadkost en niet als een investering. En in deze tijden is een verhoging van je overhead nu eenmaal moeilijk te verantwoorden. Zolang het de it-wereld aan voldoende experts ontbreekt voor die beveiligingsvertaalslag, zal het aantal incidenten nog verder stijgen.”
De Britse beveiligingscijfers lijken overigens goed overeen te komen met de resultaten van andere onderzoeken, zoals die van het Information Beveiliging Forum en de CSI/FBI Computer crime and security survey’. Ook hier bekende ruim 90 procent van alle respondenten het slachtoffer te zijn geweest van beveiligingsincidenten. Overigens zou meer vergelijkend onderzoeksmateriaal over de landsgrenzen heen welkom zijn, om naast gemeenschappelijke problemen ook inzicht in meer nationale toestanden te verwerven.
Al bij al toont deze editie van de DTI ‘Information security breaches survey’ aan dat beveiliging nog een lange weg heeft te gaan. Dat de belangstelling voor beveiliging op het hoogste bedrijfsniveau aanhoudt en het niveau van investeringen stijgt, bestempelt Chris Potter als positief en hoopgevend.< BR>
De resultaten van de 2004-editie van deze ‘survey’ (evenals de edities 2002 en 2000) is te vinden op http://www.beveiliging-survey.gov.uk. Het onderzoek biedt ook bijkomende informatie-sheets over toegang op afstand, spam, identiteitsbeheer, backups & recovery, virussen en malafide code, indringersdetectie en het misbruik van internet door de eigen werknemers.
Guy Kindermans, Datanews