Gerard Grouve, directeur van IT-securityspecialist System Force, meent in Enter dat internet in 2007 ineenstort doordat de internetcapaciteit wordt opgeslokt door virussen, spam en hack-activiteiten.
‘De schade door computervirussen en hackers neemt schrikbarend toe,’ meent Grouve. ‘Doordat bedrijven maar weinig aandacht hebben voor het probleem wordt steeds meer internetcapaciteit opgeslokt. Dit leidt er uiteindelijk toe dat het internet verstopt raakt en tenslotte ineenstort, bij een doorzettende trend al in 2007.’
Volgens Grouve wordt het probleem van de ICT-veiligheid zwaar onderschat: slechts bij 17 procent van de Nederlandse ondernemingen is het een onderwerp in de boardroom. ‘Het roer moet om,’ zegt Grouve. ‘Want cijfers van Ernst & Young tonen aan dat hackers, virussen, spyware en spam een serieuze aanpak behoeven.’
Deze aanpak behelst:
* In de laatste anderhalf jaar is het aantal Nederlandse bedrijven dat werd getroffen door computervirussen met 134 procent toegenomen. (*)
* De afgelopen 12 maanden zijn ruim 34.000 bedrijven het slachtoffer geweest van hackers.
* Met een schade van gemiddeld 1500 euro per hack komt de gezamenlijke schade op naar schatting 263 miljoen euro per jaar. (*)
* Ter vergelijking: volgens het NIPO bedraagt de inbraakschade bij woningen in 2002 circa 340 miljoen euro.
* Van de gemiddeld 25 e-mails per dag is 11 procent spam en nog eens 18 procent niet relevant. (*)
* Bij 70 procent van de organisaties is beveiligingsbewustzijn van medewerkers geen topprioriteit. (*)
* 90 procent van alle VPN is kwetsbaar voor hackers. (**)
Professor Kari van de Technische Universiteit van Helsinki zegt: ‘Bij een doorzettende trend in computervirussen en spam, zal dit leiden tot het dichtslibben van internet.’
Een visie die volledig wordt ondersteund door Grouve: ‘IT-directeuren en IT-managers doen te lacherig over hackers, virussen en spam en onderschatten hiermee het probleem. CEO’s en ander topmanagement van organisaties bemoeien zich te weinig met ICT-veiligheid en stoppen te vaak veiligheidsrapporten, onderzoeken en aanbevelingen onder in de la.’
Grouve wijst er verder op dat ook de overheid ernstig tekortschiet bij het verbeteren van de internetveiligheid. ‘Computercriminaliteit wordt nauwelijks vervolgd. En dat terwijl de overheid veiligheid bovenin haar vaandel heeft staan en de pakkans van computercriminelen technisch gezien bijna 100 procent is. Ik vind dat heel vreemd.’
* onderzoek Ernst en Young
** onderzoek NTA monitor
Informatiebeveiliging is onderdeel van de Kwaliteit van een organisatie. Dat is tevens het probleem.
Kwaliteit (en dus ook ISO900X) blijft moeilijk meetbaar, dus investeringen hierin hebben een lastige business case.
Eigenlijk zijn dit soort signalen van Ernst & Young heel goed. Ze onderbouwen de businesscase die er wel degelijk is en maken het ook financieel inzichtelijk. Het verschil tussen de Kwaliteits-hype van enige jaren geleden en de huidige rondom Informatiebeveiliging is dat men zich niet realiseert dat het adequaat beveiligen GEEN hype, maar noodzaak zal blijken te zijn.
Blijft natuurlijk het probleem van de verantwoordelijke directeuren die wél de kostenpost zien groeien bij hun ICT-afdeling (alsof Informatiebeveiliging alléén een ICT-probleem is) en Awareness al helemaal geen issue vinden.