Bijna de helft van de werknemers bij organisaties met focus op vitale infrastructuursectoren denkt dat de komende jaren dodelijke slachtoffers gaan vallen als gevolg van een cyberaanval die een onderdeel van de kritieke infrastructuur plat legt. Dat blijkt uit wereldwijd onderzoek van marktonderzoeksbureau Vanson Bourne in opdracht van Intel Security en educatieve organisatie The Aspen Institute. De reden dat tot op heden nog geen dodelijke ongevallen hebben plaatsgevonden, is volgens de respondenten dat er nu goede beveiligingsmaatregelen worden getroffen.
Zeker 48 procent van de respondenten uit het Intel Security-onderzoekt denkt dat het waarschijnlijk tot zeer waarschijnlijk is dat kritieke infrastructuur binnen drie jaar gaat worden aangevallen. Zij denken zelfs dat dit dodelijke slachtoffers als gevolg gaat hebben. Respondenten uit de Verenigde Staten tonen hier meer zorgen over dan respondenten uit Europa. Waar 18 procent van de ondervraagden uit de VS aangeeft dat een cyberaanval met dergelijke gevolgen zeer waarschijnlijk plaats gaat vinden, deelt gemiddeld slechts 6 procent van de deelnemers uit de ondervraagde Europese landen deze mening.
Meer dan 70 procent van de ondervraagden is dan ook van mening dat het aantal cyberdreigingen voor hun organisatie toeneemt. Zo heeft 89 procent van de respondenten de afgelopen jaren een cyberaanval meegemaakt op een systeem in de organisatie waarvan zij dachten dat deze veilig was. Gemiddeld krijgt men te maken met bijna twintig aanvallen per jaar, waarbij deze cyberaanvallen in 59 procent van de gevallen heeft geleid tot fysieke schade.
Men denkt dat de belangrijkste oorzaak voor deze cyberaanvallen ligt bij menselijke fouten. Zo kunnen medewerkers het slachtoffer worden van phishing e-mails en social engineering. Over de technische beveiliging die wordt ingezet is men juist wel erg tevreden. 84 procent van de respondenten geeft aan tevreden te zijn over endpoint beveiliging en eenzelfde percentage is tevreden over netwerk firewalls. Daarnaast geeft 85 procent aan tevreden te zijn over veilige web gateways.
Over het algemeen denkt 64 procent van de ondervraagden dan ook dat het op dit moment wel goed is gesteld met de cyberbeveiliging. Het aantal werknemers dat denkt dat hun organisatie ‘zeer’ kwetsbaar is, is de afgelopen drie jaar zelfs met bijna de helft afgenomen. Zo meende de helft van de ondervraagden dat hun organisatie drie jaar geleden zeer kwetsbaar was, terwijl slechts 27 procent van de ondervraagden dit nu nog steeds denkt.
Andere reactie van de overheid gewenst
Om toch beter in te kunnen spelen op een toekomst van verslechterde cyberbeveiliging, is het volgens 86 procent van de ondervraagden van belang dat de publieke en private sector beter gaan samenwerken. Zo vindt 68 procent dat de eigen overheid een waardevolle partner zou kunnen zijn op het gebied van cyberbeveiliging. Een nationale verdedigingsmacht zou volgens 76 procent bijvoorbeeld moeten reageren, wanneer een cyberaanval een aanbieder van vitale infrastructuur in een land beschadigt.
Het lijkt mij evident dat er een cyberaanval gaat komen die dodelijke slachtoffers gaat eisen. En dat moment is dichterbij dan men denkt vrees ik.
De inleiding van dit artikel toont al direct aan hoe het gesteld is met het beveiligingsbewustzijn binnen veel organisaties. Ja, we worden binnenkort aangevallen en dan gaat het fout. Nee dat is nog niet gebeurd, want we zijn zo goed beveiligd. Onzin. Het is al bekend dat er vrijwel continue aanvallen uitgevoerd worden die gericht zijn op de vitale infrastructuur.
Recente gevallen waarbij zeer veel informatie in handen van onbevoegden is gevallen tonen aan hoe het gesteld is met de beveiliging binnen (semi)publieke instellingen.
Men gaat er vanuit dat ze de beste technische oplossingen hebben geïnstalleerd en daarmee veilig zijn. Aan de andere kant worden medewerkers niet geschoold (te duur), en niet gecontroleerd. Ook bedrijfsprocessen worden niet goed doordacht waardoor er ongezien alle veiligheidsgaten in de bedrijfsvoering geïntroduceerd worden.
Kortom, persoonlijk ben ik van mening dat de situatie een stuk slechter is dan men nu vermoed en dat we binnen afzienbare tijd de consequenties zullen zien.
Maak je niet druk. Op de IT afdelingen van vitale infrastructuur en vitale industrie lopen allang stille officieren rond van allerlei obscure overheidsdiensten en defensie. Zij weten echt wel aan welke knoppen te draaien bij een serieuze cyberdreiging. Navo landen zijn veel beter voorbereid dan men doet voorkomen.
Het gaat hier maar gedeeltelijk om IT afdelingen en “het draaien aan knoppen”. Dit is geen ICT feestje. Om risico’s op cybercriminaliteit verlagen is het noodzakelijk om breder te kijken dan alleen de ICT en techniek. De mate waarin security (en privacy!) is opgenomen in de bedrijfscultuur is alles bepalend voor het succesvol verlagen van security incidenten. Zeker een bedrijf in de “vitale infrastuctuur sector” dient hier hoge eisen aan te stellen. Medewerkers dienen bewust te zijn van de risico’s en dreigingen. Ze worden geleerd welke maatregelen ze moeten nemen en hoe ze moeten reageren op incidenten. (Ja, ook een phishing email is een security incident!). Bewust personeel maakt de organisatie weerbaar en verlaagt het risico op cybercriminaliteit. Een goed security awareness programma (en dat is meer dan éénmaal per jaar een tiental vinkjes zetten in een security awareness quiz) zorgt ervoor dat security gedurende het hele jaar op de agenda blijft van ALLE medewerkers. Incidenten worden geregistreerd en besproken. Security staat (al is het maar 2 minuten) op de agenda van afdelingsvergaderingen. Het Senior Management draagt hun commitment aan het security awareness programma zichtbaar uit. Security awareness en veilig gedrag is onderdeel van het beoordelingsgesprek.
Cybercriminelen richten zich niet meer op uw netwerken en systemen. Ze richten zich op het personeel. Niet alleen uw ICT systemen, maar ook het personeel heeft daarom security updates nodig!