Sinds 2010 voert Supply Value jaarlijks een onderzoek uit over de belangrijkste trends binnen het inkoopvakgebied. Sinds dit jaar voegen we daar het IT trends onderzoek aan toe. Het doel van dit onderzoek is het ondersteunen van Informatie management en technologie professionals bij het stellen van de belangrijkste prioriteiten en de juiste focus. In deze blog geven we een eerste doorkijk op de tweede trend van het onderzoek: Cyber- en Datasecurity.
In 2017 werd een internationaal containerbedrijf getroffen door een aanval met ransomware, waarna het bedrijf ruim 45.000 pc’s en 4000 nieuwe servers heeft moeten herinstalleren, wat ongeveer 300 miljoen dollar winst heeft gekost. Dit laat de grote en zelfs ontwrichtende gevolgen zien die cyberaanvallen kunnen hebben. Digitale dreiging ligt continu op de loer, terwijl de maatschappij, economie, individuen en organisaties volledig afhankelijk zijn geworden van digitale middelen.
De omvang en ernst van digitale dreiging zijn aanzienlijk en blijven zich nog verder ontwikkelen volgens het Nationaal Cyber Security Centrum (NCSC). Naast de dreiging van cyberaanvallen, groeien ook de risico’s rondom databescherming. Door veranderende wetgeving – de Algemene Verordening Gegevensbescherming (AVG) – en toenemende zorgen over privacy dienen organisaties nog beter datalekken te voorkomen en de regie over hun data te behouden. Uit dit onderzoek blijkt dat er veel bewustzijn is voor de bescherming van digitale middelen en data. Bijna 75% van de respondenten is redelijk tot zeer bekend met dit onderwerp of beschouwt zichzelf zelfs als een expert in cyber- en datasecurity. Ook geven de respondenten veel prioriteit aan cyber- en datasecurity in 2019. Meer dan 45% geeft het veel prioriteit dit jaar en ruim een kwart van de respondenten geeft aan heel veel prioriteit te geven aan de beveiliging van data en informatiesystemen.
Wat is cyber- en datasecurity?
Cyber- en datasecurity zijn verwante onderwerpen, maar betekenen niet hetzelfde. Cybersecurity omvat de beveiliging van IT-systemen tegen diefstal of schade aan hardware, software of elektronische data. Ook bestaat het uit de bescherming tegen verstoring of verkeerd gebruik van de services waarin IT-systemen voorzien. Aan de ene kant kan een ‘harde’ aanval plaatsvinden, onder andere door misbruik van een backdoor in een systeem of algoritme, waarbij de aanvaller gebruik maakt van een ontwerp- of configuratiefout om de beveiliging te ontwijken. Aan de andere kant richten aanvallers zich op de ‘zachte’ kant van IT-gebruikers, bijvoorbeeld met phishing en andere vormen van social engineering. Bescherming tegen dergelijke aanvallen wordt steeds belangrijker door het toenemende aantal en afhankelijkheid van IT-systemen. De trend van toenemende aandacht voor cybersecurity wordt verder versterkt door de opkomst van smartphones, smart TV’s en andere toepassingen van het Internet of Things. IT’ers proberen zich tegen cyberaanvallen te wapenen met maatregelen die de bedreiging, zwakte of aanval elimineren of voorkomen door de schade te beperken of te waarschuwen. Net als de aanvallen focussen deze
maatregelen zich op de harde en zachte acties, procedures en technieken. Ook de wijze waarop gereageerd wordt op een beveiligingsincident is cruciaal maar uitdagend. Hackers gebruiken proxy’s, tijdelijke accounts en andere middelen om anoniem te blijven, waardoor ze lastig te traceren zijn. Bovendien wordt – door de grote hoeveelheid aanvallen die bovendien vaak ook nog eens geautomatiseerd plaatsvinden – niet de bron achter elke aanval vervolgd.
Datasecurity focust op de bescherming van digitale data tegen vernietiging of ongewilde acties, bijvoorbeeld bij een datalek. Bovendien voorkomt het dat ongeautoriseerde gebruikers kunnen inbreken op data. Dergelijk gegevensverlies kan ontstaan door bijvoorbeeld computervirussen en technische defecten aan gegevensdragers, maar ook door menselijke fouten zoals het kwijtraken van een harde schijf. Om dit te voorkomen, voorziet datasecurity in technische maatregelen.
- Encryptietechnologie om gegevens op een schijf te versleutelen.
- Back-up van gegevens om data te herstellen in geval van verlies of beschadiging.
- Data masking om specifieke gegevens te verbergen, zoals persoonsgegevens.
- Data wiping om alle bestaande data op een schijf overschrijven en volledig te vernietigen.
Naast deze technische maatregelen, zijn ook organisatorische maatregelen nodig, mede vanwege de menselijke factor. Ook al zijn gegevens technisch goed beschermd, onzorgvuldigheden in de menselijke omgang met techniek kan tot grote datalekken leiden. Organisatorische maatregelen voor het beschermen van gevoelige data bestaan onder andere uit:
- Beveiligingsbeleid waarin eenvoudig of uitgebreid werkwijzen, standaarden, regels en richtlijnen staan beschreven op thema’s als toegang op afstand en wachtwoordbeheer.
- Risicomanagement waarmee risico’s rondom gevoelige data worden beoordeeld en voorkomen of verminderd.
Bewustzijn en training met als doel een werkcultuur te creëren waarin iedereen in de organisatie weet wat er verwacht wordt en hoe te voldoen aan regels en richtlijnen.
Trendontwikkeling
De omvang en de ernst van digitale dreiging zijn aanzienlijk geworden, maar zullen zich volgens het NCSC nog verder ontwikkelen. De digitale dreiging blijft permanent, sabotage en verstoring door andere staten wordt een steeds grotere dreiging en de cybercriminaliteit van beroepscriminelen houdt aan. Tegelijkertijd treffen lang niet alle organisaties de nodige basismaatregelen om cyberaanvallen af te slaan. Daarnaast komt de digitale weerbaarheid nog verder onder druk te staan door toenemende complexiteit en connectiviteit van het IT-landschap met onder andere clouddiensten en smart devices. Potentiële kwetsbaarheden blijven groeien door digitalisering, het verdwijnen van analoge alternatieven en de toenemende volumes van digitale data. Ook zullen staten zich nog meer inspannen, complexere werkwijzen hanteren of op grotere schaal toepassen. Als gevolg hiervan blijven cyber- en datasecurity noodzakelijk voor het functioneren van de maatschappij.