Cyberaanvallen kosten bedrijven meer geld. Het totale schadebedrag bij slachtoffers is dit jaar met 61 procent toegenomen. Het aantal bedrijven dat één of meermaals slachtoffer is geworden van cybercrime is echter gedaald van 61 procent naar 39 procent. Het gemiddelde neemt flink toe.
Dit blijkt uit een internationaal onderzoek van verzekeraar Hiscox onder 5.569 professionals die betrokken zijn bij de cyberbeveiliging van hun organisatie. De financiële gevolgen verschillen aanzienlijk per sector, bedrijf en land. Nederland staat op de vierde plaats in de landenranglijst met een mediaan schadepost van 67.000 euro. Vorig jaar was dat 10.800 euro. België zit dit jaar op 54.000 euro, terwijl de mediaan in 2019 9.000 euro bedroeg.
De meest voorkomende cyberincidenten zijn phishing (45 procent), computervirussen/wormen (42 procent) en website-gerelateerde aanvallen (34 procent). Van de Nederlandse doelwitten had één op de vijf te maken met een phishingincident waarbij gegevens werden vernietigd. De trend is om medewerkers van bedrijven op een persoonlijke manier te benaderen. Deze geraffineerde werkwijze en het groeiend aantal doelgerichte aanvallen maakt het erg lastig zich hier tegen te verdedigen. Daarnaast blijven hackers massaal zoeken naar belangrijke zwakke punten in servers om kwetsbare bedrijven aan te vallen en te besmetten.
De energiesector is het afgelopen jaar het hardst getroffen met een mediaan schadepost van 303.000 euro, gevolgd door de financiële dienstverlening (149.400 euro) en de productiesector (90.000 euro). Vorig jaar was de gezondheidssector het hardst getroffen, gevolgd door de vrijetijdssector en financiële dienstverlening.
Cyber security awareness is nog steeds onderbelicht bij organisaties terwijl zij aantoonbaar hier allemaal kwetsbaar voor zijn. Ik snap dat niet goed. De kosten van een incident zijn nog veel hoger dan wat je vergoed krijgt bij een claim. Ciso’s krijgen zelden voldoende mandaat en dat terwijl het het risico om incidenten te verkleinen niet alleen zeer betaalbaar is, maar bovendien ook een investering is in de kennis van je medewerkers. In mijn ogen is er geen excuus te verzinnen waarom medewerkers geen training krijgen in de cyber security essentials zoals wachtwoorden niet hergebruiken, tweestapsverificatie toepassen, phishing herkennen en incidenten melden.
Als het misgaat heb je gewoon geen goed verhaal als je medewerkers niet traint.
De titel is verkeerd want schade die bedrijven lopen kunnen ze van de belasting aftrekken, bij de verzekering verhalen of gewoon doorbelasten aan de klanten. En ik denk dat daarmee wel de vraag van Henri beantwoord is want de cybersecurity awareness programma’s zijn vooral een papieren tijger die getemd moet worden, niet meer dan een complaince verplichting.
Oudlid, ik wil geen reclame maken, maar wij leveren absoluut geen papieren tijger en zoals je zelf zegt ; “meten is weten”. De combinatie 0-meting, feedback loops en keiharde cijfers + rapportage over gedrag laten we degelijk zien dat goede awareness training gewoon zin heeft.Gedragsverandering en capaciteit vergroten is wel hard werken wat je niet met een e-learning (compliance training) oplost.
Omdat jij een keer een e-learning gezien hebt en de checkboxen aftikken lijsten hebt gezien betekent niet dat iedere oplossing zo werkt.
Imagoschade kun je niet bij de belasting aftrekken, nog bij de verzekering verhalen. En als je een paar dagen stilligt door een ransomware aanval geef ik je weinig succes dat je dit bij klanten kunt doorberekenen.
Maar goed, je mag een mening hebben.
Prachtig Henri dat je geen reclame wilt maken want ik wees alleen maar op het mitigeren van de bedrijfsrisico’s via de belasting als mogelijke verklaring voor je vraag over een gebrek aan investeringsdrang. Dat jij denkt dat ik insinueer dat jij papieren tijgers levert is je eigen interpretatie van mijn reactie, blijkbaar raak ik weer eens een gevoelige snaar bij je;-)
Misschien heb je daar helemaal gelijk in 🙂
Iets met patroonherkenning enzo.