Security-incidenten bij leveranciers en aanvallen op de software van partners vormen vaak een groot risico voor de eigen organisatie. Toch ziet maar één op de vijf bedrijven de mogelijke impact van die cyberrisico's in. Dat is de uitkomst van de Ordina Digital Monitor 2021.
Onderzoeksbureau Markteffect ondervroeg voor de Ordina Digital Monitor 2021 ruim twaalfhonderd ict-besluitvormers uit Nederland. Het onderzoek spitste zich dit jaar specifiek toe op cybersecurity.
Slechts één op de vijf ict-besluitvormers (22 procent) schat de risico’s op een hack of datalek door leveranciers en software als ‘groot’ of ‘zeer groot’ in. Specialist in de beveiliging van bedrijfsinformatie, Vincent Meijer, noemt dat een ‘verontrustend laag percentage’. Hij licht toe dat hacks en datalekken ‘helaas’ dagelijkse kost zijn.
‘Organisaties richten zich steeds vaker modulair in om op de wensen en behoeften van de markt in te spelen. Zij worden zo afhankelijker van allerlei softwareoplossingen van verschillende leveranciers, die integraal onderdeel zijn van de keten. Die ketens worden groter, complexer en daarmee ook kwetsbaarder’, aldus de expert van Ordina.
Kaseya en Solarwinds
Meijer wijst er op dat door de onderlinge verbondenheid het risico ontstaat om elkaar, in het geval van een incident, te besmetten. ‘Organisaties moeten die risico’s niet onderschatten, want de gevolgen zijn groot’, aldus Meijer, die recente voorbeelden noemt zoals de wereldwijde ransomeware-aanval op Kaseya en de hack bij SolarWinds. ‘Die tonen dat een zwakheid bij één leverancier grote problemen creëert bij vele organisaties in zowel de publieke als private sector.’
Zeven op de tien organisaties (71 procent) vinden dat cybersecurity de verantwoordelijkheid van de organisatie zelf is. Tegelijkertijd geeft bijna de helft van de ict-besluitvormers (48 procent) aan dat er in hun organisatie onvoldoende of geen actie ondernomen wordt om de cyberrisico’s door leveranciers en software tot een minimum te beperken.
Meijer adviseert dringend om als organisatie integraal naar cybersecurity te kijken. ‘Dus niet alleen naar de techniek, maar ook naar de processen en de mens. Daarbij mogen de betrokken externe partijen niet vergeten worden. Dat zijn er in bepaalde ketens al snel tientallen tot honderden. Verantwoordelijkheden zijn dan vaak niet meer helder en de regie is moeilijk te houden.’
Rol voor overheid?
Hij ziet hier een belangrijke rol voor de overheid weggelegd. Niet alleen voor strengere wet- en regelgeving, maar ook om bewustwording te creëren en een helpende hand te bieden aan organisaties.
Dat de overheid een rol in cybersecurity en informatiebeveiliging moet spelen, beaamt ook 95 procent van de respondenten. Bijna de helft (44 procent) geeft aan dat de rol van de overheid op dit moment te klein is. Drie kwart vindt de groeiende rol van de overheid op het gebied van wet- en regelgeving vanuit de Europese Unie een positieve ontwikkeling.
Overige uitkomsten
Een flinke meerderheid van de ict-besluitvormers (57 procent) verwacht dat het budget voor cybersecurity de komende jaren gelijk blijft in hun organisatie. Slechts vier op de tien geven aan dat hier meer budget voor vrijgemaakt gaat worden.
Ondanks dat ict-besluitvormers aangeven dat er onvoldoende wordt geïnvesteerd in cybersecurity en er onvoldoende actie wordt ondernomen om de risico’s te beperken, beweert 85 procent goed voorbereid te zijn op een hack of datalek. Bij ruim zes op de tien organisaties zijn draaiboeken aanwezig.
Meijer ziet dat wanneer een organisatie daadwerkelijk gehackt wordt, lang niet iedereen weet wat hij moet doen. ‘Dit komt ook omdat de aanwezige draaiboeken vaak niet gecheckt of geoefend worden.’ Meer aandacht voor bewustwording van risico’s en een hoger kennisniveau om ook het gedrag van mensen te veranderen, zijn volgens hem belangrijk om de organisatie wendbaarder en weerbaarder te maken. Hij roept op om in trainingen en simulaties van incidenten ook de rolverdeling met ketenpartners mee te nemen.
