BLOG – Vorig jaar was een aantal bekende Europese organisaties slachtoffer van cyberaanvallen, bijvoorbeeld de BBC, British Airways, of dichter bij huis: EasyPark, Thermae2000 en ING. De focus van een cybersecuritybeleid ligt tegenwoordig niet meer op het proberen voorkomen van aanvallen, maar op het zo snel mogelijk weer operationeel zijn na een aanval.
Een recent rapport dat Global Data samen met Tanium opstelde, toont aan dat er werk aan de winkel is. En dat ondanks de toename aan regelgeving en de meer prominente rol die de ciso toebedeeld krijgt.
Uit genoemd onderzoek blijkt dat minder dan een derde van de Europese bedrijven een cybersecuritystrategie hebben. Slechts negen procent van de Europese organisaties wordt als ‘mature’ beschouwd op het vlak van cybersecurity. Niet verwonderlijk dus dat meer dan de helft van de respondenten in het onderzoek bekenden een of ander cybersecurity-incident meegemaakt te hebben. Incidenten waarvan de kosten vaak tot boven het half miljoen euro opliepen.
Dweilen
De Europese en nationale overheden beseffen dat het te vaak dweilen met de kraan open is. Om de kritieke infrastructuur te beschermen, zijn de laatste jaren nieuwe regelgevingen ingevoerd. Die zijn erop gericht om bedrijven en overheidsdiensten zo resilient mogelijk te maken. Ook is de eis dat er een snelle en transparante rapportage volgt zodra zich een probleem voordoet. Zo moeten alle leden van de Europese Unie tegen eind dit jaar de nieuwe NIS2-richtlijn omzetten in nationale wetten. Bij NIS2 wordt extra belang gegeven aan de end-to-end-beveiliging van een supply chain. Bedrijven moeten niet alleen hun eigen beveiliging op orde hebben, ze moeten er zich ook van vergewissen dat hun toeleveranciers en partners zich afdoende beveiligen. Voor een van de strategische sectoren in onze maatschappij, de financiële dienstverlening, is er nog een afzonderlijke regelgeving op poten gezet, Dora (Digital Operational Resilience Act). Deze slaat in de eerste plaats op risicobeheer, incident management en rapportering – en ook hier het beheer van de risico’s in de hele waardeketen.
Weinig kennis
Volgens de studie van Global Data is de rol van de ciso cruciaal in het beschermen van ondernemingen, maar wordt deze functie te weinig gewaardeerd. Er is ook te weinig kennis op managementniveau. In Europa heeft maar vijf procent van het topmanagement ervaring met cybersecurity. En bij amper een kwart van bedrijven rapporteert een securityspecialist aan de ceo.
In een tijd waarin het aantal bedreigingen alleen maar toeneemt, is dat een kwalijke zaak. Vooral omdat veel bestuurders een verkeerde visie op cybersecurity hebben en meer willen inzetten op bescherming, in plaats van op weerbaarheid van de organisatie in het algemeen. Volgens Global Data komt dat deels doordat veel ciso’s niet altijd in slagen het technische jargon te vertalen naar de zakelijke gevolgen van een beveiligingsincident. Net als zij vaak onvoldoende duidelijk weten te maken wat de risico’s zijn van het niet naleven van de regelgeving voor de reputatie of zelfs het voortbestaan van het bedrijf.
Veel bestuurders hebben een verkeerde visie op cybersecurity en willen meer inzetten op bescherming, in plaats van op weerbaarheid
Het rapport definieert daarom drie typen ciso’s: de technische ciso, de ‘business-centric’ ciso en de ciso die op risk & compliance mikt. Het zal duidelijk zijn dat het eerste type momenteel nog het meeste voorkomt. Het rapport stipt ook aan dat veel bedrijven pas budget vrijmaken voor een cybersecurity-strategie nadat zij een cyberaanval hebben ondergaan en aan de lijve hebben ondervonden wat dat betekent.
Daarom is alleen maar verheugd reageren nu in Nederland recent een Ciso Community is opgericht. Die organisatie stelt zich tot doel om de bewustwording rond cybersecurity in Nederland verder te verhogen, onder meer door kennis en ervaring uit te wisselen. Dat zal er ongetwijfeld toe bijdragen dat ciso’s beter de vertaalslag naar de business gaan maken.
Nut
Het rapport bevat ook een aantal aanbevelingen voor organisaties die zich beter willen beschermen. Uiteraard staat een zero-trust-benadering daarin centraal, een oplossing die zijn nut al bewezen heeft in de strijd tegen ransomware en cybercriminaliteit. Maar Global Data wijst ook op het wegwerken van technical debt. Bij elke organisatie zijn verouderde apparatuur, niet-bijgewerkte besturingssystemen en ongebruikte software aanwezig. Die vormen een groot risico, zeker wanneer de it-organisatie geen zicht meer heeft op deze hard- en software en ze ook geen updates meer krijgen. In het algemeen pleit het rapport voor een betere cyberhygiëne, bijvoorbeeld door er voor te zorgen dat alle endpoints binnen een organisatie voorzien worden van de nodige updates en upgrades en ook gecontroleerd wordt of alle patches wel goed geïmplementeerd zijn.
Bedrijven en overheden spenderen steeds meer aan cybersecurity. Volgens Global Data stijgen de budgetten voor cybersecurity in Europe met bijna de helft tussen 2022 en 2026, en dat is hard nodig. Het komt er nu op aan de juiste investeringen te maken en zo de weerbaarheid van alle organisaties te verhogen.
Wytze Rijkmans is regional vice president bij Tanium
Het heeft iets tragikomisch, dat praten over maturity van cybersecurity, als een van de adviezen steeds weer is om e.e.a. te patchen. IT-organisaties die geen zicht meer hebben op hard en software ..
Vergelijk dat met gebouw security waarbij deuren van gecertificeerde sloten worden voorzien maar dat er nog deuren altijd openstaan omdat men van bestaan niet op de hoogte was 😀
CMDB is niet echt een nieuwe term.
Sluit goed aan op die “verkeerde visie op cybersecurity” van bestuurders omdat ze geen goed inzicht hebben in de risico’s.
Komt er zo’n beetje op neer dat men niet weet wat er is, en voor zover men wel weet dan niet wat de waarde ervan is voor het bedrijf en dus de eventuele risico’s.
Wordt lastig als je je wilt beschermen, maar niet weet wat, waartegen en waarom.. Zero clue ?