Wereldwijd zijn drie op de vier bedrijven de afgelopen twaalf maanden het doelwit geweest van een digitale aanval. Dergelijke aanvallen kosten bedrijven gemiddeld 1,5 miljoen euro per jaar. Dat zegt beveiligingsbedrijf Symantec, op grond van interviews in januari 2010 met ict-managers uit 27 landen.
In 2009 is 75 procent van de bedrijven het doelwit geweest van een digitale aanval. Van hen geeft 36 procent aan dat de aanval enigszins tot zeer effectief was. 29 procent van de bedrijven meldt dat het aantal aanvallen de afgelopen twaalf maanden is toegenomen.
Alle bedrijven uit het onderzoek liepen volgens Symantec in 2009 digitale schade op. De drie meest voorkomende zaken waren diefstal van intellectueel eigendom, diefstal van creditcardnummers of andere financiële gegevens van klanten en diefstal van persoonsgegevens van klanten. Dit leidde in 92 procent van de gevallen tot schade, met name productiviteitsverlies, inkomstenderving en verlies van het vertrouwen van klanten. Bedrijven gaven aan hierdoor jaarlijks gemiddeld 1,5 miljoen euro aan kosten te maken.
Cloud maakt situatie ingewikkelder
Volgens Symantec wordt de beveiliging van grote organisaties door een aantal factoren steeds moeilijker. Om te beginnen is er sprake van onderbezetting, met name op het gebied van de beveiliging van netwerken (44 procent), endpoints (44 procent) en messaging (39 procent).
Daarnaast ontplooien bedrijven nieuwe initiatieven die de beveiliging bemoeilijken. Dat zijn volgens ict-afdelingen vooral infrastructure-as-a-service, platform-as-a-service, servervirtualisatie, endpointvirtualisatie en software-as-a-service.
Adviezen
Het beveiligingsbedrijf adviseert organisaties hun infrastructuur te beschermen door endpoints, messaging en webtoegang te beveiligen, kritieke interne servers te verdedigen en back-up en herstel van gegevens mogelijk te maken.
Daarnaast moeten ict-beheerders informatie proactief te beschermen door een informatiegerichte benadering te hanteren bij de beveiliging van zowel informatie als de interactie daarmee. Een op content gebaseerde benadering van gegevensbescherming is van kritiek belang voor wie wil weten waar gevoelige informatie is opgeslagen, wie daar toegang toe heeft en hoe deze de organisatie binnenkomt en verlaat.
Symantec raadt organisaties aan een beveiligingsbeleid te ontwikkelen en toe te zien op de naleving daarvan. Door prioriteiten toe te kennen aan risico's en beleid op te stellen dat van toepassing is op alle locaties, kunnen klanten de naleving van beleid afdwingen door middel van ingebouwde automatisering en werkstromen. Daardoor worden risico's niet alleen opgemerkt, maar kunnen incidenten worden bestreden zodra – of voordat – ze plaatsvinden.
Ik denk dat het verhaal klopt wat betreft noodzaak om te moeten beveiligen. Daar kan geen misverstand over bestaan. Er is dus wat dat betreft niets nieuws onder de zon. Helaas moet het telkens worden herhaald omdat er nog regelmatig een kalf verdrinkt. Feitelijk is er sprake van de noodzaak voor repressief en proactief beveiligingsbeleid.
Het artikel gaat verder dan enkel ICT want diefstal van intellectueel eigendom kan ook bestaan uit mondelinge overdracht van impliciete informatie door een medewerker van de eigen organisatie.
Het artikel meldt bovendien niet welke stochast er is gekozen (welke doelgroep is onderzocht). Ik denk namelijk dat als 92% x 75% ≈ 70% van de organisaties gemiddeld Euro 1.500.000,– kosten maken door deze aanvallen dat dan vrijwel alle organisaties die ik vanuit mijn kantoor kan zien inmiddels al failliet waren. Waarschijnlijk zijn enkel zeer grote organisaties onderzocht die m.i. ook gemiddeld meer risico lopen vanuit de omvang (surface of attack) en de naamsbekendheid.
Zo bezien, lijkt het een artikel waarin toch weer paniek wordt gezaaid en op onderbuikgevoelens wordt ingespeeld en daarbij gebruik te maken van m.i. niet realistische getallen. Die zijn namelijk uit hun verband getrokken.
En mocht u nu toch aangespoord zijn om meer aan beveiliging van ICT te gaan doen dan kunt u contact opnemen met de verantwoordelijke voor het onderzoek. Die schijnt daar wel de oplossingen voor te hebben…
Het kan nog erger….
Businesses Lose More Than $1 Trillion in Intellectual Property Due to Data Theft and Cybercrime according to MacAfee
http://www.mcafee.com/us/about/press/corporate/2009/20090129_063500_j.html
De cijfers lijken mij fors overtrokken. De bron is een beveiligingsboer die leeft van dit soort producten en dus graag angst verkoopt. Ik he de afgelopen jaren veel bij verschilende organisaties gewerkt en natuurlijk zijn er aanvallen op firewall, maar 3/4 waarvan 1/3 effectief. Ik geloof er geen bal van sorry.
“Dergelijke aanvallen kosten bedrijven gemiddeld 1,5 miljoen euro per jaar.” Men spreekt over combined cost zonder dit te definiëren. Het gaat om bedrijven van 500 tot 5000+ medewerkers. Gemiddeld zijn daar 120 mensen (in deeltijd) bezig met beveiliging en regelgeving. Er zal jaarlijks ook geld geïnvesteerd worden in beveiligingsmiddelen. Bij elkaar een flinke investering.
Waarschijnlijk is de schade door succesvolle aanvallen gemiddeld kleiner dan de totale beveiligingskosten om verdere schade te voorkomen.
Voor de lezers: het gaat om het rapport te vinden via de link http://www.symantec.com/content/en/us/about/presskits/SES_report_Feb2010.pdf
Het rapport laat zoals gebruikelijk veel fotomodellen zien, maar geen enkele onderbouwing en ook geen definities. Wetenschappelijk stelt het rapport niks voor en als IT-manager heb je er ook niks aan. De auteur mag van mij Symantec om nadere onderbouwing vragen. Misschien hebben we er dan nog wat aan.