Het komende jaar staan cyber- en datasecurity als topprioriteit op de agenda van it-professionals. Dat blijkt uit het IT Trendsonderzoek van Supply Value en daarmee is deze trend de absolute nummer één. 89 procent van de it-professionals geeft veel tot heel veel prioriteit aan deze trend en meer dan 86 procent van de respondenten rekent cyber- en datasecurity tot de drie belangrijkste trends momenteel.
In deze digitaliserende wereld veranderen veel technologieën in een razend tempo de manier waarop organisaties hun werkzaamheden uitvoeren. In dit web van technologieën is het voor it-professionals belangrijk om te weten wat de meest opkomende trends zijn van komend jaar, zodat hier de juiste toegevoegde waarde uit gehaald kan worden voor hun organisatie. Het doel van het IT Trendsonderzoek is het ondersteunen van informatiemanagement en -technologieprofessionals bij het stellen van de belangrijkste prioriteiten en de juiste focus.
Digitale criminaliteit
Digitale dreigingen, cyberinbraken en datalekken komen nationaal en internationaal steeds vaker voor. Uit cijfers van het CBS blijkt dat alleen al binnen Nederland per jaar meer dan één miljoen individuele gebruikers getroffen worden door digitale criminaliteit, maar ook bedrijven en organisaties zijn steeds vaker het doelwit. Zo heeft Twitter de wachtwoorden van miljoenen gebruikers moeten resetten in verband met een datalek, betaalde de Universiteit van Maastricht tonnen aan losgeld om haar door ransomware getroffen it-systemen weer up-and-running te krijgen en ervoer Garmin recentelijk nog een cyberaanval waardoor hun gehele online aanwezigheid wegviel. Veel processen en systemen zijn gedigitaliseerd: onze afhankelijkheid neemt toe, terwijl weerbaarheid achterblijft. Deze combinatie maakt organisaties kwetsbaar voor digitale aanvallen, waardoor forse investeringen van zowel overheid als bedrijfsleven nodig zijn om deze kwetsbaarheid te verlagen.
Cyber- en datasecurity zijn van oorsprong twee verschillende disciplines, maar liggen in elkaars verlengde en kunnen elkaar versterken. Cybersecurity omvat het bredere spectrum van beveiliging van data en systemen tegen diefstal, verstoring of misbruik van hardware, software of data. Datasecurity gaat over de bescherming van deze data tegen bedoelde of onbedoelde aanpassing, verwijdering of openbaarmaking van data door ongeautoriseerde personen.
Cybersecurity
Cybersecurity krijgt door de toenemende digitalisering van processen en systemen een steeds belangrijkere rol in de bescherming van organisaties tegen aanvallen. Deze bescherming bestaat uit een ‘harde’ en een ‘zachte’ kant. Bij een ‘harde’ aanval maakt de aanvaller gebruik van een ontwerp- of configuratiefout, zoals een backdoor in een systeem of algoritme, om de beveiliging te ontwijken. De harde bescherming bestaat bijvoorbeeld uit een firewall die toegang afschermt, maar ook ‘security by design’ waarin veiligheid van software vanaf het ontwerp al een centrale rol speelt.
Een ‘zachte’ aanval richt zich minder op de technologie, maar meer op de gebruiker. Hierbij wordt vaak gebruik gemaakt van social engineering, waarbij de aanvaller zich voordoet als een ander, zoals een bank of een ceo, om gevoelige gegevens te verkrijgen via het slachtoffer of deze zelfs rechtstreeks te verleiden tot een financiële transactie. Aan de zachtere kant van bescherming ligt de focus onder andere op training en bewustzijn van (eind)gebruikers. Zwakke wachtwoorden en het niet tijdig herkennen van misleidende url’s, afzenders en e-mailbijlagen zijn bekende menselijke fouten in trainingen en campagnes.
Datasecurity
Datasecurity gaat over de bescherming van data tegen het bedoeld of onbedoeld inzien, aanpassen, vernietigen of lekken van data zonder autorisatie. Om dit te voorkomen, voorziet datasecurity in technische maatregelen gericht op fysieke beveiliging, administratieve controles en andere beschermingsmiddelen die toegang beperken. Hierin wordt vaak gebruik gemaakt van encryptietechnologie, back-ups, data masking en datavernietiging, maar denk ook aan devicemanagement om datalekken te voorkomen.
Naast deze technische maatregelen, omvat datasecurity ook organisatorische maatregelen, mede vanwege de menselijke factor in de risico’s. Ook al zijn gegevens goed beschermd, onzorgvuldigheden in de menselijke omgang met techniek kunnen tot grote datalekken leiden. Door het niet goed wissen van harde schijven en back-ups of het niet zorgvuldig omgaan met wachtwoorden kunnen gegevens alsnog – letterlijk – op straat belanden. Deze organisatorische maatregelen kunnen bestaan uit het opstellen van een beveiligingsbeleid en het treffen van protocollen en maatregelen ten behoeve van bedrijfscontinuïteit in geval van een incident, maar ook het stimuleren van bewustzijn en training met als doel een cultuur te creëren waarin medewerkers adequaat omgaan met data.
Security monitoring
Cyber- en datasecurity kennen veel toepassingen. Uit het IT Trendsonderzoek komen drie relevante toepassingen naar voren, namelijk security monitoring, emergency response en shared security. Preventieve beveiligingsopties zijn belangrijk. Ondanks dat deze opties steeds slimmer worden, groeit de kans dat deze worden omzeild. Het actief monitoren en bewaken van informatiesystemen, ook wel security monitoring, wordt daarom steeds belangrijker.
Naast een signalerende functie heeft security monitoring ook een alarmerende en adviserende functie door het suggereren van passende maatregelen bij een bepaald gedetecteerd beveiligingsprobleem. Van de respondenten die cyber- en datasecurity prioriteit geven, vindt maar liefst 93 procent security monitoring een relevante ontwikkeling. Het beschermt organisaties tegen de directe schade van een datalek, onder andere door het beschermen van bedrijfsvoering en continuïteit, maar ook tegen indirecte schade in de vorm van reputatieschade.
Emergency response
In het geval van een cyberaanval is het belangrijk om snel, kalm en gecoördineerd te reageren. Emergency response bestaat vaak uit een team dat in staat is snel beveiligingsinbreuken, datalekken en andere ernstige incidenten te onderzoeken en maatregelen te nemen om er voor te zorgen dat de schade wordt beperkt. De uitbraak van de Morris-worm in 1988 gaf aanleiding voor het oprichten van teams gericht op emergency response, omdat deze worm zich wist te verspreiden naar een groot deel van het toenmalig internet, wat maar moeizaam hersteld kon worden.
Vanwege het maatschappelijke belang coördineren veel landen emergency response ook op nationaal niveau. Daarnaast wordt emergency response als relevant gezien door 69 procent van de respondenten die cyber- en datasecurity prioriteit geven. Het minimaliseren van de directe en indirecte schade voor kwetsbare organisatieprocessen vormt daarin een belangrijke drijfveer.
Shared security
Met de opkomst van cloudtechnologie heeft ook shared security als toepassing meer aandacht gekregen. Shared security houdt in dat de cloudleverancier en -afnemer de verantwoordelijkheid voor beveiliging delen, waarbij de leverancier verantwoordelijk is voor de cloud en de afnemer voor de eigen data en applicaties in de cloud. Door gebruik te maken van de beveiliging vanuit de leverancier ontstaat meer effectiviteit in de inzet van beveiligingsmiddelen en wordt van de gebruiker minder diepgaande kennis en inzet verwacht. Dat betekent niet dat de cloudafnemer geen aandacht hoeft te besteden aan beveiliging van de cloud.
Uit onderzoek van Extrahop blijkt dat de verwachting is dat in 2022 minstens 95 procent van de beveiligingsincidenten met de cloud veroorzaakt wordt aan de kant van de afnemer. Daarom is het des te belangrijker om goede afspraken te maken tussen cloudleverancier en -afnemer. Shared security is dan ook een relevante toepassing voor 45 procent van de respondenten in het IT Trendsonderzoek die prioriteit geven aan cyber- en datasecurity.
Trendontwikkeling
Uit het IT Trendsonderzoek 2019 bleek dat er een behoefte ligt bij een betere bescherming van systemen en gegevens. Het groeiende belang van databeveiliging komt ook dit jaar sterk terug in het onderzoek. Zo ziet Supply Value een grotere prioriteit die in 2020 aan cyber- en datasecurity wordt gegeven en is er een groei van 71 procent naar 89 procent van professionals die veel tot heel veel prioriteit aan deze trend geven.
Nog opvallender is dat het belang van deze trend vorig jaar nog nét buiten de podiumplaatsen terecht kwam (plek 4), maar dit jaar als meest belangrijke trend wordt gezien. Zo verkoos meer dan 85 procent van de respondenten cyber- en datasecurity tot de top drie belangrijkste it-trends, waarbij de helft van deze 85 procent het op de eerste plek plaatst. Veel it-professionals geven aan dat het groeiende belang en inzet van data gepaard gaat met kwetsbaarheid. Om deze kwetsbaarheid te mitigeren, nemen organisaties databeveiliging op in de bedrijfsstrategie en richten een security operations center (soc) in. Daarnaast is er een groeiende behoefte om de gehele keten te beveiligen en overzien. Zo worden risico’s voor datalekken bij (it-)leveranciers en andere ketenpartners getoetst en waar mogelijk aangescherpt.
Commerciële gebruik
Ook andere onderzoeken laten zien dat de cyber- en datasecuritytrend zich verder ontwikkelt. 54 procent van de consumenten geeft aan net zo bezorgd te zijn over het commerciële gebruik van hun persoonlijke data en online-identiteit voor gepersonaliseerde doeleinden als over beveiligingsbedreigingen en hackers. Dit zou een belangrijk startpunt moeten zijn voor klantgeoriënteerde organisaties.
‘Het mag dan wel lijken dat investeringen in cyber- en datasecurity niet direct geld opleveren, maar het negeren ervan kan enorme financiële en imagoschade opleveren’, aldus Jurriaan Vogel, consultant bij SupplyValue. ‘Uit ons onderzoek blijkt dat het groeiende belang en inzet van data gepaard gaat met kwetsbaarheid. Daarom is een robuust en solide systeem van informatiebeveiliging een belangrijke basis om de andere trends te kunnen ontplooien. Dat vraagt om een combinatie van harde en zachte maatregelen, variërend van firewalls tot bewustzijn voor medewerkers. Ook komt uit het onderzoek naar voren dat kleine organisaties en organisaties met een relatief laag it-budget minder belang hechten aan cyber- en datasecurity, terwijl ook deze organisaties zich bewust moeten zijn van de risico’s én hier de benodigde maatregelen voor moeten treffen. Een eerste stap hierin kan een toets zijn op de huidige situatie om zo de risico’s en kwetsbaarheden van cyber- en datasecurity in beeld te krijgen, bijvoorbeeld met behulp van de Baseline Informatiebeveiliging Overheid.’
