Nederland gaat slecht om met cyberincidenten

Criminelen dringen organisaties binnen via internet. Dat is een feit. En het aantal cyberincidenten in Nederland verdrievoudigde in 2014 ten opzichte van het jaar ervoor. Toch besteden bedrijven in ons land 83 procent van hun cyberbudget aan de preventie van cyberincidenten. En slechts 17 procent aan de daadwerkelijke opsporing en de noodzakelijke respons op concrete incidenten.

Hiermee loopt Nederland achter op andere Europese landen, aldus onderzoeksbureau Pierre Audoin Consultants (PAC) in opdracht van CGI. Wereldwijd werden 1.800 decisionmakers ondervraagd, waaronder in Nederland. De conclusie? Nederlandse organisaties zijn onvoldoende voorbereid op de onvermijdelijke cyber breach.

Niet kwetsbaarder, wel meer impact

Nederland geeft dit jaar relatief minder (17 procent) uit aan het opsporen van en de respons op cyberincidenten dan andere Europese landen zoals Duitsland en Engeland (20 procent), Frankrijk en Finland (21 procent) en Zweden (22 procent).

Dit betekent niet dat Nederlandse organisaties kwetsbaarder zijn voor cyberincidenten. Maar wel dat zij incidenten minder snel of minder goed kunnen identificeren. En niet snel genoeg kunnen reageren met de noodzakelijke respons. De impact op de business wordt hierdoor waarschijnlijk groter.

Vergelijkbaar bedrag

In vergelijking met andere, grotere EU-landen als Frankrijk, Duitsland en Engeland besteedt Nederland een vergelijkbaar bedrag aan cybersecurity, gemeten als een percentage van het Bruto Binnenlands Product (BBP) of per hoofd van de bevolking. Dit betekent dat Nederland verhoudingsgewijs evenveel uitgeeft als een groot land.

Maar in vergelijking met Finland en Zweden besteden we minder aan cybersecurity. Dit terwijl deze landen een IT-security markt hebben die vergelijkbaar is met de Nederlandse. Om de kloof te dichten zou Nederland 0.03 procent van het BBP meer moeten uitgeven aan cybersecurity.

Op dit moment geven Nederlandse bedrijven 17 procent van hun budget uit aan het opsporen van en reageren op cyberincidenten. De komende vijf jaar zal dit stijgen tot 20 procent, aldus het onderzoek. Een goed begin, maar volgens CGI zou het gezien de mogelijke impact van een breach tenminste een derde van het cyberbudget moeten zijn.

Cyber breaches hoog op agenda

Cyber security staat zowel bij IT-professionals als bij het management hoog op de agenda. Dit komt vooral doordat breaches een grote impact kunnen hebben op de financiële prestaties en de reputatie van organisaties.

Er zijn echter belangrijke verschillen tussen IT en de business als het gaat om hoe zij zouden reageren op een breach. IT-managers geven de voorkeur aan een technische oplossing door middel van geautomatiseerde security. De business ziet vooral outsourcing van incidentresponse als de oplossing.

Verrassend genoeg is de business veel minder bereid om te kiezen voor op cloudgebaseerde securityfunctionaliteiten. Zij zien de cloud vaak, ten onrechte, als een onveilig platform.

Sectoren in kritieke infrastructuren volwassener

Vooral retail, media en professionele dienstverlening zijn slecht voorbereid op cyberincidenten. Ook voor de publieke sector zoals lokale overheid en onderwijs geldt dat deze minder volwassen is op het gebied van cybersecurity, met uitzondering van defensie.

Welke sectoren beter scoren? Transport, energie, financiële dienstverlening en telecom. De reden hiervoor is simpel: deze sectoren met een kritieke infrastructuur zijn vaker doelwit van cyberaanvallen. De transport-, telecom- en energiesector worden het meest aangevallen (36 procent) gevolgd door de financiële dienstverlening (26 procent).

Organisaties zonder kritieke infrastructuur hebben echter vaker (38 procent) de intentie om hun cyberbudget in de komende twee jaar te verhogen in vergelijking met bedrijven met een kritieke infrastructuur (30 procent). De kloof lijkt zich dus te dichten.

Het volledige onderzoek Cyber Security Challenges in the Netherlands: Is a cyber breach inevitable? van CGI kan hier gedownload worden.