Eénderde van de Nederlandse organisaties was het afgelopen jaar slachtoffer van beveiligingsincidenten. Het aantal incidenten nam daarmee af ten opzichte van het voorgaande jaar; de incidenten zelf worden echter steeds ernstiger. Bovendien geeft een groot aantal organisaties aan op dit moment niet ‘in control’ te zijn van hun beveiliging. De vrees bestaat daarom dat veel organisaties kwetsbaar blijven voor beveiligingsincidenten. Ook organisaties die de beveiliging wél prominent op de agenda hebben lopen vaak achter de feiten aan. De criminaliteit bedenkt constant nieuwe inbraakstrategieën; organisaties worden in een reactieve rol gedwongen. Van vooruitlopen op nieuwe ontwikkelingen is geen sprake.
Deze conclusies zijn afkomstig van het door Capgemini uitgevoerde onderzoek ‘Informatiebeveiliging 2006’. Aan dit onderzoek is deelgenomen door directieleden en managers van meer dan 250 Nederlandse bedrijven en overheidsorganisaties. Het onderzoeksrapport wordt woensdag 11 oktober gepresenteerd op de beurs Infosecurity.nl in de Jaarbeurs te Utrecht.
Het jaarlijks terugkerende onderzoek laat een dalende tendens zien voor wat betreft het aantal beveiligingsincidenten. In 2006 was 32 procent van de ondervraagden slachtoffer van incidenten; in 2003 lag dit percentage nog op zo’n 69 procent en vorig jaar werd ongeveer 35 procent getroffen. Daartegenover staat dat de gemiddelde directe en indirecte schade per incident is toegenomen; de criminele organisaties die schuil gaan achter de beveiligingsincidenten beschikken over steeds meer financiële middelen en zijn steeds beter georganiseerd, en kunnen daarom, op grote schaal, grote schade berokkenen. Ook zorgwekkend is dat slechts 21 procent van de geïnterviewden aangeeft te voldoen aan compliance wet- en regelgeving. Op basis hiervan kan sterk worden getwijfeld of organisaties eventuele incidenten en de gevolgen hiervan onderkennen.
“Het gaat niet meer alleen zoals vroeger om het platleggen van een website” zegt Jule Hintzbergen, werkzaam als adviseur op het gebied van informatiebeveiliging bij Capgemini. “Vandaag de dag gaat het meer en meer om financieel gewin, bijvoorbeeld door middel van phishing en zogenaamde scams, waarmee forse bedragen worden geïncasseerd zonder dat gedupeerden zich dat realiseren. Het gaat dan niet om gigantische bedragen per transactie maar juist om grote hoeveelheden kleinere bedragen. Bedrijven en organisaties lijken niet in te spelen op nieuwe dreigingen, maar blijven acteren op onderkende risico’s van vroeger. Dit is absolute schijnzekerheid. Verder geeft het onderzoek aan dat er een verschil is tussen de werkelijk opgetreden incidenten en de perceptie van welke incidenten de meeste zorgen baren.”
Medeonderzoeker Geert-Jan van de Ven vult aan: “Maar liefst de helft van de ondervraagden geeft aan geen risicoanalyse te hebben uitgevoerd om relevante dreigingen en noodzakelijke beveiligingsmaatregelen vast te kunnen stellen. Uiterst onverstandig, omdat zo geen goede set van samenhangende maatregelen kan worden bepaald. Alle genomen maatregelen zijn dan ‘best guesses’ en bieden geen enkele garantie”.
9 uur geleden
