Nederland besteedt minder budget aan het opsporen van en de respons op cyberincidenten dan rest van Europa


Nederlandse organisaties zijn onvoldoende voorbereid op de onvermijdelijke cyber breach. Dit blijkt uit een onderzoek dat onderzoeksbureau Pierre Audoin Consultants (PAC) Ltd in opdracht van CGI (NYSE: GIB) (TSX: GIB.A), de technologische en zakelijke dienstverlener, uitvoerde onder 1800 decision makers wereldwijd, waaronder Nederland.

Het aantal cyberincidenten in Nederland verdrievoudigde in 2014 ten opzichte van het jaar ervoor. Het is onvermijdelijk dat criminelen erin zullen slagen om organisaties binnen te dringen via het internet. Nederlandse organisaties besteden in 2015 echter 83 procent van hun cyberbudget aan de preventie van cyberincidenten en slechts 17 procent aan de daadwerkelijke opsporing en de noodzakelijke respons op concrete incidenten. Hiermee loopt Nederland achter op andere Europese landen. 

Nederland in vergelijking met de rest van Europa 
In 2015 zal Nederland relatief minder (17%) uitgeven aan het opsporen van en de respons op cyberincidenten dan andere Europese landen zoals Duitsland en Het Verenigd Koninkrijk (20%), Frankrijk en Finland (21%) en Zweden (22%). Dit betekent niet dat Nederlandse organisaties kwetsbaarder zijn voor cyberincidenten, maar wel dat zij incidenten minder snel of minder goed kunnen identificeren en niet snel genoeg kunnen reageren met de noodzakelijke respons. De impact op de business wordt hierdoor waarschijnlijk groter.  

In vergelijking met andere grotere EU landen als Frankrijk, Duitsland en Het Verenigd Koninkrijk besteedt Nederland een vergelijkbaar bedrag aan cybersecurity, gemeten als een percentage van het Bruto Binnenlands Product (BBP) of per hoofd van de bevolking. Dit betekent dat Nederland hier verhoudingsgewijs evenveel aan uitgeeft als een groot land. In vergelijking met Finland en Zweden besteedt Nederland minder aan cybersecurity. Dit terwijl deze landen een IT security markt hebben die vergelijkbaar is met de Nederlandse. Nederland zou 0.03 procent van het BBP meer moeten uitgeven aan cybersecurity om deze kloof te dichten.
 
Uit het onderzoek blijkt dat het percentage dat Nederlandse organisaties besteden aan het opsporen van en reageren op cyberincidenten de komende vijf jaar zal stijgen tot 20 procent. Volgens CGI zou dit gezien de mogelijke impact van een breach tenminste een derde van het cyberbudget moeten zijn.

Cyber breaches hoog op de agenda bij zowel business als IT
Cyber breaches staan zowel bij IT professionals als bij de business hoog op de agenda. Dit komt vooral doordat deze breaches een grote impact kunnen hebben op de financiële prestaties en de reputatie van organisaties. Er zijn echter belangrijke verschillen tussen IT en de business als het gaat om hoe zij zouden reageren op een  breach. IT managers geven de voorkeur aan een technische oplossing door middel van geautomatiseerde security. De business ziet vooral outsourcing van incident response als de oplossing. Een verrassende uitkomst van het onderzoek is dat de business veel minder bereid is om te kiezen voor op cloud gebaseerde security functionaliteiten. Zij zien de cloud vaak, ten onrechte, als een onveilig platform.   

Sectoren in kritieke infrastructuren volwassener
Sectoren in kritieke nationale infrastructuren zoals transport, energie,  financiële dienstverlening en telecom zijn over het algemeen beter voorbereid op cybersecurity incidenten dan andere sectoren zoals retail, media en professionele dienstverlening. Ook voor de publieke sector zoals lokale overheid en onderwijs geldt dat deze minder volwassen is op het gebied van cybersecurity, met uitzondering van defensie. De reden hiervoor is dat sectoren met een kritieke infrastructuur vaker doelwit zijn van cyberaanvallen. De transport-, telecom- en energiesector worden het meest aangevallen (36%) gevolgd door de financiële dienstverlening (26%). Organisaties zonder kritieke infrastructuur hebben echter vaker (38%) de intentie om hun cyberbudget in de komende twee jaar te verhogen in vergelijking met bedrijven met een kritieke infrastructuur (30%). De kloof lijkt zich dus te dichten.