Wereldwijd forse stijging informatiebeveilings-incidenten

PwC ondervroeg ruim 9.700 bestuurders en IT-executives uit 154 landen (waaronder Nederland) in alle sectoren over de beveiliging van bedrijfsinformatie. Het aantal gedetecteerde beveiligingsincidenten steeg de afgelopen vijf jaar gemiddeld met twee derde per jaar. De dreiging komt steeds vaker van binnenuit de eigen organisatie.

Het onderzoek laat zien dat bedrijven vorig jaar grote verliezen leden als gevolg van beveiligingsincidenten. Zo was de gemiddelde financiële schade als gevolg van data-inbraken 2,7 miljoen dollar per incident, een stijging van 34 procent ten opzichte van een jaar eerder. Schades van grotere orde, soms wel tot 20 miljoen dollar, komen steeds vaker voor. Opvallend is dat securitybudgetten juist dalen: dit jaar geven bedrijven gemiddeld 4 procent minder uit aan informatiebeveiliging dan in 2013.

De schade als gevolg van beveiligingsincidenten kan bestaan uit vergoedingen voor losgeld, reputatieverlies, communicatie, forensisch onderzoek, juridische kosten, herstel en vervanging van informatie, boetes en inkomstenderving. Zo zag een Brits bedrijf waarvan de blauwdruk voor een nieuw model windturbine werd gehackt, zijn verdienmodel in rook opgaan toen een concurrent de betreffende windturbine in de markt zette. Deze concurrent had immers geen ontwikkelingskosten.

Volgens Bram van Tiel, securityspecialist bij PwC, is het verkopen van bedrijfsinformatie voor cybercriminelen een lucratieve business geworden. ‘De waarde van data, vooral die van persoonsgegevens, neemt sterk toe. Mede daarom is er voor organisaties die met persoonsgegevens werken nieuwe en strengere privacyregelgeving in de maak.’

Volgens die regels worden (grote) bedrijven verplicht een dataprivacy-officer aan te stellen en een data-lek binnen maximaal 72 uur te melden. Organisaties moeten verzoeken accepteren van mensen die verwijderd willen worden uit datasystemen, het zogenoemde right-to-be-forgotten. Ook worden de boetes bij data-lekken flink verhoogd, tot wel 5 procent van de wereldwijde omzet.

Van Tiel twijfelt of Nederlandse organisaties er wel klaar voor zijn als de nieuwe Europese regels in 2016 van kracht worden: ‘Een aantal van de bedrijven die wij adviseren bereidt zich wel voor. Maar dat beperkt zich vooral tot een inventarisatie waaraan ze moeten voldoen als er data op straat komt te liggen, zoals het informeren van de toezichthouder en alle personen die potentieel schade kunnen ondervinden. Maar het echte besef van de totale impact van de maatregelen op de interne organisatie en de manier van zaken doen met leveranciers lijkt er nog niet te zijn.’

Volgens de studie detecteerden grote bedrijven – met meer dan een miljard dollar omzet – 44 procent meer incidenten. Middelgrote bedrijven – met een omzet tussen de 100 miljoen en 1 miljard dollar -detecteerden 64 procent meer incidenten.

‘De perceptie is dat cybercriminelen vooral grote bedrijven op het vizier hebben’, zegt Van Tiel. ‘Maar omdat grote bedrijven doorgaans hun beveiligingsmaatregelen op een hoger niveau hebben, verleggen criminelen hun werkterrein steeds vaker naar middelgrote bedrijven en zorg- en onderwijsinstellingen. Als de inbraakdrempel bij de buren lager ligt, ga je daarheen. Criminelen zoeken naar de hoogste waarde tegen de laagste inspanning en pakkans.’

Volgens Van Tiel zijn consumenten- en retailbedrijven nog steeds favoriet. ‘Maar ook energiebedrijven met slimme meters kunnen in potentie een interessant doelwit voor hackers vormen.’

Veel van de beveiligingsinspanningen van bedrijven en overheden richten zich op bedrijfsspionage of dreigingen van veiligheidsdiensten en landen als China en Iran. Die krijgen ook de meeste media-aandacht. Maar de studie wijst uit dat de dreiging steeds vaker van binnen de eigen organisatie komt. Het percentage respondenten dat de vinger wijst naar (oud)medewerkers steeg met 10 procent. Bovendien blijkt de schade regelmatig hoger te liggen als er insiders – naast medewerkers, bijvoorbeeld ook service providers en ingehuurde consultants – bij data-lekken zijn betrokken. Het gaat hier om zowel bewuste als onbewuste acties van (oud)medewerkers die ertoe leiden dat bedrijfsgegevens op straat komen te liggen.