Cybersecurity-blunders van derden vormen grootste kostenpost
12 december 2017 -
Hoewel steeds meer ondernemingen, ongeacht de ROI, in cybersecurity investeren (63 procent in 2017 tegenover 56 procent in 2016), wijst onderzoek van Kaspersky Lab en B2B International uit dat de gemiddelde kosten van een cybersecurity-incident toenemen.
Volgens het rapport 'IT security: cost-center or strategic investment?' zijn de kostbaarste inbreuken op de cyberveiligheid van bedrijven van iedere omvang het resultaat van fouten van derden. Dit betekent dat bedrijven niet alleen in hun eigen beveiliging moeten investeren, maar ook op die van hun zakenpartners moeten letten.
Belang IT-beveiliging
Het dit jaar verrichte onderzoek onthult veelbelovende ontwikkelingen in het belang dat in IT-beveiliging wordt gesteld. Bedrijven over de hele wereld beginnen het als een strategische investering te beschouwen en het aandeel van IT-beveiliging in het hele IT-budget is bij grote bedrijven gegroeid tot een vijfde (twintig procent). Dit patroon breidt zich uit naar bedrijven van alle groottes, met inbegrip van zeer kleine bedrijven met weinig resources. Maar beveiliging mag dan wel een groter deel van het IT-budget uitmaken, het totale budget slinkt. Het gemiddelde IT-beveiligingsbudget voor grotere ondernemingen in Europa is bijvoorbeeld gedaald van 21,4 miljoen euro vorig jaar tot 11,5 miljoen in 2017.
Inbreuken niet goedkoper
Dit is een zorg voor bedrijven, vooral gezien het feit dat – in tegenstelling tot IT-beveiligingsbudgetten – het herstel van inbreuken op de beveiliging niet goedkoper wordt. Dit jaar hebben MKB’s wereldwijd gemiddeld 73,8 duizend euro per beveiligingsincident moeten betalen (tegenover 72,7 duizend in 2016). Europese MKB’s betaalden gemiddeld 68,9 duizend euro per gegevensschending. Grotere ondernemingen hebben die kosten nog sneller zien stijgen, wereldwijd van 723 duizend euro in 2016 tot 833 duizend in 2017. Zij kregen in Europa gemiddeld een eindnota van 787,9 duizend euro voorgeschoteld.
Verhoging IT-budgetten
Verhoging van de IT-beveiligingsbudgetten is niettemin slechts een deel van de oplossing, omdat de meest onthutsende verliezen voortkomen uit incidenten waarbij derden betrokken zijn en cyberblunders hebben begaan. Er zijn MKB's die niet minder dan 110,8 duizend euro hebben moeten neertellen voor incidenten die schade hebben toegebracht aan hun door een derde partij beheerde infrastructuur. Grotere bedrijven hebben tot 1,5 miljoen euro verloren als gevolg van inbraken bij leveranciers met wie ze gegevens delen en 697,2 duizend euro wegens het te lage beschermingsniveau van IaaS-providers.
Zwakke plekken
Zodra een bedrijf een andere organisatie toegang geeft tot data of infrastructuur, kunnen de zwakke plekken van de één invloed hebben op beide partijen. Dit probleem wordt steeds wezenlijker, omdat overheden over de hele wereld zich haasten om nieuwe wetgeving in te voeren, die inhoudt dat organisaties informatie moeten verschaffen over hoe ze persoonsgegevens delen en beschermen.
"Cyberveiligheidsincidenten waarbij derde partijen zijn betrokken, kunnen schadelijk zijn voor bedrijven van iedere omvang, maar de financiële impact kan nog dubbel zo groot zijn," zegt Martijn van Lom, General Manager Kaspersky Lab Benelux. "Dit heeft te maken met een grotere mondiale uitdaging: dreigingen bewegen zich razendsnel, maar bedrijven én wetgeving ontwikkelen zich tergend langzaam. Wanneer regelingen als GDPR afdwingbaar worden en bedrijven bij de kladden grijpen voordat ze hun beleid hebben kunnen aanpassen, komen de boetes voor het niet naleven van wetgeving er ook nog bovenop."
Een simpel anti-virus pakketje volstaat al lang niet meer. Een firewall en dataversleuteling zijn minimale zaken die het MKB moet implementeren. Daar komt ook bij dat de cloud niet meer weg te denken is en men goed moet overwegen welke dienstverleners daarvoor wordt aangenomen. Niet iedere dienstverlener heeft evengoed haar (beveiligings-)zaakjes op orde.
