Middelgrote en grote organisaties in Nederland maken zich grote zorgen over hun digitale veiligheid. Ongeveer 25% van alle organisaties geeft aan onvoldoende voorbereid te zijn op een cyberdreiging. In de gezondheidszorg zijn de zorgen groter, daar zegt 40% van de ondervraagde IT-beslissers onvoldoende te zijn voorbereid op cyberdreiging. Ook de financiële sector (29%) en overheid (27%) scoren relatief hoog in vergelijking met het gemiddelde over alle onderzochte organisaties. Opvallend is dat de transport en logistiek sector stukken beter zegt te zijn voorbereid, zo blijkt uit een onderzoek van KPN.
Het onderzoek ‘Cybersecurity Wakkerliggers’ geeft inzicht in wat IT-verantwoordelijken van middelgrote en grote organisaties in zes verschillende branches ’s nachts wakker houdt. Onderzoeksbureau Motivaction ondervroeg hiervoor in opdracht van KPN in totaal 456 IT-verantwoordelijken die werkzaam zijn in verschillende sectoren.
De meest genoemde zorgen:
Diefstal privacygevoelige data
(Deels) stilliggen bedrijf
Reputatieschade
Financiële schade door bv. omzetverlies
Diefstal bedrijfsgevoelige informatie
Gezondheidszorg en welzijn:
Binnen de gezondheids- en welzijnszorg maakt men zich de meeste zorgen over digitale veiligheid. Zo ligt men vooral wakker van diefstal van gevoelige patiëntgegevens, gevolgd door het (deels) stil liggen van de organisatie, reputatieschade en maatschappelijke impact. Deze branche maakt zich vergeleken met andere branches relatief gezien het meeste zorgen om digitale veiligheid (cybersecurity) en is naar eigen zeggen het minst voorbereid op een cyberdreiging. Zo weet men bv. minder goed wat de gevolgen van uiteenlopende cyberrisico’s zijn en wat de staat van digitale veiligheid is binnen hun organisatie.
Financiële dienstverlening:
De financiële sector maakt zich veel zorgen over cybersecurity, en dan met name om de reputatieschade als gevolg van een cyberaanval. Financiële organisaties lijken wel goed op de hoogte van de cyberrisico’s. Volgens bijna alle respondenten in deze sector weten medewerkers wat ze moeten doen bij een aanval. De branche vindt de investering echter relatief vaak te hoog in verhouding tot de risico’s. Verder valt op dat IT-beslissers in de financiële dienstverlening zich relatief goed bewust zijn van risico’s van bv. clouddiensten en hybride/thuiswerken. De grote uitdagingen voor deze sector zijn de (snelle) opkomst van nieuwe technologieën en aanwezigheid van oudere systemen (legacy-software).
Overheid:
Deze sector maakt zich het minst zorgen over cybersecurity en beschouwt zichzelf relatief vaak als goed voorbereid. Diefstal van privacygevoelige gegevens is bij de overheid de grootste zorg. Zorgen over de maatschappelijke impact van een cyberaanval en het niet voldoen aan wet- en regelgeving worden eveneens vaak genoemd. Deze branche maakt zichzelf relatief gezien het minst zorgen om digitale veiligheid (cybersecurity) en beschouwt zichzelf vergeleken met andere branches het meest voorbereid op een cyberdreiging. Over het algemeen heeft men cyberrisico’s goed op de radar en de (mogelijk grote) gevolgen hiervan voor de organisatie. Grote uitdagingen voor de branche zijn een gebrek aan kennis en gekwalificeerd personeel, evenals de aanwezigheid van oudere systemen (legacy-software).
Industrie:
In deze sector is het stilvallen van bedrijfsprocessen de grootste zorg, gevolgd door diefstal van bedrijfsinformatie en financiële schade. Men maakt zich gemiddeld zorgen om de digitale veiligheid (cybersecurity) en vindt zichzelf vergeleken met andere branches ook gemiddeld voorbereid op een cyberdreiging. Hoewel de industrie denkt cybersecurity redelijk goed op de radar te hebben , lijkt de sector een aantal risico’s te onderschatten. Er is bijvoorbeeld relatief vaak geen integraal cybersecuritybeleid en men denkt bijvoorbeeld niet interessant te zijn voor cybercriminelen.
Retail:
De financiële schade door cyberaanvallen is in deze branche met voorsprong de grootste zorg, gevolgd door stilvallende bedrijfsactiviteiten en een onbereikbare webshop of website. Een overgrote meerderheid van de respondenten in deze sector denkt enigszins of zelfs goed of volledig voorbereid te zijn op een cyberdreiging. Wel gaf de meerderheid aan dat ‘andere zaken’ dan cybersecurity vaak voorrang krijgen, bovendien loopt men tegen een aantal uitdagingen aan, zoals de complexiteit van het IT-landschap en het in huis halen/behouden van cybersecurity-kennis.
Transport en logistiek:
Binnen de transport en logistiek maakt men zich, net als binnen de retail, het meest zorgen om financiële schade. Gevolgd door stillegging van het bedrijf en diefstal van privacygevoelige data. Vergeleken met de andere branches denkt men relatief vaak goed of zelfs volledig voorbereid te zijn op cyberdreigingen. Desondanks heeft minder dan een kwart een beleid voor het melden van beveiligingsincidenten. Ook kampt de branche onder meer met een gebrek aan kennis/bewustzijn en aan gekwalificeerd cybersecurity-personeel.
Verschillen middelgrote en grote organisaties
De onderzoekers hebben ook gekeken naar de overeenkomsten en verschillen tussen middelgrote en grote organisaties. Beide groepen maken zich vooral zorgen over de diefstal van privacygevoelige gegevens. Bij middelgrote organisaties zijn reputatieschade en financiële schade de grootste zorgen na datadiefstal, terwijl bij grote organisaties vooral het stilvallen van het bedrijf een grote bron van zorg is, naast reputatieschade.
Middelgrote organisaties zeggen minder vaak geconfronteerd te zijn met cyberrisico’s en onderschatten deze vaker. Ze maken zich minder zorgen over cyberdreigingen en denken ook minder interessant te zijn voor criminelen. Grote organisaties zijn zich daarentegen bewuster van de risico’s en ervaren vaker uitdagingen zoals een hoge werkdruk op hun IT- en cybersecurityafdelingen.
Kwetsbaarheid zorgwekkend
Met de inzichten uit dit onderzoek wil KPN zijn rol als securitypartner van Nederland verder versterken. Door beter inzicht te hebben in de specifieke uitdagingen van elke branche, kan KPN samenwerken met de verschillende organisaties aan effectievere oplossingen om organisaties te beschermen tegen de toenemende dreiging van cybercriminaliteit.
Over het onderzoek
Het onderzoek is uitgevoerd door Motivaction in opdracht van KPN. Van 16 tot en met 26 augustus 2024 werden 456 IT-verantwoordelijken uit middelgrote en grote organisaties ondervraagd via een online vragenlijst.