Meer digitale weerbaarheid is de beste verdediging tegen cyberaanvallen

Meer digitale weerbaarheid is de beste verdediging tegen cyberaanvallen

PwC’s Digital Trust Insights

●   Ondernemingen die tegen een cyberaanval bestand blijken (en dus een ‘high resilience quotient’ hebben), hebben drie essentiële zaken onder de knie:

  • ze hebben een volledige inventaris van hun IT-activa en werken die naargelang nodig is bij (91%);
  • ze hebben bepaald welke hun van kritiek belang zijnde bedrijfsdiensten zijn (73%);
  • ze hebben de impacttolerantie voor zowel kritieke als niet-kritieke bedrijfsdiensten in kaart gebracht (61%).

●    Hoewel 69% van de Belgische CEO’s zich over cybercriminaliteit zorgen maakt, meent maar liefst 75% van hen dat de eigen organisatie tegen een cyberaanval bestand is, wat erop wijst dat er wat sensibilisering betreft nog een lange weg af te leggen is.

22 oktober 2019 - Ransomware is de snelst groeiende vorm van cybercriminaliteit, dagelijks doen zich gemiddeld meer dan 4.000 incidenten voor; volgens het Amerikaanse Federal Bureau of Investigation (FBI) volstaat ‘good enough’ gewoonweg niet meer wanneer het gaat om het beschermen van gegevens en informatie. In het kader van zijn recentste uitgave van ‘Digital Trust Insights’ heeft PwC 3.500 bedrijfsleiders en IT-verantwoordelijken wereldwijd bevraagd over hun digitale weerbaarheid (‘digital resilience’). Doel daarbij was te bepalen welke bedrijven voorbereid zijn om een cyberaanval het hoofd te bieden en zo nodig snel van de gevolgen te herstellen, en om een inzicht te krijgen in hoe activiteiten in deze zin tot meer expertise hebben geleid. De resultaten geven aan dat het in de meeste gevallen de bedrijven met de best uitgewerkte strategieën zijn die beschikken over recentelijk grondig bijgewerkte ‘resilience plans’ voor nieuwe, heel ernstige bedreigingen.

Ingebouwde weerstand: ‘resilience by design’

In zijn rapport meldt PwC dat 25% van de wereldwijd bevraagde personen kan worden ingedeeld bij de groep met een ‘high resilience quotient’ (‘high RQ’). De kans is, vergeleken met andere respondenten, groter dat deze ondernemingen hun strategie hebben aangepast in het licht van nieuwe bedreigingen. Deze high-RQ-groep heeft het traditionele ‘disaster recovery’-model ingeruild voor ‘resilience by design’ Met deze verruimde benadering kan men onder meer in reële tijd zien welke processen een hogere prioriteit moeten krijgen zodat mensen die beslissingen moeten nemen en de mensen die tot actie moeten overgaan samen, in onderling overleg, op incidenten kunnen reageren om zo de schade voor het bedrijf tot een minimum te beperken. In essentie focussen high-RQ-ondernemingen op drie punten:

  • ze hebben zicht op wat voor hen de kritieke processen, activa en afhankelijkheden zijn;
  • ze bepalen en testen hoeveel disruptie hun organisatie kan tolereren;
  • ze implementeren ‘digital resilience by design’.
Story image

De kans is groter dat bedrijven die in de high-RQ-groep ingedeeld zijn, hun strategie hebben bijgewerkt en aangepast in het licht van nieuwe, heel ernstige bedreigingen (‘very significant threats’) (59% tegenover 31% van de overige survey-respondenten). Ze zijn er ook meer gerust op dat ze opkomende risico’s die hun cyberweerstand (‘cyber resilience’) op de proef stellen, kunnen beheersen (73% tegenover 24%).

Top 2 van CIS Controls™ bevestigd

Zonder te begrijpen, ten eerste, hoe bedrijfsmiddelen en procedés die verband houden met data zich verhouden tot de diensten die tot de kernactiviteit behoren en, ten tweede, hoe die data en diensten onderling afhankelijk zijn, kan een organisatie niet weten welke systemen of activa ze in het geval van een aanval moet afschermen. Het opvallendste verschil tussen de high-RQ-groep en de rest is dat 91% van de high-RQ-ondernemingen een accurate inventaris van de eigen bedrijfsmiddelen bijhoudt en de lijst naargelang nodig bijwerkt, terwijl dit bij de rest slechts 47% is.

Onze onderzoeksresultaten bevestigen de top twee van de controlemaatregelen die volgens CIS Top 20 Critical Security Controls™ cruciaal zijn om een organisatie en haar gegevens bij een cyberaanval te beschermen: ten eerste, stel een inventaris van uw toestellen en apparatuur op en hou die inventaris up-to-date; ten tweede, inventariseer uw software en update ook die inventaris naargelang nodig is”, adviseert Ingvar Van Droogenbroeck, Partner en Cyber & Privacy Leader bij PwC in België. “Op deze controles focussen wij ook wanneer we samenwerken met klanten die bezig zijn met het ontwikkelen van informatiebeheersystemen overeenkomstig ISO 27001, de norm voor informatiebeveiligingsbeheer.”

Zo sterk als de zwakste schakel

Voor grote ondernemingen lopen de uitgaven voor IT-gerelateerde bedrijfsmiddelen en IT-aansluitingen en IT-verbindingen op tot miljoenen respectievelijk honderden miljoenen euro. Maar er bestaat technologie waarmee men van kritiek belang zijnde activa en processen gedetailleerd in kaart kan brengen. Meer dan de helft van de high-RQ-entiteiten heeft de eigen inventarisatie- en mapping-processen geautomatiseerd, bij de rest is dat slechts 10%.

Al te dikwijls hebben organisaties geen nauwkeurig en volledig overzicht van hun IT-middelen, laat staan de afhankelijkheden binnen en tussen activa; daarom weten ze niet voldoende welke voor hun werking en activiteiten van kritiek belang zijn. Als zich dan een zware tegenvaller voordoet, zal het lastig en duur zijn om de zaken weer op orde te krijgen”, legt Ingvar Van Droogenbroeck uit. “Als er in uw systeem hardware- of softwarecomponenten zitten waarvan u geen weet hebt, is de kans klein dat die volledig gepatcht of degelijk beveiligd zijn, waardoor ze een gemakkelijk ingangspunt naar uw hele infrastructuur vormen.

Voorbereiding is alles

Opvallend is dat 73% van de high-RQ-ondernemingen de eigen belangrijkste bedrijfsdiensten heeft geïdentificeerd, terwijl van de overige ondernemingen slechts 27% dit gedaan heeft. Organisaties moeten bepalen hoelang ze disruptie willen en kunnen toelaten en welke kosten ze in dit verband willen dragen, wat men ‘impacttolerantie’ noemt. In al te veel gevallen hebben organisaties ook geen operationeel bedrijfscontinuïteitsplan dat voldoende uitgewerkt is. Omdat naargelang van de afdeling de prioriteiten verschillen, kan het gebeuren dat wat echt van kritiek belang is nog moet worden bepaald wanneer de crisissituatie al volop aan de gang is; dat maakt het herstel nodeloos lastig en bovendien nodeloos langdurig.

Belgische CEO’s maken zich ook meer en meer zorgen. Dit blijkt ook uit het feit dat, afgaande op onze recentste ‘CEO Outlook Survey’ (2019), 69% van de bevraagde Belgische CEO’s zich zorgen maakt over cybercriminaliteit. 72% erkent bovendien dat de eigen organisatie of onderneming een doelwit van online gevoerde activiteiten van geopolitieke aard zou kunnen worden. Maar liefst 75% meent evenwel dat de eigen organisatie tegen een cyberaanval bestand is. Dit wijst erop dat er wat sensibilisering betreft nog een lange weg af te leggen is.

 “Wat nog erger is, is dat er in veel organisaties geen up-to-date - of zelfs helemaal geen - documentatie voorhanden is. Als de informatie bij slechts een of twee mensen zit, kan het voortbestaan van uw organisatie of onderneming afhangen van de beschikbaarheid van die mensen tijdens de crisis”, aldus nog Ingvar Van Droogenbroeck.

Lees het ‘Digital Trust Insights’-rapport van september 2019 hier.

 

Contact

Erik Oosthuizen

erik.oosthuizen@pwc.com

+32 490 582 284

www.pwc.com

Over PwC België

Serving clients from strategy through execution

PwC België engageert zich voor kwaliteit in dienstverlening op het vlak van audit, fiscaliteit en adviesverlening. 

Bij PwC geloven we dat waarde tot stand komt dankzij relaties – en dat principe brengen wij in praktijk bij alles wat we doen, waar ook ter wereld, van bij het eerste contact. Wij gaan voor waardecreatie vanaf dag één.