image

TNO: veel bedrijven nemen onvoldoende maatregelen tegen cyberdreigingen

dinsdag 28 mei 2024, 14:25 door Redactie, 3 reacties

Veel Nederlandse bedrijven nemen onvoldoende maatregelen tegen cyberdreigingen, zo stelt TNO op basis van eigen onderzoek (pdf). Bedrijven geven hiervoor allerlei redenen. Zo zien ze zichzelf niet als potentieel slachtoffer, Onderschatten de gevolgen van onveilige digitaal ondernemen, weten niet hoe ze moeten beginnen, vinden veilig digitaal ondernemen niet belangrijk genoeg, vinden dit niet hun verantwoordelijkheid of hebben hier niet de middelen voor.

TNO voerde het onderzoek uit voor het Digital Trust Center (DTC), waarbij onder andere de vraag centraal stond hoe de actiebereidheid van Nederlandse niet-vitale bedrijven kan worden vergroot als het om cybersecurity gaat. De onderzoekers kwamen tot vijf doelgroepen met elk hun eigen weerbaarheidsniveau en onderliggende gedragsbepalers. De eerste groep zijn de Voorlopers, bedrijven die alle vereiste beschermende maatregelen nemen. 22 procent van de ondernemingen valt in deze categorie.

Uitbesteders'

Twaalf procent van de ondernemingen wordt aangemerkt als Uitbesteders. Deze groep scoort hoog op veilig digitaal ondernemen, maar niet zo hoog als de Voorlopers. Bedrijven in deze categorie besteden hun cybersecurity in grote mate uit aan externe it-serviceproviders. De derde groep wordt door TNO 'Overmoedigen' genoemd. Deze bedrijven nemen beschermende maatregelen, maar minder dan Voorlopers en Uitbesteders.

Deze groep onderschat de gevolgen van een cyberbeveiligingsincident. "Deze organisaties geven niet veel om hoe hun organisatie bekend staat bij hun klanten en relaties wat betreft de mate van cyberveiligheid in hun bedrijfsvoering en denken dat de kans om slachtoffer te worden klein is", aldus TNO. "Bedrijven in deze groep kunnen worden aangemoedigd om hun response op een cyberincident uit te werken." Dertig procent van de bedrijven valt in deze categorie.

De vierde groep die het TNO-rapport noemt zijn de 'Machtelozen'. Deze bedrijven nemen onvoldoende beschermende maatregelen. Ze hebben weinig kennis, vaardigheden en hulpbronnen om zichzelf te beschermen. Ze onderschatten de gevolgen van een cyberbeveiligingsincident echter niet, en denken dat de kans om slachtoffer te worden aanwezig is, zo legt TNO uit. Het gaat om achttien procent van de bedrijven. Deze ondernemingen kan het belang van tweefactorauthenticatie worden uitgelegd en het updaten van systemen.

'Onverschilligen'

Achttien procent van de bedrijven valt in de laatste groep, de 'Onverschilligen'. Net als de Machtelozen nemen ook deze bedrijven onvoldoende beschermende maatregelen. Tegelijkertijd zijn ze niet overtuigd dat het nemen van aanbevolen maatregelen daadwerkelijk de dreiging zal verminderen, ze zijn niet gemotiveerd om hun organisatie te beschermen en denken dat de kans om slachtoffer te worden klein is.

"Gedragsmodellen zijn belangrijk om te begrijpen hoe gedrag beïnvloed kan worden. Maar net zo belangrijk is om te snappen welk type interventie aansluit bij welk type organisatie. Bijvoorbeeld als het gaat om de manier van overbrengen van informatie rondom een specifiek advies is het essentieel om de boodschap te laten aansluiten bij de ontvanger", aldus TNO. Dat wijst naar Brits onderzoek waaruit blijkt dat bedrijven via eenvoudige boodschappen kunnen worden aangezet tot het nemen van actie en dat het uitmaakt op welke manier deze boodschap wordt gebracht.

Image

Reacties (3)
28-05-2024, 15:18 door Anoniem
Dat is weer een boterzacht onderzoek. Gerommel met data en presenteren op de manier die je het beste uitkomt. Het groeperen van de bedrijven o.b.v. kenmerken is dan wel weer erg grappig. 22% heeft de motivatie en resources om gewoon te doen wat je vanuit kwaliteitsoogpunt zou moeten doen (incl. een paar enthousiaste en goede IT'ers). Dan nog een groepje uitbesteders die denkt dat ze het goed voor elkaar hebben, maar totaal afhankelijk zijn van de leverancier (ja maar, ze zijn ISO 27001 gecertificeerd, althans het datacentrum....). De rest is gewoon aan het wachten tot ze gehackt worden en hoopt dat ze voor die tijd met pensioen zijn.
28-05-2024, 19:37 door Anoniem
Door Anoniem: Dat is weer een boterzacht onderzoek. Gerommel met data en presenteren op de manier die je het beste uitkomt.
Oké...

Het groeperen van de bedrijven o.b.v. kenmerken is dan wel weer erg grappig.
De structuur waarin ze de resultaten presenteren bedoel je? Waar sloeg je opmerking dan op over dat het een boterzacht onderzoek en gerommel met data en presenteren is?

22% heeft de motivatie en resources om gewoon te doen wat je vanuit kwaliteitsoogpunt zou moeten doen (incl. een paar enthousiaste en goede IT'ers). Dan nog een groepje uitbesteders die denkt dat ze het goed voor elkaar hebben, maar totaal afhankelijk zijn van de leverancier (ja maar, ze zijn ISO 27001 gecertificeerd, althans het datacentrum....). De rest is gewoon aan het wachten tot ze gehackt worden en hoopt dat ze voor die tijd met pensioen zijn.
Geen slechte samenvatting van data waarmee gerommeld is. Maar wat is de samenvatting waard als er met de data gerommeld is? Garbage in, garbage out, toch? Of zeg je hiermee bij nader inzien dat het onderzoek toch niet zo boterzacht is?
29-05-2024, 10:52 door Anoniem
Je vraagt je af of de onderzoekers zelf weleens 'echt' in een van de organisaties hebben gewerkt die ze onderzoeken. Of ze begrijpen dat het bij heel veel organisaties een groot spel is om allerlei interne en externe belangengroepen tevreden te houden en dat security maar een heel onbelangrijk dingetje is (tot het plots urgent wordt met een ransomware-briefje). Moeten we natuurlijk niet hardop zeggen....

En dan die grote groep ZZP'ers. De complexiteit van hun 'organisatie' is niet te vergelijken met een organisatie van 200+ mensen. Hoeveel legacy-systemen sjouwt een ZZP'er met zich mee? Hoeveel ongestructureerde data met allerlei persoonsgegeven? Hoeveel slechte relaties met collega's of andere afdelingen? Hoeveel mislukte organisatieveranderingen? En dan ook nog de vragen die zijn gesteld, die zal een gemiddelde IT'er al verkeerd interpreteren, laat staan iemand die belangrijker zaken aan zijn/haar hoofd heeft.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.