Invloed van ketenpartners op cyberrisico’s flink onderschat

applicaties

Vrijwel alle organisaties erkennen dat hun organisatie cyberrisico’s loopt door leveranciers en software. Slechts één op de vijf ziet dit als een groot of zeer groot risico. Dit blijkt uit de jaarlijkse Ordina Digital Monitor, waarvoor ruim 1200 IT-besluitvormers zijn ondervraagd door onderzoeksbureau Markteffect.

Slechts één op de vijf IT-besluitvormers (22%) schat de risico’s op een hack of datalek door leveranciers en software als groot of zeer groot in. Dat is een laag percentage. Hacks en datalekken zijn helaas dagelijkse kost. Organisaties richten zich steeds vaker modulair in om op de wensen en behoeften van de markt in te spelen. Zij worden zo afhankelijker van allerlei softwareoplossingen van verschillende leveranciers, die integraal onderdeel zijn van de keten.

Grote gevolgen

Die ketens worden groter, complexer en daarmee ook kwetsbaarder. Door de onderlinge verbondenheid ontstaat het risico elkaar te besmetten bij een cybercrime-aanval. Organisaties moeten die risico’s niet onderschatten, want de gevolgen zijn groot. Zo laten recente voorbeelden, waaronder de wereldwijde ransomeware-aanval op Kaseya en de hack bij SolarWinds, zien dat een zwakheid bij één leverancier grote problemen creëert bij vele organisaties in zowel de publieke als private sector.

Gedeelde verantwoordelijkheid

Zeven op de tien organisaties (71%) vinden dat cybersecurity de verantwoordelijkheid van de organisatie zelf is. Tegelijkertijd geeft bijna de helft van de IT-besluitvormers (48%) aan dat er in hun organisatie onvoldoende of geen actie ondernomen wordt om de cyberrisico’s door leveranciers en software tot een minimum te beperken. Vincent Meijer, Corporate Information Security Officer bij Ordina: “Ons dringende advies is om als organisatie integraal naar cybersecurity te kijken. Dus niet alleen naar de techniek, maar ook naar de processen en de mens.”

Regie lastig

Daarbij mogen de betrokken externe partijen niet vergeten worden. Dat zijn er in bepaalde ketens al snel tientallen tot honderden. Verantwoordelijkheden zijn dan vaak niet meer helder en de regie is moeilijk te houden. We zien hier een belangrijke rol voor de overheid. Niet alleen voor strengere wet- en regelgeving, maar ook om bewustwording te creëren en een helpende hand te bieden aan organisaties.
Dat de overheid een rol in cybersecurity en informatiebeveiliging moet spelen, beaamt ook 95% van de IT-besluitvormers. Bijna de helft (44%) geeft aan dat de rol van de overheid op dit moment te klein is. Drie kwart vindt de groeiende rol van de overheid op het gebied van wet- en regelgeving vanuit de Europese Unie een positieve ontwikkeling.

De waardeketen centraal

Een flinke meerderheid van de IT-besluitvormers (57%) verwacht dat het budget voor cybersecurity de komende jaren gelijk zal blijven in hun organisatie. Slechts vier op de tien geven aan dat hier meer budget voor vrijgemaakt gaat worden. Meijer: “Om te zorgen dat cybersecurity echt waarde oplevert, moet je deze in de value chain inbouwen. Op alle onderdelen in je waardeketen zitten activiteiten die nu aan een digitale transitie onderhevig zijn. Op basis van deze nieuwe digitale modellen moet je gaan kijken waar de waarde potentieel vermindert als je onvoldoende cybersecurity toepast.” Meijer vervolgt: “Verbazingwekkend weinig organisaties weten echt goed hoe hun waardecreatieproces eruit ziet. Zorg dat je je waardeketen goed op papier hebt. Vervolgens identificeer je risico’s, selecteer je maatregelen en pas je deze effectief toe. Dit is een totaal andere benadering dan we gewend zijn. Hierin moet je investeren als organisatie.”

Focus op awareness, kennis en training

Hoewel IT-besluitvormers aangeven men onvoldoende investeert in cybersecurity en men onvoldoende actie onderneemt om de risico’s te beperken, geeft 85% aan goed voorbereid te zijn op een hack of datalek. Bij ruim zes op de tien organisaties zijn draaiboeken aanwezig. Meijer: “Het is goed om te zien dat organisaties voorbereid zijn op een hack. Toch zien we dat als een organisatie daadwerkelijk gehackt wordt, het hek van de dam is en lang niet iedereen weet wat hij moet doen. Dit komt ook omdat de aanwezige draaiboeken vaak niet gecheckt of geoefend worden. Meer focus op awareness en het verhogen van het kennisniveau om ook het gedrag van mensen te veranderen, is erg belangrijk om de organisatie wendbaarder en weerbaarder te maken. Door bijvoorbeeld regelmatig te trainen op mogelijke hacks, waarbij de rollen en verantwoordelijkheden op de proef gesteld worden. Het liefst dus samen met de ketenpartners.”

Ordina Digital Monitor

De Ordina Digital Monitor is een onderzoek in samenwerking met onafhankelijk marktonderzoeksbureau Markteffect. Het onderzoek bevraagt 1.700+ besluitvormers op het gebied van digitalisering (IT, bedrijfsvoering en automatisering) binnen drie sectoren: financiële dienstverlening, industrie en de overheid. De Ordina Digital Monitor gaat in op issues en trends voor de digitalisering van organisaties die van invloed zijn op de strategie, besluitvorming en operatie. Dit onderzoek is in mei en juni 2021 in Nederland en België uitgevoerd. In Nederland namen 1.213 IT-besluitvormers deel. Het onderzoeksrapport Cybersecurity is hier te downloaden.

Gerelateerde berichten...

X