Nationale Cybersecurity Monitor 2020: steeds meer incidenten met medewerkers

monitor

Met de Nationale Cybersecurity Monitor houdt Pb7 Research in samenwerking met Infosecurity Magazine en Automatie | PMA de vinger aan de pols van de Nederlandse cybersecuritymarkt. Het onderzoek wordt mogelijk gemaakt door sponsors Sophos en Thales. Waar de monitor zich in de voorgaande edities beperkte tot de IT-securitymarkt, met af en toe een klein IoT-uitstapje, hebben we dit jaar ook naar OT-security gekeken, met name binnen de sectoren chemie & life sciences en de procesindustrie. Om de trends op het gebied van IT- en OT-security in kaart te brengen, heeft Pb7 Research in oktober en november van 2019 220 bedrijven met 50 of meer medewerkers ondervraagd met behulp van een web panel survey. We zetten de belangrijkste bevindingen hier voor u op een rij.

Als we kijken naar het type IT-veiligheidsincidenten dat plaatsvindt binnen Nederlandse organisaties, dan zien we dat het afgelopen jaar vooral het aantal incidenten toeneemt dat specifiek gericht is op de gebruiker. CEO-fraude lijkt, tegen deze trend in, wat op zijn retour. Er zijn verder wat meer incidenten met het verlies van informatiedragers, zoals laptops of opslagmedia. We zien vooral een toename van het aantal bedrijven dat phishing meldt, hoewel het aantal bedrijven dat ook daadwerkelijk schade daardoor heeft geleden, nauwelijks is gegroeid. Ook het aantal incidenten met social engineering is toegenomen, hoewel onze respondenten daar geen schade weten te melden. Deze trend geldt voor al deze incidenten: ze komen vaker voor, maar Nederlandse organisaties weten te voorkomen dat dit ook vaker tot schade leidt.

Figuur 1: De Belangrijkste incidenten

figuur 1

Tegenover de groei van bovenstaande type incidenten, zien we dat er ook incidenten zijn die minder vaak voorkomen. De sterkste terugloop zien we bij DDOS-aanvallen, computerinbraak (hacking) en, wellicht verrassend, bij ransomware. Ransomware richt zich steeds vaker op individuele, grote organisaties. Het aantal getroffen bedrijven neemt daardoor af, terwijl de totaalschade in euro’s juist toeneemt.

Groei security-investeringen

De uitgaven voor IT-security blijven sterk stijgen. Volgens de ondervraagde bedrijven stegen de investeringen met 11% in 2019, wat wel lager is dan de 14% die men vorig jaar aangaf te verwachten. Voor 2020 verwacht men hetzelfde percentage. De belangrijkste drijfveer achter de investeringen is niet de angst voor cybercrime, maar het bewustzijn dat de bedrijfsvoering beschermd dient te worden tegen aanvallen. De afhankelijkheid van IT groeit ieder jaar, waardoor het belang van beschermen steeds groter wordt. Dat wordt mede veroorzaakt door de groei van het gebruik van de cloud en, nog altijd, het gebruik van mobiele apparaten en toepassingen. Het belang van deze drijfveer neemt sterk toe met de groei van IoT.

Figuur 2: Drijfveren voor security investeringen

figuur 2

Medewerkersbewustzijn voornaamste prioriteit

Dit jaar zien we eigenlijk voor het eerst een duidelijke verschuiving optreden in de prioriteiten die organisaties stellen bij het investeren in IT-security. In de afgelopen monitors werden netwerkbeveiliging en secure content & threat management als de belangrijkste prioriteiten aangemerkt. Dit jaar wordt aan medewerkersbewustzijn het vaakst een hoge- of topprioriteit gegeven. Bedrijven ontdekken dat een bewustzijnscursus niet een eenmalige gebeurtenis moet zijn. Niet alleen proberen cybercriminelen op steeds nieuwe manieren in te spelen op menselijke zwaktes, maar het bewustzijn is immers naarmate er tijd verstrijkt ook aan slijtage onderhevig.

Na medewerkersbewustzijn heeft identiteits- en toegangsbeheer het vaakst een hoge of topprioriteit. Het idee van een digitale identiteit voor ieder gebruiker, met veelal rol-gebaseerde toegang tot informatie en systemen, zorgt ervoor dat niet alle poorten zomaar opengaan. Aan de andere kant kan het een solide oplossing vormen voor het wachtwoordenprobleem, zeker als het om 2-factor identificatie gaat. Een goede IAM-oplossing is gebruiksvriendelijker en voorkomt problemen met zwakke wachtwoorden.

Figuur 3: Prioriteiten en investeringen

figuur 3

Aandacht voor IoT-security groeit

Over de beveiliging van IoT bestaan veel zorgen. Vooral in de consumentenmarkt zijn er veel producten in de markt waar nauwelijks of onvoldoende is nagedacht over IT-beveiliging. Maar ook in de zakelijke markt is het niet altijd duidelijk hoe veilig het is om allerlei apparaten maar aan het Internet of het bedrijfsnetwerk te hangen, zodat de leverancier bijvoorbeeld op afstand onderhoud kan plegen. Dat geldt zelfs voor printers, waarmee hackers zich toegang tot het bedrijfsnetwerk kunnen verschaffen. Gelukkig zien we dat het bewustzijn hieromtrent duidelijk is toegenomen.

Figuur 4: IoT en security

figuur 4

Onze respondenten maken zich alleen maar meer zorgen over de producten van IoT-productleveranciers, terwijl ze zelf vaker ‘secure by design’ IoT ontwerpen. We zien wel dat de groep bedrijven die zegt security pas aan het eind van het proces toe te voegen het afgelopen jaar niet is afgenomen. Daar valt dus nog wel het een en ander te winnen.

OT en security hebben elkaar nog niet goed gevonden

Om de stand van zaken op het gebied van OT-security te onderzoeken, hebben we bedrijven ondervraagd in de procesindustrie, chemie en life sciences, sectoren waar OT (operational technology) veel voorkomt en veelal zeer belangrijk zijn. Met OT hebben we het over hardware en software waarmee fysieke processen worden gecontroleerd en aangestuurd, zoals PLC’s en SCADA-systemen. Binnen veel organisaties is deze wereld qua organisatie grotendeels of volledig gescheiden van IT en dat geldt ook voor IT-security. Toch raken IT en OT elkaar steeds meer. In toenemende mate zijn OT-systemen verbonden aan dezelfde netwerken, zowel het Internet als bedrijfsnetwerken. Zo geeft meer dan de helft (56%) van de ondervraagde organisaties aan dat industriële controlesystemen met het kantoornetwerk zijn verbonden.

De respondenten geven aan dat er nog een behoorlijke slag te maken is, voordat OT-security zich op een professioneel niveau bevindt. 57% van de organisaties geeft aan dat cybersecurity in productieomgevingen onvoldoende of zelfs geheel niet wordt erkend als een risicofactor. En als we doorvragen naar de grootste uitdagingen op het gebied van OT-security, dan geeft de helft (51%) aan dat het ontbreken van een goed zicht op de kwetsbaarheden een grote uitdaging is. Een bijna even grote groep (43%) zegt dat onvoldoende bewustzijn van de risico’s een groot probleem is. 

Figuur 5: OT-security erkend als risico?

figuur 5

Maar aangezien elementaire kennis over OT-security vaak ontbreekt, is het niet vreemd dat de allergrootste uitdaging te maken heeft met machinebouwers en -leveranciers. Steeds meer machinebouwers en -leveranciers willen immers data uitlezen uit machines om de prestaties te monitoren ten behoeve van onderhoud. En een deel van dat onderhoud willen ze bovendien online doen. Zolang het niet duidelijk hoe veilig dit gebeurt of welke maatregelen nodig zijn om dit veilig te maken, is het niet onterecht dat deze leveranciers de online toegang wordt ontzegd.

Figuur 6: OT-security uitdagingen

figuur 6

We kunnen het hebben over alle maatregelen die bedrijven kunnen of moeten nemen om de besturing van de productieomgeving te beveiligen. Maar dat zet niet veel zoden aan de dijk als een organisatie onvoldoende is ingericht is op een cyberveilige productieomgeving. Bedrijven moeten zich ervan bewust worden dat cybercriminelen zich steeds meer richten op de zwakste plekken binnen een organisatie en dat een ‘connected’ OT-systeem een grote aantrekkingskracht uitoefent. De gevolgen van een succesvolle aanval op een productiesysteem kunnen groot zijn: de financiële consequenties van het langdurig stilvallen van de productie kunnen groot zijn. De gevolgen kunnen zelfs nog groter zijn, indien een hacker in staat is om sabotage te plegen aan de fysieke omgeving, waardoor mensen in gevaar komen.

Bedrijven dienen allereerst de kwetsbaarheden en bijbehorende risico’s goed in kaart te brengen, zodat daarmee ook een beter bewustzijn kan worden gecreëerd binnen de organisatie. Als er inzicht is in de kwetsbaarheden (en dit vergt uiteraard onderhoud), kan inzichtelijk worden gemaakt welk beleid noodzakelijk is, welke maatregelen daarbij behoren en welk budget daarvoor vrijgemaakt dient te worden.

Analyse van de onderzoeksresultaten

Tussen het oorverdovende geluid van de noodklokken die permanent om ons heen worden geluid, laten we graag een meer genuanceerd geluid horen over de stand van cybersecurity. De resultaten van de Nationale Cybersecurity Monitor laten zien dat het op een aantal punten beter gaat. En dat is goed nieuws. Het aantal IT-gerelateerde security-incidenten met schade lijkt eerder te zijn gestabiliseerd dan gegroeid. Op zich zeggen bedrijven dat ze met meer incidenten te maken hebben gehad, maar dat het minder vaak tot schade leidt. Er zijn ook incidenten waar minder bedrijven mee te maken hebben gehad, zoals DDOS-aanvallen, computerinbraak en ook ransomware.

Wat ook goed gaat, is dat we voor het eerst zien dat de prioriteiten bij IT-security investeringen niet vooral bij netwerkbeveiliging en secure content & threat managementoplossingen. De topprioriteit ligt in 2020 bij medewerkersbewustzijn en identity & access management. Bedrijven zien dat een eenmalige cursus onvoldoende is in een wereld waar steeds nieuwe manier worden gezocht om gebruik te maken van menselijke zwaktes.

Ook bij het Internet of Things zien we duidelijk vooruitgang. Gelukkig, moeten we wellicht zeggen, omdat er bij veel bedrijven nog een lange weg te gaan is. We zien dat steeds meer bedrijven secure by design toepassen op IoT en dat ze zich steeds meer bewust worden dat ze leveranciers daar ook op moeten beoordelen.

Maar er valt op het vlak van cybersecurity ook nog meer dan genoeg te verbeteren. Dat er minder vaak incidenten met schade zijn, betekent niet dat de totale schade afneemt. Cybercriminelen zijn steeds gerichter bezig om individuele bedrijven binnen te dringen, vaak met een combinatie van verschillende technieken, om daar een grote buit te halen. We zien ook dat het aantal incidenten dat veroorzaakt wordt door onoplettende medewerkers duidelijk toeneemt, waardoor die extra aandacht voor medewerkersbewustzijn duidelijk gerechtvaardigd wordt.

Op het gebied van OT-security, de bescherming van productiesystemen, valt nog een wereld te winnen. De risico’s nemen hier snel toe, doordat veel productiesystemen aan het kantoornetwerk zijn gekoppeld en vaak ook aan het Internet. Ook de leveranciers van machines spelen daarbij een rol, aangezien zij hun machines steeds vaker online willen uitlezen en online onderhoud willen plegen. Het ontbreekt bij veel organisaties in de industrie aan een elementair bewustzijn van de risico’s. Als gevolg daarvan ontbreekt het aan beleid, aan maatregelen en aan budget om maatregelen te verwezenlijken. Hoewel de aandacht voor cybersecurity risico’s zeker groeit, is er nog een lange weg te gaan.

Als het om cybersecurity gaat, is stilzitten geen optie. De belangen en daarmee de risico’s worden steeds groter, terwijl we als samenleving nog altijd niet in staat zijn om cybercriminelen effectief aan te pakken. Daarbij zouden organisaties minder in hokjes moeten denken: cybersecurity strekt zich uit tot ver buiten het traditionele IT-domein.

Peter Vermeulen is analist bij Pb7 Research

Het onderzoek wordt mogelijk gemaakt dankzij Thales en Sophos

  sophos

  thales