Invloed van ketenpartners op cyberrisico’s flink onderschat

Bedrijven zijn het er vrijwel zonder uitzondering over eens dat hun organisatie cyberrisico’s loopt veroorzaakt door leveranciers en software. Maar slechts één op de vijf ziet dit als een groot of zeer groot risico. Een verontrustend laag percentage, meent Corporate Information Security Officer Vincent Meijer van Ordina.

Voor de jaarlijkse Ordina Digital Monitor werden ruim 1200 IT-besluitvormers ondervraagd. 22 procent van hen schat de risico’s op een hack of datalek door leveranciers en software als groot of zeer groot in.

‘Dat is een verontrustend laag percentage’, stelt Meijer. ‘Hacks en datalekken zijn helaas dagelijkse kost, zoals onze praktijk laat zien. Organisaties richten zich steeds vaker modulair in om op de wensen en behoeften van de markt in te spelen. Zij worden zo afhankelijker van allerlei softwareoplossingen van verschillende leveranciers, die integraal onderdeel zijn van de keten. Die ketens worden groter, complexer en daarmee ook kwetsbaarder.’

Cyberrisico’s ook zaak van overheid

Zeven op de tien bedrijven (71%) vinden dat cybersecurity de verantwoordelijkheid van de organisatie zelf is. Tegelijkertijd geeft bijna de helft van de IT-besluitvormers (48%) aan dat er in hun organisatie onvoldoende of geen actie ondernomen wordt om de cyberrisico’s door leveranciers en software tot een minimum te beperken. Meijer: ‘Ons dringende advies is om als organisatie integraal naar cybersecurity te kijken. Dus niet alleen naar de techniek, maar ook naar de processen en de mens. Daarbij mogen de betrokken externe partijen niet vergeten worden. Dat zijn er in bepaalde ketens al snel tientallen tot honderden.’

Meijer ziet daarbij ook een belangrijke rol voor de overheid. Niet alleen voor strengere wet- en regelgeving, maar ook om bewustwording te creëren en een helpende hand te bieden aan organisaties. Dat de overheid een rol in cybersecurity en informatiebeveiliging moet spelen, beaamt ook 95 procent van de IT-besluitvormers. Bijna de helft (44%) geeft aan dat de rol van de overheid op dit moment te klein is. Driekwart vindt de groeiende rol van de overheid op het gebied van wet- en regelgeving vanuit de Europese Unie een positieve ontwikkeling.

Cybersecurity inbouwen in de waardeketen

Van de IT-besluitvormers verwacht 57 procent dat het budget voor cybersecurity in hun organisatie de komende jaren gelijk zal blijven. Vier op de tien geven aan dat hier méér budget voor vrijgemaakt gaat worden. Meijer: ‘Om te zorgen dat cybersecurity echt waarde oplevert, moet je deze in de value chain inbouwen. Op alle onderdelen in je waardeketen zitten activiteiten die nu aan een digitale transitie onderhevig zijn. Op basis van deze nieuwe digitale modellen moet je gaan kijken waar de waarde potentieel vermindert als je onvoldoende cybersecurity toepast.’

Draaiboek voor een hack

Ondanks dat IT-besluitvormers aangeven dat er onvoldoende wordt geïnvesteerd in cybersecurity en er onvoldoende actie wordt ondernomen om de risico’s te beperken, geeft 85 procent aan goed voorbereid te zijn op een hack of datalek. Bij ruim zes op de tien bedrijven zijn draaiboeken aanwezig. Meijer: ‘Het is goed om te zien dat organisaties voorbereid zijn op een hack. Toch zien we dat als een organisatie daadwerkelijk gehackt wordt, lang niet iedereen weet wat hij moet doen. Dit komt ook omdat de aanwezige draaiboeken vaak niet gecheckt of geoefend worden.’ Hij adviseert hier regelmatig op te trainen, bij voorkeur met de ketenpartners.