Klaar? Of toch niet? Het vinden van een balans tussen nieuwe kansen en toekomstige risico’s.
Een wereldwijd onderzoek naar de opvattingen en meningen over IT-beveiliging Be Ready for What’s Next. kaspersky.com/nl/beready
Inhoud
2
0.1 INLEIDING EN SAMENVATTING
3
1.0 IT-BEVEILIGING EN DE WAARGENOMEN RISICO’S VOOR HET BEDRIJF
4
2.0 HET RISICO VAN APPARATUUR DIE BUITEN UW CONTROLE LIGT
5
3.0 DE AANVAL VAN CYBERCRIMINELEN EN ONVOLDOENDE VOORBEREIDE SYSTEMEN
6
4.0 ORGANISATIES ONDER VUUR
7
5.0 DE DREIGENDE GEVAREN VAN NIEUWE MEDIA
8
6.0 DE REALITEIT VAN SCHADE AAN BEDRIJVEN
9
7.0 HOE BEDRIJVEN REAGEREN OP DREIGINGEN
10
7.1 BENT U OP DE TOEKOMST VOORBEREID?
11
Inleiding en Samenvatting
0.1 Hoogtepunten van de enquête: 1% is vorig jaar getroffen door 9 aanvallen 45% is onvoldoende voorbereid op specifieke cyberaanvallen 17% is als gevolg van aanvallen financiële informatie kwijtgeraakt 57% heeft toegang tot sociale netwerken verboden als gevolg van mogelijke beveiligingsrisico’s 30% heeft nog steeds geen volledige anti-malware software geïmplementeerd
Terwijl het technologische landschap zich steeds verder ontwikkelt, worden bedrijven en hun IT-teams geconfronteerd met een steeds sterkere dreiging voor hun beveiliging als gevolg van diverse cyberdreigingen. Dit is voelbaar bij organisaties over de hele wereld – bijna de helft is van mening dat cyberdreigingen in de komende twee jaar bovenaan de agenda staan en maar liefst 45% denkt onvoldoende voorbereid te zijn. Om te begrijpen wat het struikelblok van deze kwesties is en een helder inzicht te geven in de effecten die organisaties over de hele wereld bespeuren, hebben we uitgebreid onderzoek gedaan onder 1300 senior professionals, van kleine bedrijven tot grote ondernemingen, verspreid over 11 landen. Het onderzoek is opgesteld door B2B International en werd gehouden in ontwikkelde markten als het Verenigd Koninkrijk, de Verenigde Staten en Japan, maar ook in de in ontwikkelingsmarkten als Brazilië, China en India. De respondenten hebben invloed op het IT-beveiligingsbeleid, een goede praktijkkennis van IT-beveiliging en kennis over de bredere organisatie waarin zij actief zijn. De bevindingen zijn duidelijk: cyberbeveiliging komt in organisaties steeds hoger op de beleidsagenda te staan als gevolg van een waargenomen toename in virussen en inbreuken op de gegevensbeveiliging. Bovendien zijn de apparatuur en betrokken mensen steeds moeilijker te beschermen omdat men steeds mobieler wordt en liever eigen technologie gebruikt in plaats van hetgeen de IT-afdeling levert. Zijn bedrijven echt op de toekomst voorbereid?
Aan het onderzoek deelnemende landen Ontwikkelde markten: (n=800) VS 200 Duitsland 100 VK 100 Frankrijk 100 Spanje 100 Italië 100 Japan 100 Ontwikkelingsmarkten: (n=500) Brazilië 100 India 100 China 200 Rusland 100
3
IT-beveiliging en de waargenomen risico’s voor het bedrijf
1.0
Feit is dat bedrijven en de door hen gebruikte technologieën veranderen. IT-netwerkbeveiliging is momenteel een van de belangrijkste strategische overwegingen voor organisaties. Tegenwoordig moeten managers rekening houden met de toekomstige dreigingen waaraan ze mogelijk bloot staan en voorbereidingen treffen. Slechts 14% van hen beschouwt cyberaanvallen als een van de drie belangrijkste dreigingen voor de organisatie. Dit suggereert een laag algemeen niveau van beveiligingsbewustzijn in bedrijven.
Slechts 14% beschouwt cyberdreigingen als een van de top drie risico’s
Merkschade, industriële spionage en diefstal van intellectueel eigendom staan in de top van de zakelijke bedreigingen – al deze gebeurtenissen kunnen worden bespoedigd als gevolg van een inbreuk op de IT-beveiliging. Omgekeerd is de mogelijke merkschade een van de belangrijkste redenen waarom aanvallen niet wordt gerapporteerd.
“9% van de organisaties heeft geleden onder een doelgerichte aanval; ik geloof dat het percentage zelfs hoger is, maar veel bedrijven zijn zich er niet van bewust” Costin Raiu
Het gevaar voor organisaties over de hele wereld is dat zij zich in de meeste gevallen niet realiseren dat ze slachtoffer zijn van een aanval of een interessant doelwit zijn voor criminelen. IT-teams moeten zich ervan bewust zijn dat deze dreigingen niet slechts een mogelijkheid zijn. In de toekomst gaat het niet om ‘of’ er inbreuk wordt gepleegd bij u, maar ‘wanneer’ en hoe ernstig de gevolgen zijn.
IT-beveiliging en de waargenomen risico’s voor het bedrijf: % Schade aan het merk en de reputatie van bedrijf
30
Industriële spionage (van binnenuit en buitenaf)
21
Diefstal van intellectueel eigendom
16
11
Terrorisme
6
Economische onzekerheid (recessie, vraag van de klant)
6
Natuurrampen (overstroming, aardbeving, stormen, etc.)
5
Politieke onrust
4
Cyberdreigingen (elektronische dreigingen voor de beveiliging van IT en informatiesystemen)
4
Fraude
3
Criminele activiteiten (diefstal van eigendommen, brandstichting, vandalisme, criminele schade)
3
17
24%
9
8
22%
8
8
21%
8
6
16%
6
5
14%
5
13%
5
7%
2 2
Classificatie…
55%
30%
11
9
56%
42%
16
17
5
13
17
10
Sabotage (door huidige of onlangs vertrokken werknemers)
4
13
1st
2nd
3rd
Het risico van apparatuur die buiten uw controle ligt
2.0 Driekwart van alle bedrijven over de hele wereld verwacht dat het aantal apparaten in de komende 12 maanden verder zal stijgen In kleine organisaties zijn er mogelijk 50 apparaten verbonden met internet, bij grote ondernemingen gaat het om duizenden
Tot voor kort had elke werknemer van uw staf een computer op het bureau staan met daarnaast een telefoon met vaste lijn. Hoewel er toen ook al cyberdreigingen bestonden, was de eindpuntapparatuur universeel en eenvoudig te beheren. Vandaag is het plaatje heel anders: de kosten van smartphones en breedband internetverbindingen worden steeds lager en de definitie van eindpuntapparatuur verandert – alles van pc’s tot apparaten die ‘smart’ genoeg zijn en een netwerkverbinding hebben. In een klein bedrijf zijn er mogelijk wel 50 of meer van deze apparaten verbonden met internet, bij grote ondernemingen gaat het om duizenden. Wat de IT-teams nog meer zorgen baart, is dat driekwart van de bedrijven over de hele wereld verwachten dat deze cijfers in de komende 12 maanden nog verder stijgen. Bij organisaties over de hele wereld wordt een groeiend aantal apparaten gebruikt door personeel dat mobiel is en dit betekent steeds meer dreigingen. Deze apparatuur, bijvoorbeeld de iPad, is voor de IT-afdeling vaak moeilijker te beheren dan pc’s en bovendien beschikken veel apparaten vaak niet over beveiligingssoftware. Dit betekent dat cybercriminelen via deze apparatuur een nieuwe ingang kunnen hebben.
“Het eindpunt is niet langer gewoon maar een pc, het kan elk willekeurig apparaat zijn – zolang het maar smart genoeg is en een goede verbinding heeft” Stefan Tanase
Wijziging in apparatuur van eindgebruikers
100%+ verhoging 50–99%+ verhoging
2% 7%
2% 6%
11–49%+ verhoging
32%
26%
76% had een toename 1–10%+ verhoging
35%
Geen wijziging
18%
19%
6%
6%
Willekeurige afname
Laatste 12 maanden
5
85% in ontwikkelingsmarkten
75% verwacht een toename 41%
Komende 12 maanden
85% in ontwikkelingsmarkten
De aanval van cybercriminelen en slecht voorbereide systemen
3.0 Bijna de helft van alle organisaties is er zich van bewust dat cyberdreigingen in de top 3 van steeds groter wordende risico’s thuishoren 45% van de bedrijven is niet voldoende voorbereid op cyberaanvallen
Terwijl bedrijven zich steeds meer bewust worden van de toekomstige dreigingen als gevolg van mogelijke inbreuk op de beveiliging, zijn cybercriminelen nu al in de aanval. Zij richten zich op bedrijven die onvoldoende zijn voorbereid om te kunnen omgaan met de mogelijke huidige en toekomstige risico’s. Slechts iets minder dan de helft van de organisaties is van mening dat de cyberdreigingen in de komende twee jaar steeds hoger op de agenda komen te staan. Tevens realiseren zij zich dat het voorkomen van inbreuk op de IT-beveiliging bovenaan de agenda moet staan van de IT-afdeling in alle werelddelen. Desondanks vindt slechts de helft van de bedrijven zich voldoende voorbereid om te kunnen omgaan met de dreigende problemen. Maar de definitie van ‘goed voorbereid’ kan per organisatie verschillen. Daarom is het ene bedrijf kwetsbaarder dan het andere. Dit probleem is in kleine bedrijven nog groter. 45% van de respondenten heeft niet het idee goed te zijn voorbereid op cyberaanvallen – zij implementeren veel minder maatregelen dan grote bedrijven, bijvoorbeeld een patchschema om hun systemen te beschermen. Dit is vaak het gevolg van het ontbreken van een speciaal IT-team, terwijl veel grote organisaties zich teams kunnen veroorloven die 24 uur per dag, 7 dagen per week kunnen worden ingezet. Het gebrek aan voorbereiding in bedrijven van alle omvangen is tevens het gevolg van bezuinigingen – als voorbereiding niet bovenaan de agenda van het bedrijf staat, is er gewoon geen geld om het probleem volledig op te lossen.
“Vrijwel de helft van de bedrijven geeft aan niet goed voorbereid te zijn op cyberaanvallen. Is dit een realistische kijk of een teken dat er niet voldoende budget wordt vrijgemaakt? ” Roel Schouwenberg
Groeiende risico’s in de komende twee jaar
Bijna de helft van alle organisaties is er zich van bewust dat cyberdreigingen in de top 3 van steeds groter wordende risico’s thuishoren % Cyberdreigingen (elektronische dreigingen voor de beveiliging van IT en informatiesystemen)
46%
Economische onzekerheid (recessie, vraag van de klant)
37%
Schade aan het merk of de reputatie van bedrijf
22%
Diefstal van intellectueel eigendom
18%
Industriële spionage (van binnenuit en buitenaf)
18%
Criminele activiteiten (diefstal van eigendommen, brandstichting, vandalisme, criminele schade)
16%
Fraude
15%
Politieke onrust
15%
Natuurrampen (overstroming, aardbeving, stormen, etc.)
15%
Sabotage (door huidige of onlangs vertrokken werknemers)
12%
Terrorisme
10% % erkent dat het risico over twee jaar veel belangrijker is
6
Organisaties onder vuur
4.0 48% van de bedrijven geeft aan in het afgelopen jaar een verhoging in het aantal cyberaanvallen te bespeuren 40% van de organisaties geeft aan zich zorgen te maken om de inmenging van de overheid bij hun informatiesystemen
Ondanks het gebrek aan voorbereiding door IT-teams en de bredere organisatie tegen de ophanden zijnde dreigingen, voelen organisaties de hete adem in hun nek. 48% van de bedrijven zegt in het afgelopen jaar een verhoging in het aantal cyberaanvallen te hebben bespeurd en meer dan de helft maakt zich zorgen over de betrokkenheid van georganiseerde criminele bendes. Wat mogelijk nog belangrijker is, is dat 30% van de organisaties het idee had dat specifiek de eigen organisatie is aangevallen. Deze cijfers zijn mogelijk nog lager dan verwacht omdat aanvallen vaak onopgemerkt blijven totdat er diefstal plaatsvindt. Maar het zijn niet alleen cyberbendes die in beeld zijn bij IT-beveiligingsteams. 40% van de organisaties geeft aan zich zorgen te maken om de inmenging van de overheid in informatiesystemen. Dit betekent dat het versleutelen uiteindelijk alomtegenwoordig wordt en dat er al oplossingen zijn – waaronder versleuteling van volledige schijven en virtuele particuliere netwerken – die moeten worden geïmplementeerd om een hogere mate van beveiliging te waarborgen. Ondanks dat de meeste dreigingen (61%) afkomstig zijn van malware en van inbreuk op netwerken, is de dreiging voor bedrijven niet alleen extern van oorsprong. Intern wordt de hoogste kwetsbaarheid veroorzaakt door fouten in de bestaande software – 44% van de organisaties heeft in de afgelopen maanden een daaraan gerelateerd incident gehad. Personeel vormt tevens een interne dreiging voor het verlies van gegevens – 10% van de organisaties is slachtoffer geworden van fraude of sabotage door het eigen personeel en 16% van de organisaties geeft aan dat het opzettelijk lekken van gegevens de meest zorgwekkende dreiging in de toekomst is.
“Over het algemeen merken slechts weinig bedrijven doelgerichte aanvallen op als ze net zijn begonnen of voordat de diefstal plaatsvindt” Costin Raiu
Waarneming van aantallen cyberaanvallen
48% bespeurde in de afgelopen 12 maanden een toename van dreigingen Netto daling 8%
Netto dreigingscore: +40%
Netto stijging 48%
43% 39%
9% 2% 2%
Een aanzienlijke daling (50% minder)
7
Een lichte daling (-49% minder)
Geen wijziging
Een lichte toename (1-49%)
Een aanzienlijke toename in het aantal incidenten (meer dan 50% meer)
De dreigende gevaren van nieuwe media
5.0
De bedreiging die het personeel vormt, betreft niet altijd opzettelijk kwaadaardige aanvallen door het personeel zelf. De online tools die uw medewerkers gebruiken op het werk en thuis kunnen een rechtstreeks effect hebben op uw beveiliging. Met name virussen en malware die worden verspreid via sociale netwerken en sites waar bestanden worden gedeeld, zorgen voor problemen voor IT-teams, ongeacht de omvang van de organisatie. Sociale netwerken worden momenteel bijvoorbeeld gezien als het grootste risico voor ITbeveiliging – 57% van de organisaties ziet het gebruik van sociale media door medewerkers als een aanzienlijk risico voor het bedrijf.
53% van de organisaties heeft de sociale netwerksites in meer of mindere mate verboden voor eindgebruikers
De reactie van de mensen aan het roer is het blokkeren van deze netwerken. Meer dan de helft van de organisaties heeft sociale netwerken verboden en nog eens 19% blokkeert toegang. Op deze manier behoort sociaal netwerken tot de een na meest begrensde activiteit binnen organisaties over de hele wereld. Maar we hebben ook gemerkt dat dit in werkelijkheid niet werkt omdat het personeel altijd wel een manier vindt om toegang te krijgen tot deze netwerken – bijvoorbeeld thuis of op hun persoonlijke apparatuur. Uiteindelijk is het informeren van het personeel over de beveiligingsrisico’s als gevolg van het gebruik van deze netwerken onontbeerlijk bij de toekomstige verdediging tegen deze dreiging.
“Filesharing via peer-to-peer netwerken blijft de belangrijkste reden voor zorg in zakelijke omgevingen en moet worden verboden in elke organisatie die beveiliging belangrijk vindt” Costin Raiu
Peer-to-peer filesharing staat nog steeds bovenaan de blokkeringslijsten van beveiligingsteams. 55% van de organisaties ziet filesharing als de activiteit die de grootste dreiging vormt voor de beveiliging – een activiteit die moet worden verboden op netwerken en apparatuur van elke organisatie die beveiliging belangrijk vindt.
Organisaties die een toepassing/activiteit beschouwen als een van de grootste dreigingen Activiteit/toepassing
Gezamenlijk
In ontwikkeling
Ontwikkeld
Verenigde Staten Rusland
China
Brazilië
Filesharing/P2P
55%
46%
61%
62%
50%
44%
50%
Sociale netwerken
35%
36%
35%
44%
52%
26%
41%
Bestandsupload, bestandsoverdracht, FTP 34%
33%
34%
33%
44%
28%
38%
Toegang tot website
32%
30%
33%
35%
42%
29%
19%
Persoonlijke e-mail/webmail
31%
29%
32%
36%
22%
28%
32%
Instant messaging
23%
32%
18%
20%
19%
36%
35%
Online games
21%
21%
21%
19%
16%
21%
32%
Video streaming/internet TV
13%
18%
10%
8%
12%
21%
14%
Zakelijk netwerken
11%
15%
9%
5%
4%
24%
7%
Telefonie via internet (VoIP)
10%
14%
8%
5%
9%
17%
9%
Gekleurde cellen voor landen/groepen waar dreiging als aanzienlijk hoger wordt ervaren
8
De realiteit van de schade aan bedrijven
6.0 91% van de organisaties is in de afgelopen 12 maanden getroffen door minimaal één aanval 16% van de organisaties is slachtoffer geworden van hardwarediefstal uit de gebouwen
Het is spijtig voor organisaties over de hele wereld dat dit niet alleen toekomstige dreigingen betreft maar echte problemen zijn die dagelijks schade opleveren voor bedrijven. In het afgelopen jaar had 91% van de organisaties te maken met minstens één aanval, meestal in de vorm van malware, op de voet gevolgd door spam en phishing. Hiervan was bij 24% op een of andere manier dan ook ingebroken in het netwerk en bij 7% werd vervolgens gevoelige bedrijfsgegevens gestolen, wat aanzienlijke kosten voor het bedrijf met zich meebracht. Steeds meer aanvallen zijn ook specifiek gericht. 9% van de ondervraagde bedrijven is in het afgelopen jaar slachtoffer geworden van een gerichte aanval op hun bedrijf en in veel gevallen betrof dit tevens diefstal van intellectueel eigendom. Wij denken dat dit cijfer in waarheid hoger ligt omdat veel organisaties mogelijk doelgericht zijn aangevallen, maar zich daar niet van bewust zijn. En deze dreigingen zijn per markt verschillend. In ontwikkelingslanden ligt het dataverlies veel hoger vanwege een gebrek aan ervaring voor het correct ontwikkelen en beschermen van infrastructuur tegen moderne aanvallers. Het is duidelijk dat vandaag de dag de dreigingen waaraan bedrijven bloot staan van uiteenlopende aard zijn en in verschillende vormen en maten op ons af komen. Een voorbeeld hiervan is dat dreigingen niet alleen via internet komen – 16% van de organisaties had te maken met hardwarediefstal uit de gebouwen – een van de meest eenvoudige manieren om gegevens en informatie te verkrijgen voor een latere aanval. Het gevolg is dat bedrijven een diepgaande strategie moeten implementeren met meerdere verdedigingslagen, waaronder antimalware en versleuteling van complete schijven om ervoor te zorgen dat de beveiliging zo waterdicht mogelijk is.
“17% is financiële informatie kwijtgeraakt. Dit geeft aan dat de belangrijkste drijfveer van cybercriminaliteit financieel gewin blijft” Costin Raiu
De realiteit van de schade aan het bedrijf %
% van de bedrijven heeft last gehad van
Virussen, wormen, spyware en andere kwaadaardige programma’s
10
Spam
6
Phishing-aanvallen
5
Netwerkinbraak/hacking
30
13
37
11
7
19
9
9
61% 56% 36% 24%
Distributed) Denial of service (DoS/DDoS)
5
6
Diefstal van hardware uit gebouwen
4
7
Bedrijfsspionage
4
7
3
14%
Diefstal van hardware buiten het bedrijf
4
6
4
14%
Gerichte aanvallen die specifiek zijn gericht op de organisatie/het merk
2 3
4
Criminele schade (inclusief brand/-stichting)
22
Leidde dit tot verlies van gegevens?
9
21
7 5
19% 16%
9% 4%
Ja – Van gevoelige bedrijfsgegevens
Ja – Van niet-gevoelige bedrijfsgegevens
Nee
Hoe bedrijven reageren op dreigingen
7.0 30% van de organisaties heeft nog steeds geen volledige anti-malware software geïmplementeerd
“Het is verbazingwekkend dat er nog zoveel bedrijven zijn die de noodzaak voor een dergelijke basale beveiligingsmaatregel als anti-malware software niet onder ogen zien. Hoewel het slechts een klein stukje van een veel grotere puzzel betreft, moet dit worden gezien als het absoluut minimaal noodzakelijke” Tim Armstrong
Terwijl deze trends zich verder blijven ontwikkelen, kijken bedrijven over de hele wereld naar de toekomst omdat ITbeveiliging en ophanden zijnde dreigingen steeds hoger op de agenda komen te staan. Tegenwoordig bestaat voor IT-teams de meest zorgwekkende externe toekomstige dreiging uit netwerkinbraak en hacking, terwijl intern fouten in de bestaande software de grootste dreiging vormen. Gelukkig zijn IT-teams begonnen met het nemen van maatregelen om deze beveiligingsrisico’s af te wenden. Anti-malware bescherming staat bovenaan de lijst van de ‘vier kernmaatregelen’ die organisaties ondernemen om hun data te beschermen – gevolgd door firewall bescherming, gegevensback-up en -herstel en regelmatig patch- en software-updatebeheer. Het is belangrijk hierbij op te merken dat bij de grootste interne en externe dreigingen patching van essentieel belang is. Als u ervoor zorgt dat al uw toepassingen worden gepatched, wordt het ongetwijfeld moeilijker voor de vijand om uw netwerk binnen te dringen. Een van de meest verontrustende bevindingen is dat een onthutsende 30% van de organisaties nog steeds niet complete anti-malware software heeft geïmplementeerd. Met alle dreigingen die er zijn, en alle mogelijke implicaties voor bedrijven die slachtoffer worden van een aanval, is het schokkend hoeveel mensen niet begrijpen dat dergelijke basale beveiligingsmaatregelen als anti-malware software hard nodig zijn. Dit moet worden beschouwd als een van de essentiële basisvereisten.
Organisaties hebben verschillende beveiligingsmaatregelen volledig geïmplementeerd %
%
Anti-malware bescherming (antivirus, anti-spyware)
70%
Invoeren van toegangsniveaus voor verschillende IT-systemen in de vorm van privileges
44%
Firewall bescherming cliënt
64%
Fysieke beveiliging van kritieke ITsystemen (bijvoorbeeld tegen brand, diefstal)
42%
Gegevensback-up en -herstel
63%
Netwerkstructuren (bijv. scheiding van missiekritieke netwerken)
42%
Regelmatig beheer patch-/ software-update
63%
Herstelbeleid na rampen en voorbereiding
37%
Beleid voor het omgaan met IT-beveiliging in vestigingen/kantoren op afstand
36%
Codering van zeer gevoelige data
36%
Controle/verificatie van IT-beveiliging van externe leveranciers
32%
Codering van zakelijke communicatie
31%
Afzonderlijk beveiligingsbeleid voor mobiele/draagbare apparatuur
30%
Codering van gegevens op mobiele apparatuur
27%
Vier kernenmaatregelen
Andere maatregelen
10
Bent u op de toekomst voorbereid?
7.1
Momenteel en in de toekomst blijven cybercriminelen een bedreiging voor bedrijven over de hele wereld. Hoewel veel organisaties zich bewust zijn van de mogelijke problemen waarmee zij geconfronteerd worden en klaar zijn om hun bedrijven te beschermen, zijn veel organisaties echter nog steeds niet volledig voorbereid. U hebt mogelijk personeel dat veel onderweg is en verschillende apparatuur gebruikt, waardoor cybercriminelen meer ingangen hebben. Ongeacht of u in het afgelopen jaar slachtoffer bent geworden of u zich voorbereidt op het nieuwe gevaar, het is van essentieel belang voor uw organisatie dat de IT-systemen en de bedrijfsapparatuur op de toekomst zijn voorbereid. Bij Kaspersky Lab zorgen we ervoor dat u vooroploopt bij het afweren van de dreigingen en u vol vertrouwen nieuwe kansen kunt benutten om uw bedrijf te laten floreren – en dat u altijd op de toekomst bent voorbereid! Ga voor meer whitepapers, video’s en inzichten naar: kaspersky.com/nl/beready
Onderzoeksteam Kaspersky Lab Costin Raiu Director of Global Research & Analysis Kaspersky Lab Stefan Tanase Senior Security Researcher Kaspersky Lab Roel Schouwenberg Senior Security Researcher Kaspersky Lab Tim Armstrong Security Researcher Kaspersky Lab
11