ICT Barometer over cybercrime

ICT Barometer over cybercrime Jaargang 11 25 maart 2011

Inhoudsopgave

Introductie

3

Management summary

5

• • • • • • • • • • •

Hoe afhankelijk zijn organisaties van ICT Welke maatregelen nemen de ondervraagden om ICT te beveiligen Van welke cybercrime activiteiten hebben organisaties last Welke schade ondervinden de geënquêteerden als gevolg van cybercrime Schadelast op jaarbasis zeer aanzienlijk Welke acties nemen organisaties in het geval van cybercrime Wat zijn redenen om geen aangifte te doen van cybercrime Welke nieuwe technieken lijken een veiligheidsrisico met zich mee te brengen Hoe voorkomen organisaties dat gevoelige informatie uitlekt Welke maatregelen nemen organisaties om schade door cybercrime te voorkomen Heeft u vertrouwen in de eigen ICT-beveiliging

6 8 10 16 18 19 20 22 23 24 26

Contactgegevens

29

Verantwoording

30

Over Ernst & Young

31

Onderzoeksresultaten ICT Barometer over cybercrime

2

ICT Barometer over cybercrime

Introductie De samenleving ondervindt steeds meer overlast als gevolg van cybercrime. Ernst & Young doet voor de zesde keer onderzoek naar dit verschijnsel en daaruit blijkt dat de omvang van het probleem voortdurend toeneemt. Tevens groeit de afhankelijkheid van ICT gestaag. Terwijl in 2006 nog 19 procent van de bedrijven aangaf dat hun organisatie volledig stil staat zonder ICT, ligt dit percentage in 2011 op 39 procent, dit is een stijging van 100 procent in 5 jaar. Dat er wat moet gebeuren is duidelijk. Uit dit onderzoek blijkt dat filtersystemen, wachtwoordprotocollen, strikte toegangsprocedures voor systemen en data de top-3 vormen van maatregelen in de strijd tegen cybercrime. Omdat dit in feite basisvoorzieningen zijn, wekt het bij Monique Otten, partner IT Risk and Assurance bij Ernst & Young, verbazing dat deze maatregelen niet veel breder worden toegepast. “Zeker als je daarbij in ogenschouw neemt dat in vergelijking met een jaar eerder het gebruik van filtersystemen naar 4 procentpunten is gedaald en het hanteren van strikte toegangsprocedures zelfs naar 9 procentpunten is teruggelopen. Vorig jaar is er al geconstateerd dat bedrijven hun beveiliging tegen cybercrime niet op orde hebben en nu is het beeld zelfs nog slechter.” Hoewel spam en malware iets zijn afgenomen, zijn deze virussen en spyware nog steeds de meest genoemde cybercrime activiteiten die schade veroorzaken. Ook het komende jaar verwachten de ondervraagde managers het meeste last te hebben van deze cybercrime activiteiten. “Het is dus van cruciaal belang om in ieder geval de basismaatregelen tegen cybercrime te treffen”, zegt Monique Otten. Dat actie geboden is laten de onderzoeksresultaten naar de aangerichte schade door cybercrime zien. 35 procent van de ondervraagde managers zag in het afgelopen jaar de financiële schade, schade voor eigen medewerkers, imago/reputatieschade, verlies van klanten en kostenposten vanwege juridische consequenties op zich afkomen. Eén op de vijf ondervraagde bedrijven (eenmanszaken uitgezonderd) leed in 2010 financiële schade als gevolg van cybercrime. “Dat het probleem buitengewoon ernstig is, staat als een paal boven water”, zegt Monique Otten.


3


Er is ook goed nieuws. In het najaar van 2010 kondigde minister Opstelten van Veiligheid en Justitie aan dat zeer ondermijnende criminaliteit zoals cybercrime de komende jaren harder wordt aangepakt. De minister heeft woord gehouden. Op 22 februari jongstleden presenteerde hij de Nationale Cyber Security Strategie. De strategie bevat een integrale aanpak van cybercrime. Overheid en bedrijfsleven gaan schouder aan schouder samenwerken om de weerbaarheid tegen ICT-verstoringen en cyberaanvallen te vergroten. Daarvoor wordt een Cyber Security Raad opgericht waarin alle relevante partijen van de overheid en het bedrijfsleven vertegenwoordigd zijn. Daarnaast komt er een Nationaal Cyber Security Centrum (NCSC). In dat Centrum komen de partijen bij elkaar om (dreigings)informatie, kennis en expertise uit te wisselen en te delen. Zo ontstaat één adres op dit terrein voor overheid én bedrijfsleven. Het Nationaal Cyber Security Centrum moet op 1 januari 2012 operationeel zijn. De snelle opmars van de social media en technieken als cloudcomputing stijgen flink op de ranglijst van technologieën die managers zorgen baren. Zij zijn vooral bang voor het uitlekken van vertrouwelijke informatie (51 procent) en aantasting van het bedrijfsimago (41 procent). Uit beveiligingsoogpunt maken de managers zich het meeste zorgen over de risico’s verbonden aan het gebruik van removable media, e-mail en draadloze netwerken. Desalniettemin verdubbelt het percentage managers dat cybercrime als een interne bedreiging beschouwt naar 13 procent. Otten: “Daaruit blijkt een grotere mate van bewustwording. Want de echt grote problemen hebben veelal een interne oorzaak, al dan niet veroorzaakt door social media. Externe bedreigingen, zoals spam kunnen buitengewoon vervelend zijn, maar er zijn genoeg beveiligingsmaatregelen die er bescherming tegen kunnen bieden. Voor kwaadwillenden in de organisatie zelf, zijn er tal van mogelijkheden om ellende van uiteenlopende aard te veroorzaken.” In dat verband omschrijft ze het gegeven dat maar liefst 8 procent van de ondervraagden meldt dat hun bedrijf de afgelopen twaalf maanden is getroffen door diefstal van klantgegevens of bedrijfsinformatie door (ex-)werknemers als “ronduit schokkend”. Met dit onderzoek van de ICT Barometer brengt Ernst & Young de actuele trends op het gebied van cybercrime sinds 2002 in beeld. De gekozen thema’s en deelonderwerpen van dit onderzoek zijn tot stand gekomen op basis van vraagstukken en dilemma’s die leven bij cliënten van Ernst & Young en de gebruikers van http://www.ictbarometer.nl. Al sinds 1995 kiest Ernst & Young er voor om belangrijke vraagstukken en dilemma’s op het gebied van het gebruik en de inzet van ICT in Nederland te onderzoeken. Ernst & Young vindt het belangrijk om de op die manier verkregen kennis en inzichten te delen door middel van openbaar beschikbare onderzoeksresultaten en analyses. Het stelt bedrijven en instellingen in staat hun eigen positie te bepalen ten aanzien van het onderzochte thema.


4


Management summary

•

4 � 3 procent van de zeshonderd ondervraagde Nederlandse managers zegt dat de overlast van cybercrime toeneemt (2010: 42 procent) terwijl slechts 5 procent vindt dat de situatie is verbeterd (2010: 8 procent).

•

5 � 3 procent van de ondervraagde bedrijven die directe financiële schade hebben opgelopen, noemen schadebedragen van minimaal € 10.000 tot maximaal € 500.000. 13 procent van de ondervraagde bedrijven die directe financiële schade hebben opgelopen, geven schadebedragen op van € 1.000.000 en meer. Dit zijn bedrijven met meer dan 500 werknemers.

•

H � oewel iets afgenomen, zijn spam en malware (virussen en spyware) nog steeds de meest genoemde cybercrime activiteiten die schade veroorzaken. Ook het komende jaar verwachten de ondervraagde managers dat ze daar het meeste last van hebben.

•

F � iltersystemen (69 procent), wachtwoordprotocollen (54 procent) en strikte toegangsprocedures voor systemen en data (48 procent) vormen de top-3 van maatregelen in de strijd tegen cybercrime.

•

H � et percentage managers dat cybercrime vooral als een interne bedreiging beschouwt, verdubbelt naar 13 procent. Er lijkt sprake te zijn van een grotere bewustwording van het interne risico. Maar liefst 8 procent van de ondervraagden meldt dat hun bedrijf de afgelopen twaalf maanden is getroffen door diefstal van klantgegevens of bedrijfsinformatie door (ex-)werknemers.

•

D � e ondervraagde managers maken zich het meeste zorgen over risico’s verbonden aan het gebruik van removable media, e-mail en draadloze netwerken. Relatief nieuwe verschijnselen als cloud computing en het gebruik van social media stijgen flink op de ranglijst van technologieën die managers zorgen baren.

•

R � espondenten zijn vooral bang voor het uitlekken van vertrouwelijke informatie (51 procent) en aantasting van het bedrijfsimago (41 procent). Overigens ziet 17 procent van de ondervraagden geen enkel risico.


5

Hoe afhankelijk zijn organisaties van ICT?

Hoe belangrijk is ICT voor uw organisatie? 2011

39% 36%

Onze organisatie staat volledig stil zonder ICT Onze organisatie is in grote mate afhankelijk van ICT

2010

46% 46%

Onze organisatie is in beperkte mate afhankelijk van ICT

13% 14%

Onze organisatie is niet afhankelijk van ICT

1% 3% 0%

20%

40%

60%

80%

100%

De mate waarin bedrijven afhankelijk zijn van ICT groeit nog steeds. Nog slechts 1 procent zegt geheel onafhankelijk van ICT een bedrijf uit te kunnen oefenen (het gaat om organisaties met maximaal twintig werknemers). 85 procent van de ondervraagden zegt in belangrijke mate afhankelijk te zijn van ICT, waarbij het aantal organisaties dat aangeeft volledig stil te staan zonder ICT jaarlijks groeit.

Hoe belangrijk is ICT voor uw organisatie? (naar de sectoren) 100% 83%

85%

85%

90%

88%

85%

82%

81%

2011

87%

2010

80% 69%

60%

40%

20%

0%

totaal

productie/ industrie

handel/ distributie

overheid/ not-for-profit

dienstverlening

Het belang van ICT geldt voor alle branches in ongeveer gelijke mate. Opvallend is wel dat de sector handel/distributie een behoorlijke inhaalslag heeft gemaakt. Vorig jaar bleek slechts 69 procent van de ondervraagde managers in handel/distributie in (zeer) grote mate afhankelijk te zijn van ICT. Nu is dat percentage met 85 veel meer marktconform.


6

Hoe belangrijk is ICT voor uw organisatie? (naar bedrijfsomvang) 100%

92% 83%

85%

95%

94%

2010

82% 76%

80% 65%

2011

77%

66%

60%

40%

20%

0%

totaal

1-19 werknemers

20-99 werknemers

100-499 werknemers

500+ werknemers

Grote bedrijven zijn sterker afhankelijk van ICT dan kleine bedrijven. Dat het percentage bij de allergrootste bedrijven, die evident (bijna) niet zonder ICT zouden kunnen bestaan, niet 100 procent bedraagt is opmerkelijk. Dit zou veroorzaakt kunnen worden door het relatieve belang dat ondervraagde managers eraan toekennen.


7

Welke maatregelen nemen de ondervraagden om ICT te beveiligen?

Heeft uw organisatie de afgelopen 12 maanden geïnvesteerd in de volgende maatregelen op het gebied van ICT beveiliging? 44%

Voldoen aan compliance eisen zoals Wet bescherming persoonsgegevens (WBP) Implementatie of verbetering van Information Security Incident Management processen of procedures

42%

Implementatie of verbetering van virtualisatie technieken

42%

Implementatie of verbetering van Identity & Access Management (IAM)

41%

Implementatie of verbetering van processen of technieken ten behoeve van de preventie van het uitlekken van vertrouwelijke gegevens (data leakage prevention)

40%

Security awareness training voor het personeel

32%

Implementatie van standaarden zoals ISO 27002:2005 (NEN7510 specifiek gezondheidszorg)

16% 46%

Andere maatregelen op het gebied van ICT- beveiliging 0%

20%

40%

60%

80%

100%

In algemene zin is er in het afgelopen jaar meer evenwichtig geïnvesteerd in beveiligingsmaatregelen dan een jaar eerder, toen het beeld grilliger was. Dit kan gezien worden als een positieve ontwikkeling: de combinatie van het tegelijkertijd investeren in maatregelen op het gebied van proces en techniek is het meest krachtig. De implementatie van standaarden als beveiligingsmaatregel lijkt echter uit de gratie. Dit jaar zegt 16 procent van de ondervraagde managers hierin te hebben geïnvesteerd, terwijl een jaar eerder nog 31 procent aankondigde dat te gaan doen. In zijn algemeenheid zien we dat de bestedingen aan diverse vormen van ICT-beveiliging toenemen. Opvallend is de stijging in de besteding aan virtualisatietechnieken. Vorig jaar zei 30 procent van de ondervraagde managers hierin te investeren, nu is dat 42 procent. Andere maatregelen op het gebied van ICT-beveiliging hadden onder andere betrekking op firewalls, antivirusprogramma’s, websecurity, back-up faciliteiten en het up-to-date houden van software en de infrastructuur.


8

En verwacht uw organisatie de komende 12 maanden minder, evenveel of meer te investeren in ICTbeveiliging?

Implementatie of verbetering van virtualisatie technieken

45%

Andere maatregelen op het gebied van ICT-beveiliging Security awareness training voor het personeel

25%

Implementatie of verbetering van processen of technieken ten behoeve van de preventie van het uitlekken van vertrouwelijke gegevens

21%

Implementatie of verbetering van Identity & Access Management (IAM)

21%

Implementatie van standaarden zoals ISO 27002:2005 (NEN7510 specifiek gezondheidszorg)

18%

Implementatie of verbetering van Information Security Incident Management processen of procedures

16%

0%

13% 20%

55%

23%

Voldoen aan compliance eisen zoals Wet bescherming persoonsgegevens (WBP)

10%

45% 55%

32%

55%

23% 7%

72% 60%

18%

73% 70%

20%

40%

60%

meer 9%

80%

even veel minder

14%

100%

Ook voor het komende jaar verwacht men per saldo meer uit te gaan geven aan ICTbeveiliging. De verschuivingen in verwachte investeringen in beveiligingsmaatregelen zijn marginaal. Alleen de implementatie van standaarden als beveiligingsmaatregel heeft fors aan populariteit ingeboet van een verwachte 31 procent vorig jaar naar 18 procent nu. In feite kan men stellen dat de verwachting is aangepast aan de werkelijke situatie.


9

Van welke cybercrime activiteiten hebben organisaties last?

Is cybercrime naar uw mening voornamelijk een interne of externe bedreiging? De grootste dreiging komt van buiten de organisatie

63%

De grootste dreiging komt vanuit de organisatie zelf

2011 2010

73%

13% 7%

De dreiging van buiten de organisatie is even groot als de dreiging vanuit de organisatie zelf

23% 20% 0%

20%

40%

60%

80%

100%

Deze cijfers wijzen uit dat er sprake is van een grotere mate van bewustwording. De meerderheid van de ondervraagde managers ziet cybercrime vooral als een externe bedreiging. Het percentage managers dat het voornamelijk als interne bedreiging beschouwt, is nagenoeg verdubbeld. In de praktijk blijkt dat vaak de echt grote problemen veelal een interne oorzaak hebben. Externe bedreigingen, zoals spam, kunnen buitengewoon vervelend zijn, en komen helaas nog steeds veel voor. Desalniettemin zijn er genoeg beveiligingsmaatregelen te treffen die er bescherming tegen bieden. Voor kwaadwillenden in de organisaties zelf zijn er tal van mogelijkheden om ellende van uiteenlopende aard te veroorzaken die bovendien enorme impact kan hebben.

Hoe groot acht u de kans dat in de toekomst een terreuraanval plaatsvindt met behulp van cybercrime?

Gemiddeld

2010 41% 43%

Klein Dit zal nooit gebeuren

2011

22% 16%

Groot

37% 39% 1% 1% 0%

20%

40%

60%

80%

100%

Het aantal ondervraagden dat het realistisch acht dat er in de toekomst ooit een terreuraanval plaatsvindt met behulp van cybercrime is licht gestegen naar 63 procent. 22 procent van de respondenten bestempelt een dergelijk risico als groot; vorig jaar was dat nog 16 procent. Mogelijk speelt de forse publiciteit in het najaar van 2010 rond Stuxnet hier een rol. Dit geavanceerde computervirus was ontworpen met de bedoeling de Iraanse nucleaire faciliteiten te saboteren. Op grond van dergelijke berichten kan het besef groeien dat bijvoorbeeld de landelijke infrastructuur op het gebied van energievoorziening kwetsbaar kan zijn voor terreuraanvallen.


10

Externe overlast. Van welke van de onderstaande cybercrime activiteiten (of de gevolgen daarvan) heeft uw organisatie in de afgelopen 12 maanden last gehad? eenmalig / vaker Overlast door het ontvangen van grote hoeveelheden ongevraagde commerciële e-mailberichten (SPAM)

2011

49% 52%

Infectie van computersystemen van uw organisatie door malware (bijvoorbeeld virussen of spyware)

2010

42% / 58%

33% 38%

Het via computersystemen van uw organisatie verzenden van grote hoeveelheden ongevraagde commerciële e-mailberichten (SPAM)

26% / 74%

13% 17%

Het via computersystemen van uw organisatie verspreiden van illegaal materiaal (bijvoorbeeld illegale software of kinderporno)

6% 4%

Het door hackers ‘bekladden’ van de homepage van uw organisatie (defacing)

39% / 62%

3% 0%

15% / 85%

73% / 27% 20%

40%

60%

80%

100%

Hoewel iets afgenomen, zijn spam en malware (virussen, spyware) nog steeds de meest genoemde cybercrime activiteiten die overlast veroorzaken. Het via de computersystemen van de organisatie verspreiden van illegaal materiaal, zoals kinderporno, deed zich het afgelopen jaar bij 6 procent van de bedrijven voor – dit is een stijging van 2 procent ten opzichte van een jaar eerder. Voor dit type cybercrime kan meespelen dat het niet wordt gerapporteerd uit schaamte of zelfs in het geheel niet wordt opgemerkt. In de beantwoording op de vraag in welke frequentie deze overlast heeft plaatsgevonden valt op dat het percentage bij ‘vaker’ aanzienlijk hoger ligt dan ‘eenmalig’. Vooral in grote ondernemingen is het doorgaans moeilijk vast te stellen of bepaalde typen beveiligingsincidenten (bijvoorbeeld informatie leakage) zijn opgetreden. Niet opgemerkte beveiligingsincidenten kunnen bij het management een vals gevoel van veiligheid wekken. De Information Security Manager van een internationale retailorganisatie: “Het is niet eenvoudig om vast te stellen of er beveiligingsincidenten zijn geweest. Onwetendheid bij management kan leiden tot een verkeerde risicoperceptie, het is daarom essentieel dat cybercrime risico’s op een goede manier aan het management worden gepresenteerd.”


11

Phishing. Van welke van de onderstaande cybercrime activiteiten (of de gevolgen daarvan) heeft uw organisatie in de afgelopen 12 maanden last gehad? eenmalig / vaker

2011

13% 11%

Phishing aanval op webapplicaties van uw organisatie Het via computersystemen van uw organisatie aanbieden van nagemaakte websites waarmee (login)gegevens kunnen worden verzameld (Phishing)

2010

10% 10%

Manipuleren van uw medewerkers om toegang te krijgen tot uw systemen (social engineering)

48% / 52%

8% 9% 0%

20%

26% / 47%

52% / 48% 40%

60%

80%

100%

Phishing aanvallen *1) op webapplicaties zijn het afgelopen jaar toegenomen, waarbij drie op de vier bedrijven aangeven dat het vaker voorkomt. Zowel de klant als de interne medewerker is daarbij met enige regelmaat het doelwit. Ook bij de banken was het in 2010 raak: 1383 rekeningen werden leeggehaald voor een bedrag van 9,8 miljoen euro. In 2009 ging het nog om 154 rekeningen waarvan 1,9 miljoen euro werd ontvreemd. *1) Phishing (het achterhalen van je identiteit via internet). Illegale ondernemingen proberen persoonlijke gegevens van je te krijgen, zoals bankrekeningnummers, creditcardnummers, wachtwoorden, pincodes, enzovoorts. Als ze deze gegevens hebben, proberen ze geld van je rekening te halen.


12

Diefstal. Van welke van de onderstaande cybercrime activiteiten (of de gevolgen daarvan) heeft uw organisatie in de afgelopen 12 maanden last gehad? eenmalig / vaker

2011

10% 12%

Intern: Fraude door misbruik van computersystemen in uw organisatie door werknemers Intern: Diefstal van klantgegevens of bedrijfsinformatie door (ex-)werknemers

2010

8% 10%

Diefstal van klantgegevens of bedrijfsinformatie via computersystemen van uw organisatie

5% 7%

Diefstal van financiële middelen via computersystemen van uw organisatie

4% 6% 0%

23% / 77% 59% / 41% 68% / 32% 76% / 24%

20%

40%

60%

80%

100%

Eén op de tien bedrijven geeft aan dat fraude heeft plaatsgevonden door misbruik te maken van computersystemen. Bij 5 procent van de bedrijven zijn klantgegevens of bedrijfsinformatie ontvreemd via de computersystemen. En maar liefst 8 procent van de ondervraagden is de afgelopen twaalf maanden getroffen door diefstal van klantgegevens of bedrijfsinformatie door (ex-)werknemers. Hoewel de percentages relatief laag zijn, is het concrete aantal bedrijven dat dit overkomt nog steeds ronduit schokkend. Zeker ook omdat veel ondervraagden zeggen dat dit vaker dan eens is gebeurd.

Bijzondere aanvallen. Van welke van de onderstaande cybercrime activiteiten (of de gevolgen daarvan) heeft uw organisatie in de afgelopen 12 maanden last gehad? eenmalig / vaker

2011

Intern: Het via het netwerk van uw organisatie verspreiden of downloaden van kinderporno of het plaatsen van berichten van racistische of discriminerende aard door werknemers

3% 2%

Aanval op uw bedrijfstelefooncentrale (PABX, VOIP)

3%

50% / 50%

Het via computersystemen van uw organisatie uitvoeren van een terreuraanval

3% 3%

100% / 0%

Aanval op de beschikbaarheid van de computersystemen van uw organisatie (Denial of Service)

2010

7% 10% 0%

20%

0% / 100%

70% / 30% 40%

60%

80%

100%

Van de ondervraagden maakt 7 procent melding van een georganiseerde aanval op de computersystemen van de organisatie. De overige cybercrime activiteiten komen slechts zelden voor. Maar als deze cybercrime activiteiten voorkomen, kan de impact enorm zijn. De 3 procent ondervraagden die te maken hebben gehad met een terreuraanval via computersystemen zijn afkomstig uit de sector dienstverlening bij bedrijven groter dan 500 werknemers. In alle gevallen ging het om een eenmalige aanval.


13

Hoe groot schat u de kans in dat uw organisatie in de komende 12 maanden te maken krijgt met een van de volgende cybercrime activiteiten (of de gevolgen daarvan)?

Overlast door het ontvangen van grote hoeveelheden ongevraagde commerciële e-mailberichten (SPAM)

35%

18%

Infectie van computersystemen van uw organisatie door malware (bijvoorbeeld virussen of spyware)

10%

Het via computersystemen van uw organisatie verzenden van grote hoeveelheden ongevraagde commerciële e-mailberichten (SPAM)

6%

Intern: Diefstal van klantgegevens of bedrijfsinformatie door (ex-)werknemers

3%

Aanval op de beschikbaarheid van de computersystemen van uw organisatie (Denial of Service)

1%

Manipuleren van uw medewerkers om toegang te krijgen tot uw systemen (social engineering)

2%

47% 57%

33% 24%

70%

26%

0%

72%

groot

26%

73%

gemiddeld

23%

75%

klein

20%

40%

60%

80%

100%

Ook het komende jaar verwachten de ondervraagde managers dat ze last houden van spam en malware. Dat ondervraagden het risico van een aanval op de eigen computersystemen klein achten (1 procent, vorig jaar nog 3 procent), verbaast enigszins. Er is vorig jaar immers genoeg te doen geweest over bedrijven die te maken kregen met georganiseerde aanvallen van actievoerders nadat deze bedrijven publiekelijk hun dienstverlening aan WikiLeaks hadden gestaakt.


Intern: Fraude door misbruik van computersystemen in uw organisatie door werknemers

2%

23%

Phishing aanval op webapplicaties van uw organisatie (kwaadwillenden imiteren een webapplicatie van uw organisatie zodat (login)gegevens van slachtoffers kunnen worden verzameld)

4%

19%

Diefstal van klantgegevens of bedrijfsinformatie via computersystemen van uw organisatie

2%

20%

78%

groot

Het via computersystemen van uw organisatie aanbieden van nagemaakte websites waarmee (login)gegevens kunnen worden verzameld (Phishing)

1%

21%

78%

gemiddeld

21%

79%

klein

Het door hackers ‘bekladden’ van de homepage van uw organisatie

0%

20%

76% 78%

40%

60%

80%

100%

De kans dat deze activiteiten op het gebied van cybercrime zich voordoen, wordt door de ondervraagde managers laag of zeer laag ingeschat.


14


Diefstal van financiële middelen via computersystemen van uw organisatie

1%

Aanval op uw bedrijfstelefooncentrale (PABX, VOIP)

1%

Het via computersystemen van uw organisatie verspreiden van illegaal materiaal (bijvorbeeld illegale software of kinderporno)

81%

18% 16%

83%

17%

83%

groot

Het via computersystemen van uw organisatie uitvoeren van een terreuraanval

14%

86%

gemiddeld

Intern: Het via het netwerk van uw organisatie verspreiden of downloaden van kinderporno of het plaatsen van berichten van racistische of discriminerende aard door werknemers

13%

86%

klein

0%

20%

40%

60%

80%

100%

De kans dat organisaties verwachten met deze cybercrime activiteiten te maken krijgen, is niet groot.

Is de overlast van cybercrime activiteiten naar uw gevoel het afgelopen jaar afgenomen, gelijk gebleven of toegenomen? Neemt toe

2011

43% 42%

Blijft gelijk

2010

52% 50%

Neemt af

5% 8% 0%

20%

40%

60%

80%

100%

Hoewel de stijging licht is, neemt de overlast veroorzaakt door cybercrime al jaren toe.


15

Welke schade ondervinden de geënquêteerden als gevolg van cybercrime?

Welke schade heeft uw organisatie het afgelopen jaar ondervonden van cybercrime? 20%

Financiële schade

15%

Schade voor eigen medewerkers Imago/reputatie schade

11%

Juridische consequenties

6%

Verlies van klanten

1%

Geen directe schade

65% 0%

20%

40%

60%

80%

100%

Eén op de drie organisaties ondervindt directe schade als gevolg van cybercrime. 20 procent van de ondervraagde managers zegt directe financiële schade te hebben opgelopen. Ook schade voor eigen medewerkers (bijvoorbeeld de tijd die gemoeid is met schadeherstel) en imagoschade worden regelmatig genoemd. Omdat de vragen over schade dit jaar voor het eerst in het onderzoek zijn opgenomen, kan een vergelijking met eerdere jaren op dit punt niet worden gemaakt.

Heeft uw organisatie het afgelopen jaar directe schade ondervonden van cybercrime? 100% 80% 60% 40%

49% 35% 24%

28%

34%

20% 0%

totaal

1-19 werknemers

20-99 werknemers

100-499 werknemers

500+ werknemers

Vooral de grote bedrijven ondervinden directe schade van cybercrime. Bijna de helft van de 500+ ondernemingen heeft het afgelopen jaar schade opgelopen. Voor de kleinste bedrijven is daarvan in bijna een kwart van de gevallen sprake.


16

Hoe groot was de financiële schade ongeveer? 100% 80% 60% 40%

34%

33% 20%

20% 0%

tot 10.000

10.000 tot 100.000

100.000 tot 500.000

13%

1.000.000 of meer

Eén op de vijf bedrijven meldde directe financiële schade te hebben geleden. Die schade bedroeg in 13 procent van die gevallen meer dan een miljoen euro. Bij 34 procent bleef de schade beperkt tot een bedrag onder de tienduizend euro. De schadebedragen groter dan een miljoen euro zijn alleen geclaimd door managers bij bedrijven met meer dan 500 werknemers binnen de sector dienstverlening.


17

Schadelast op jaarbasis zeer aanzienlijk

Omdat betrouwbaar cijfermateriaal over de jaarlijkse schade veroorzaakt door cybercrime in Nederland ontbreekt, is er op basis van de beschikbare onderzoeksgegevens getracht de geleden directe financiële schade, los van eventuele imago-, relatie- en andere schade, te kwantificeren. Eén op de vijf ondervraagde bedrijven in ons onderzoek *2) geeft aan directe financiële schade te hebben geleden door cybercrime. Van deze categorie geeft 34 procent van de bedrijven aan directe financiële schade tot ongeveer € 10.000 te hebben geleden. 53 procent van de ondervraagde bedrijven die directe financiële schade hebben opgelopen noemen schadebedragen van minimaal € 10.000 tot € 500.000. 13 procent van de ondervraagde bedrijven die directe financiële schade hebben opgelopen, geven schadebedragen op van € 1.000.000 en meer. Dit zijn bedrijven met meer dan 500 werknemers. Voor onze beeldvorming is er ook gekeken naar de bedrijfsgegevens van het Centraal Bureau voor de Statistiek (CBS). In 2010 zijn er volgens het CBS in totaal 863.840 bedrijven, waarvan 495.215 eenmansbedrijven. Als, zoals het onderzoek uitwijst, van de resterende 368.625 ondernemingen 20 procent financiële schade door cybercrime heeft ondervonden, gaat het in totaal om 73.725 bedrijven. De onderzoekers durven het niet aan om door middel van extrapolatie van de onderzoeksresultaten een schadebedrag te kwantificeren. Zeker is, dat welke rekensom je ook hanteert, de schade zeer aanzienlijk moet zijn. We vroegen Daniël Jacobs, Manager Benelux Construction, Energy & Technical Risks bij ACE Europe welke schades zij zien. “De grootste schades worden nu veroorzaakt door menselijke fouten van eigen of ingehuurde mensen. Vooral fouten van de eigen IT-afdeling kunnen catastrofale gevolgen hebben. De schade door hackers wordt wel aanzienlijk groter, en de frequentie neemt toe. Ik verwacht dat zich hier de komende twee jaar veel meer schadegevallen zullen voordoen. Virussen blijven onverminderd grote boosdoeners, maar gelukkig wordt 99 procent uitgeschakeld door preventiemaatregelen van onze klanten.” En die ene resterende procent, stelt dat nog wat voor? “Toch wel. We hebben ooit een schade van 10 miljoen US dollar uitgekeerd voor een virus in één bedrijf. Meestal beperken dergelijke schades zich overigens tot enkele tonnen, afhankelijk van het aantal computers dat men handmatig moet zuiveren.”

*2) Het onderzoek van de ICT Barometer wordt sinds december 2001 gehouden onder gemiddeld zeshonderd Nederlandse directeuren, managers en professionals uit het bedrijfsleven, onderverdeeld naar productie/industrie, handel/distributie, dienstverlening/ financiële instellingen en de (semi)overheid, verdeeld over alle bedrijfsgroottes.


18

Welke acties nemen organisaties in het geval van cybercrime?

Indien uw organisatie slachtoffer is geworden van cybercrime activiteiten, welke actie heeft uw organisatie daarop ondernomen? 2011

65% 71% 62%

Onderzoek in eigen beheer (bijvoorbeeld door IT afdeling of IAD)

2010 2009

16% 16% 16%

Aangifte bij politie/justitie

7% 12% 7%

Inschakelen onafhankelijk onderzoeksbureau

26% 25% 33%

Geen actie 0%

20%

40%

60%

80%

100%

Organisaties die slachtoffer zijn geworden van cybercrime reageren daar in twee van de drie gevallen op met interne maatregelen, bijvoorbeeld een onderzoek in eigen beheer. 16 procent doet aangifte terwijl 7 procent een extern bureau inschakelt. Buitengewoon opvallend is dat maar liefst 26 procent van de bedrijven helemaal geen actie onderneemt.


19

Wat zijn redenen om geen aangifte te doen van cybercrime?

Waarom heeft uw organisatie geen aangifte gedaan van cybercrime bij politie/justitie? We hebben het probleem in eigen beheer opgelost

53% 49%

Het probleem was niet belangrijk genoeg Ik heb er geen vertrouwen in dat politie/justitie ons kan helpen

17%

Het kost te veel moeite om aangifte te doen

15%

Door aangifte te doen houden we geen controle meer over de verspreiding van informatie over het probleem

4%

Het is niet duidelijk waar we terecht kunnen voor aangifte

4%

Anders

6% 0%

20%

40%

60%

80%

100%

Problemen die veroorzaakt zijn door cybercrime worden vaak door organisaties zelf opgelost, of werden te onbelangrijk geacht om daarvoor de politie in te schakelen. Een minderheid doet dat niet vanwege een gebrek aan vertrouwen in de autoriteiten of meent dat aangifte doen te veel tijd kost.

Hoe groot is uw vertrouwen in politie/justitie voor wat betreft cybercrime bestrijding? 100%

1%

1%

17%

17%

heel veel vertrouwen 28%

80%

tamelijk veel vertrouwen

60% 71%

72%

59%

40%

niet zo veel vertrouwen

20% 12%

11%

12%

2008

2009

2011

helemaal geen vertrouwen

0%

In vergelijking met de beantwoording van deze vraag in 2008 en 2009 is het vertrouwen in politie en justitie in 2011 behoorlijk toegenomen.


20

Hoe groot is uw vertrouwen in politie/justitie voor wat betreft cybercrime bestrijding? (in 2011 volgens de sectoren) 100%

2% 28%

25%

19%

80%

39%

tamelijk veel vertrouwen

60%

40%

heel veel vertrouwen 28%

58%

59%

64%

62% 54%

niet zo veel vertrouwen

20% 23% 12%

11%

6%

0% totaal


handel/ distributie


10%

helemaal geen vertrouwen

dienstverlening

Bedrijven hebben er over het algemeen weinig vertrouwen in dat politie en justitie cybercrime kunnen bestrijden. Weinig verrassend is dit vertrouwen binnen de overheid het hoogst.


21

Welke nieuwe technieken lijken een veiligheidsrisico met zich mee te brengen?

Welke technologieën baren uw organisatie de meeste zorgen vanuit beveiligingsoptiek? Removable media (USB-stick, portable disk, CD-RW, DVD-RW)

46%

E-mail

37%

Draadloze netwerken (Wifi, Bluetooth)

34%

Sociale netwerken (Linkedin, Hyves, Facebook)

31%

Thuis inloggen op bedrijfsnetwerk (VPN)

28%

Mobile computing (laptop, PDA, smartphone, Blackberry)

25%

Internetbankieren

18%

Peer-to-peer netwerken (Limewire, BitTorrent)

18%

Cloud computing (Software as a Service, Platform as a Service)

12%

Instant messaging (MSN)

9%

(Micro)Blog diensten (Wordpress, Blogspot, Twitter)

8%

Webwinkels

6% 0%

20%

40%

60%

80%

100%

Uit een oogpunt van beveiliging maken ondervraagde managers zich het meeste zorgen over risico’s verbonden aan het gebruik van removable media, e-mail en draadloze netwerken. Relatief nieuwe verschijnselen als cloud computing en het gebruik van social media stijgen flink op de ranglijst van technologieën die managers zorgen baren.

Welke risico’s ziet u in het gebruik van e-mail, sociale media en internetfora? 51%

Lekken van vertrouwelijke informatie door medewerkers of connecties die berichten of beelden publiceren 41%

Aantasting van uw bedrijfsimago door de verspreiding van onjuiste informatie door derden Lekken van vertrouwelijke informatie doordat uw account wordt ‘gehackt’

32%

Aantasting van uw bedrijfsimago doordat derden zich voordoen als medewerkers van uw organisatie

31%

Misbruik van uw digitale identiteit doordat uw account wordt ‘gehackt’

29%

Lekken van vertrouwelijk informatie door aftappen (draadloos) netwerkverkeer

25%

Geen risico’s

17% 0%

20%

40%

60%

80%

100%

De toegenomen zorgen over de risico’s van het gebruik van e-mail en sociale netwerken hebben hoofdzakelijk te maken met het uitlekken van vertrouwelijke informatie (51 procent) en aantasting van het bedrijfsimago (41 procent). 17 procent van de ondervraagden heeft kennelijk veel vertrouwen in de medewerkers en beveiligingssystemen door geen enkel risico te zien.


22

Hoe voorkomen organisaties dat gevoelige informatie uitlekt?

Welke maatregelen heeft uw organisatie genomen ter voorkoming van het uitlekken van gevoelige bedrijfsinformatie? Specifieke gedragscode voor het omgaan met gevoelige bedrijfsinformatie

56%

Filteren en/of monitoren op inhoud van toegestaan netwerkverkeer

45%

Opstellen specifieke gedragscode voor telewerken

36%

Controle van interne controlemaatregelen door internal audit

28%

Beperkingen in gebruik van bepaalde hardwarecomponenten

26%

Beperkingen in gebruik van instant messaging tools en e-mail

25%

Implementatie van tools voor het analyseren van log-bestanden

18%

Verbod op gebruik van camera’s in bepaalde ruimtes

12%

Tijdsbeperking voor toegang tot gevoelige bedrijfsinformatie

7%

Geen maatregelen

17% 0%

20%

40%

60%

80%

100%

56 procent van de ondervraagde managers is werkzaam in een bedrijf waar een specifieke gedragscode geldt voor het omgaan met gevoelige bedrijfsinformatie. Dat moet het uitlekken van informatie voorkomen. Een vrij nieuw fenomeen in dit verband is dat medewerkers niet alleen worden geacht de code na te leven, maar hiervoor ook moeten tekenen. Een specifieke gedragscode voor telewerken, in 36 procent van de bedrijven aanwezig, is een vergelijkbaar fenomeen. Dergelijke codes zijn in feite goed nieuws; het onderstreept dat organisaties de risico’s van het uitlekken van informatie meer dan in het verleden serieus nemen. Dat 17 procent helemaal geen maatregelen neemt, geeft in dit verband te denken.


23

Welke maatregelen nemen organisaties om schade door cybercrime te voorkomen?

Welke technische of procedurele maatregelen heeft uw organisatie getroffen om schade door cybercrime activiteiten te voorkomen of te detecteren? 69%

Filtersystemen voor externe communicatie (firewalls, proxies etc.) Veranderen van standaardwachtwoorden (van o.a. databases en applicaties)

54%

Stricte procedures voor toegang tot systemen en data

48%

Certificering software

36%

Uitschakelen of verwijderen niet noodzakelijke functionaliteit systemen (’hardenen’)

32%

Eventlogging en monitoring

32%

Strikte procedures voor gebruik van data op externe media (zoals USB)

31%

Actueel informatiebeveiligingsbeleid

28%

Periodieke bewustwordingscampagne

24%

Intrusion detection/Prevention systemen

23%

Strikte procedures voor uitwisseling van bedrijfsgerelateerde gegevens binnen sociale netwerken

22%

Certificering uitbestedingspartners

13%

Incident Response Team

12% 0%

20%

40%

60%

80%

100%

Filtersystemen (69 procent), wachtwoordprotocollen (54 procent) en strikte toegangsprocedures voor systemen en data (48 procent) vormen de top-3 van maatregelen in de strijd tegen cybercrime. Omdat dit in feite basisvoorzieningen ter voorkoming van cybercrime zijn, wekt het verbazing dat deze maatregelen niet veel breder worden toegepast. Zeker als daarbij in ogenschouw wordt genomen dat in vergelijking met een jaar eerder het gebruik van filtersystemen is gedaald met 4 procentpunten. Het hanteren van strikte toegangsprocedures is zelfs met 9 procentpunten teruggelopen.


24

Welke technische of procedurele maatregelen heeft uw organisatie getroffen om schade door cybercrime activiteiten te voorkomen of te detecteren?(naar bedrijfsomvang) 56% Filtersystemen voor externe communicatie (firewalls, proxies etc.)

1-19 werknemers 20-99 werknemers

69%

77% 73%

22%

51%

Veranderen van standaardwachtwoorden (van o.a. databases en applicaties) 18% 23%

Uitschakelen of verwijderen niet noodzakelijke functionaliteit systemen (’hardenen’)

16% Eventlogging en monitoring

100-499 werknemers 500+ werknemers

64% 66%

37% 41%

36% 29% 39%

13% 19% 26% 27%

Intrusion detection/Prevention systemen 0%

20%

40%

60%

80%

100%

Het ligt voor de hand dat de grote organisaties de meeste energie steken in beveiligingsmaatregelen. Opvallend is dat het MKB weliswaar iets lager scoort, maar over het algemeen goed in de pas blijft.


25

Heeft u vertrouwen in de eigen ICT-beveiliging?

Op welke wijze toetst u de effectiviteit van de maatregelen? 2011

54% 52%

Onderzoek in eigen beheer

2010

46% 49%

Continue monitoring van systemen (systeembeheer) Inhuren van een onderzoeksbureau

10% 8%

Inhuren van (legal) hackers

5% 5%

Niet, er vindt geen toetsing plaats

23% 24% 0%

20%

40%

60%

80%

100%

Meer dan de helft van de bedrijven toetst in eigen beheer of de getroffen basismaatregelen tegen de gevolgen van cybercrime effectief zijn. In de praktijk gaat het dan vaak om toetsing door medewerkers die zich ook met de installatie bezig hebben gehouden; een dergelijke situatie doet sterk denken aan de slager die zijn eigen vlees keurt. Het continu monitoren(46 procent) lijkt dan een beter alternatief waarbij in de ideale situatie een externe partij is betrokken. In 10 procent van de gevallen verzorgt een extern bureau de toetsing. Overigens zegt 23 procent van de ondervraagde managers dat in hun organisatie de effectiviteit van beveiligingsmaatregelen helemaal niet wordt getoetst. Dit hoge percentage kan voor het grootste deel worden verklaard uit het feit dat 17 procent van de organisaties geen beveiligingsmaatregelen heeft genomen. Dan resteert altijd nog 6 procent dat het wel noodzakelijk acht beveiligingsmaatregelen te nemen, maar toetsing ervan gemakshalve achterwege laat.


26

Hoeveel vertrouwen heeft u in de beveiliging van uw organisatie tegen schade door cybercrime activiteiten? 100%

2011

89% 82%

80%

80%

85% 78%

84%

86%

2010

79% 70%

72%

60% % veel vertrouwen

40%

20%

0%

totaal


handel/ distributie


dienstverlening

Het vertrouwen dat ondervraagde managers hebben in de beveiliging van hun organisatie tegen de schade door cybercrime vertoont al jarenlang een stijgende groei. Momenteel bevindt dit vertrouwen zich op een niveau van 82 procent. In 2009 was dit 54 procent en in 2008 nog 50 procent. Binnen de productie/industrie is het vertrouwen in de beveiliging relatief hoog (een stijging ten opzichte van 2010) en binnen de overheid relatief laag. De Information Security Manager van een internationale retailorganisatie geeft aan dat het van belang is onderscheid te maken tussen de ‘opzet’ en de ‘werking’ van beveiligingsmaatregelen: “Op papier kan het soms lijken alsof alles goed voor elkaar is, het komt er echter op aan of beveiligingsmaatregelen juist zijn geïmplementeerd. De uiteindelijke werking van het geïmplementeerde systeem is bovendien vaak afhankelijk van menselijke factoren.”


27

Waarom heeft u veel vertrouwen in de beveiliging van uw organisatie tegen schade door cybercrime activiteiten? 2011

62% 59%

Weinig/geen incidenten in de eigen organisatie het afgelopen jaar

2010

57% 55%

Adequate beveiligingssystemen Adequate processen om issues tijdig te detecteren

42% 34%

Regelmatige aandacht voor cybercrime (bewustwording)

38% 36%

Goede opvolging van incidenten

32% 33% 0%

20%

40%

60%

80%

100%

Ondervraagden met veel vertrouwen in hun beveiligingssysteem baseren zich vaak op het lage aantal incidenten en de adequate beveiligingssystemen en detectieprocessen.

Waarom heeft u weinig vertrouwen in de beveiliging van uw organisatie tegen schade door cybercrime activiteiten? 2011

41% 42%

Cybercrime wordt niet als issue gezien (bewustwording)

2010

38% 37%

Ontbreken van adequate processen om issues tijdig te detecteren Ontbreken van adequate beveiligingssystemen

11%

Gevoel van onveiligheid, omdat geen aandacht aan het onderwerp wordt gegeven

25% 25% 23%

19% 23%

Gevoel van onveiligheid, zonder concrete voorbeelden waar het mis is gegaan

11% 12%

Gevoel van onveiligheid, gezien de media aandacht die het krijgt Aantal incidenten in de eigen organisaties het afgelopen jaar

7% 0%

14%

20%

40%

60%

80%

100%

Er is weinig vertrouwen in beveiligingssystemen als de organisatie cybercrime niet als issue erkent of als adequate detectieprocessen ontbreken.


28

Contactgegevens

Voor meer informatie over deze publicatie kunt u contact opnemen met:

Monique Otten Partner Ernst & Young IT Risk and Assurance T + 31 (0)88-407 31 47 E [email protected]

Jacob Verschuur Director ICT Leadership T + 31 (0)88-407 15 21 E [email protected] www.ictbarometer.nl

www.ey.nl


29

Verantwoording De ICT Barometer is een onderzoek van Ernst & Young ICT Leadership over het gebruik en inzet van ICT in Nederland. Sinds 2002 maakt het onderwerp cybercrime deel uit van het onderzoek. Binnen het onderzoeksgebied van de ICT Barometer wordt per kwartaal onderzoek verricht naar de ontwikkelingen van conjunctuur en bestedingen van ICT in Nederland en op basis hiervan ontstaat een index, de ICT Indicator. Andere onderwerpen die naast cybercrime jaarlijks worden onderzocht zijn: Telecom en Netwerken, Online Winkelen, IT en Finance, Kwaliteit van ICT-dienstverlening, Green ICT/ Sustainability, ICT en Gezondheidszorg/Lifesciences, Overheid en ICT en Uitbesteding/BPO. De ICT Barometer is de gerenommeerde ‘vinger aan de pols’ voor managers. Het onderzoek van de ICT Barometer wordt sinds december 2001 gehouden onder gemiddeld zeshonderd Nederlandse directeuren, managers en professionals uit het bedrijfsleven, onderverdeeld naar productie/industrie, handel/distributie en dienstverlening/financiële instellingen en de (semi)overheid, verdeeld over alle bedrijfsgroottes. De ondervraagde groep wordt online geënquêteerd. Het onderzoek is representatief voor directeuren, managers, professionals en/of hoger opgeleide werknemers die beschikken over een internetaansluiting. Amsterdam, 25 maart 2011


30

Ernst & Young Assurance | Tax | Transactions | Advisory Over Ernst & Young Ernst & Young Nederland LLP is een limited liability partnership naar het recht van Engeland en Wales met registratienummer OC335595. Ernst & Young Nederland LLP is statutair gevestigd te Lambeth Palace Road 1, London SE1 7EU, Verenigd Koninkrijk, heeft haar hoofdvestiging aan Boompjes 258, 3011 XZ Rotterdam, Nederland en is geregistreerd bij de Kamer van Koophandel Rotterdam onder nummer 24432942 bijbehorende disclaimer. Hoewel bij het redigeren van dit rapport ICT Barometer de grootst mogelijke zorgvuldigheid is betracht, bestaat de mogelijkheid dat sommige informatie na verloop van tijd verouderd of niet meer juist is. Ernst & Young kan geen aansprakelijkheid aanvaarden voor de gevolgen van activiteiten die worden ondernomen op basis van informatie in dit rapport. Overname van artikelen is toegestaan, mits integraal en met bronvermelding. Amsterdam, 25 maart 2011 © 2011 Ernst & Young Nederland LLP. Alle rechten voorbehouden. 100072 Deze publicatie bevat informatie in samengevatte vorm en is daarom enkel bedoeld als algemene leidraad. Ze is niet bedoeld om te dienen als een substituut voor gedetailleerd onderzoek of voor het aanwenden van een professioneel oordeel. Noch EYGM Limited noch enig ander lid van de wereldwijde Ernst & Young organisatie kan aansprakelijk worden gesteld voor het verlies van iemand die handelde of die ervan afzag te handelen ten gevolge van enige informatie in deze publicatie. Bij elke specifieke aangelegenheid, dient steeds een geschikte adviseur geraadpleegd te worden.

ICT Barometer over cybercrime

Recommend Documents