Grotere bedrijven gevoeliger voor datalekken

Man voert een harde schijf in bij server

Hoe meer werknemers een bedrijf in dienst heeft, des te groter de kans op datalekken. Bij één op de vier bedrijven die 250 man of meer in dienst heeft, bleek een intern incident de oorzaak te zijn van een datalek. Bij kleinere ondernemingen is dat één op de twaalf. De zorg is het meest vatbaar voor ICT-veiligheidsincidenten.

Dat blijkt uit de Cybersecuritymonitor 2020 van het Centraal Bureau voor de Statistiek (CBS), dat vandaag is gepubliceerd.

Deze securitymaatregelen treffen bedrijven in Nederland

Het CBS constateert dat zowel grote als kleine bedrijven veiligheidsmaatregelen treffen om datalekken en andere incidenten te voorkomen. Het installeren van antivirussoftware, beleid formuleren voor sterke wachtwoorden en back-ups op een andere fysieke locatie opslaan blijken voor grote en kleine ondernemingen bovenaan het prioriteitenlijstje te staan.

Encryptie van data daarentegen is een beveiligingsmaatregel die met name grotere bedrijven treffen (waar 250 man of meer in dienst zijn). Dat geldt ook voor het aanbieden van cursussen aan ICT-specialisten, het bijhouden van logbestanden, het monitoren van netwerkactiviteiten, het uitvoeren van risicoanalyses, authenticatie via soft- of hardwaretokens en het gebruik van VPN-software buiten het bedrijf.

“In het algemeen kan dus gezegd worden dat het ICT‐beveiligingsniveau van een bedrijf hoger is naarmate er meer maatregelen tegelijkertijd genomen worden”, zo concluderen de onderzoekers van het CBS. Uit het onderzoek blijkt tevens dat in de zorg de meeste beveiligingsmaatregelen worden getroffen.

Meer veiligheidsincidenten bij grotere bedrijven

In het onderzoek maakt het CBS onderscheid tussen twee soorten veiligheidsincidenten: incidenten door eigen toedoen en aanvallen van buitenaf. In beide gevallen kun je denken aan uitval van computersystemen, datavernietiging en datalekken (al dan niet door het eigen personeel of cybercriminelen en hackers).

Ongeveer twee derde van de veiligheidsincidenten bij grote bedrijven, wordt veroorzaakt door het eigen personeel. Bij kleine bedrijven (maximaal 10 man personeel) is dat slechts een kwart. Veiligheidsincidenten door aanvallen van buitenaf (phishing, DDoS, ransomware) komen steeds minder voor, zowel bij grote als kleine bedrijven. In 2016 werd 40 procent van de grotere bedrijven geconfronteerd met aanvallen van buitenaf. In 2019 was dat aandeel meer dan gehalveerd tot net onder de 20 procent.

Uit de cijfers van het CBS blijkt dat grotere organisaties meer veiligheidsincidenten rapporteren dan kleine bedrijven. Dat heeft volgens de onderzoekers meerdere oorzaken. Grotere bedrijven hebben vaak een complexe ICT-infrastructuur. Meer computers en andere hardware vergroot de kans dat er vroeg of laat wat kapot gaat. Daarnaast zijn grotere ondernemingen een aantrekkelijker doelwit zijn voor cybercriminelen en hackers dan kleinere organisaties. “Wat verder nog een rol speelt, is dat bij grote bedrijven vaak meer ICT‐specialisten werken, wat ook de kans groter maakt dat ICT‐veiligheidsincidenten gedetecteerd worden die misschien bij kleine bedrijven onder de radar blijven”, zo waarschuwt het CBS.

Meer datalekken dan ooit

Het aandeel veiligheidsincidenten met een interne oorzaak ligt in vrijwel alle sectoren hoog. De zorg spant echter de kroon, gevolgd door de ICT-sector en de industrie. In de horeca komen incidenten door eigen toedoen het minste voor. ICT-bedrijven en bedrijven uit de industrie maken het vaakst een melding van een aanval van buitenaf: daar ligt het percentage gemiddeld op 10 procent, in de zorg en de horeca tussen de 5 en 7 procent. In totaal werd 8 procent van alle grote bedrijven in ons land in 2019 getroffen door een ‘dataonthulling’ of datalek door een aanval van buitenaf. In 2016 lag dat aandeel op 6 procent.

Het CBS schrijft verder dat er in 2019 in totaal 26.956 datalekken zijn gemeld bij de Autoriteit Persoonsgegevens. Het overgrote deel van de gemelde datalekken is afkomstig uit de gezondheidszorg, de financiële sector en het openbaar bestuur. Deze sectoren waren in 2019 goed voor driekwart van alle datalekmeldingen. In 2016 was dit nog 61 procent. Het goede nieuws is dat nutsbedrijven geen meldingen hebben gedaan. Een veiligheidsincident bij een energiebedrijf zou maatschappij ontwrichtend kunnen werken, en heeft zodoende een grotere impact. Afgelopen jaar werd 5 procent van de datalekken veroorzaakt door een hackaanval.

Explosieve stijging computervredebreuk

Tot slot heeft het CBS gekeken naar de ontwikkeling van cybercrime in ons land, in het bijzonder naar computervredebreuk: het binnendringen van een netwerk of computersysteem zonder toestemming van de eigenaar. Het aantal meldingen van computervredebreuk steeg in een jaar tijd met ruim 65 procent naar 4.865. Dat komt neer op 28 geregistreerde misdrijven per 100.000 inwoners.

7,3 procent van de geregistreerde computervredebreuken werd door de politie opgelost. Bij de meeste computerdelicten legde de rechter een taakstraf of gevangenisstraf op (respectievelijk 37 en 14 procent). De afgelopen jaren werden er een stuk minder geldboetes opgelegd: dat aandeel daalde van 30 naar 13 procent. Tussen 2014 en 2019 behandelden de rechtbanken 551 zaken over computervredebreuk. In 82 gevallen verklaarde de rechter de verdachte schuldig.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen