NEDERLAND ICT CYBER SECURITY ZOMERONDERZOEK 2014 · Bijna 80 procent van de ICT-bedrijven geeft aan...
Transcript of NEDERLAND ICT CYBER SECURITY ZOMERONDERZOEK 2014 · Bijna 80 procent van de ICT-bedrijven geeft aan...
82%
64%
49%
36%
27%
Zonder security geen ICT
Klanten vragen erom
Onderscheidend t.o.v.
concurrentie
Er is geld mee te verdienen
Nederland kan zich ontwikkelen
tot Cyber Security-land
46%
48%
70%
De klant is bereid in
security te investeren
Klanten hebben erbehoefte aan dat wij
ingaan op security in
marketinguitingen/
klantgesprekken
Klanten plaatsensecurity vaker in zijn
set van eisen
Om te kunnen profiteren van de impuls die onze internetinfrastructuur en ICT de digitale economie kan geven, is cyber security een essentiële randvoorwaarde. Cybercriminaliteit richt naar schatting jaarlijks voor honderden miljoenen tot enkele miljarden euro’s aan schade aan. ICT-bedrijven, gebruikersorganisaties in overheid en de private sector spelen allen een belangrijke rol bij digitale veiligheid. Branchevereniging Nederland ICT peilde in augustus 2014 de stemming onder haar leden. Onder andere CEO’s, CFO’s en security-experts van grote en kleine ICT-bedrijven werkten mee aan het onderzoek.
Belangrijkste bevindingen
- Cyber security is het nummer 1 thema bij ICT-bedrijven
- Klanten zetten beveiliging vaker op de agenda, maar budget blijft achter
- De overheid heeft een belangrijke voorlichtingstaak, beleid ook richten op ’digitale wereld’ van morgen
- Cybercriminaliteit is alleen te bestrijden door goede samenwerking tussen overheid en bedrijfsleven
- Kennisniveau gebruikersorganisaties in private en publieke sector stijgt, maar schiet nog steeds tekort
- Focus klanten op certificeringen werkt averechts
- Cybercriminelen moeten steviger worden aangepakt
Cyber security speelt enorm bij ICT-bedrijven. 95 procent van de bedrijven die meededen aan het onderzoek geeft aan dat het een belangrijk thema is binnen de organisatie. Belangrijker dan een thema als kostenefficiëntie of een trend als cloud computing is. De impact die cyber security heeft op het vertrouwen, speelt hier een grote rol. Drie op vier ICT-bedrijven realiseert zich dat een gebrek aan vertrouwen in ICT en internet leidt tot minder investeringen.
Ook bij gebruikersorganisaties staat cyber security steeds vaker op de agenda. Bijna 90 procent van de ICT-bedrijven merkt dat beveiliging van ICT en informatie de afgelopen drie jaren steeg op de agenda van klanten.
Dat gebruikersorganisaties in zowel het bedrijfsleven als bij de overheid meer belang hechten aan cyber security, is volgens de ICT-bedrijven ook terug te zien in de dagelijkse praktijk. 70 procent van de achterban ziet dat klanten beveiliging vaker in de set van eisen plaatsen. Ongeveer de helft van de ondervraagden merkt dat klanten er duidelijk behoefte aan heeft dat beveiliging aandacht krijgt tijdens klantgesprekken.
64 procent van de ondervraagden geeft aan dat de vraag vanuit de klant een belangrijke reden is om zich te richten op cyber security. Een andere aanjager is concurrentie: de helft van de ICT-bedrijven wil zich op dit onderwerp onderscheiden van andere bedrijven.
De aandacht voor cyber security richt zich niet alleen naar buiten toe. Ook binnen de eigen organisatie ligt er een stevige nadruk op cyber security. Bijna 85 procent van de bedrijven richt zich bij cyber security in zijn bedrijf op security in de ontwikkeling van producten en diensten, 70 procent van de ICT-bedrijven licht medewerkers voor over beveiliging. Bij twee derde van de bedrijven wordt aandacht besteed aan verdeling van verantwoordelijkheden.
1% 7%15% 8%
6% 4%
46%41%
34%
55%
37%44%
61%
41%
Mobiliteit Cloud Cyber security Kostefficiëntie
Zeer onbelangrijk Onbelangrijk Neutraal
Belangrijk Zeer belangrijk
“GEEN VERTROUWEN IN ICT BETEKENT
GEEN TOEPASSING EN GEEN
INVESTERINGEN”
WAT IS HET BELANG VAN DEZE THEMA’S VOOR
UW BEDRIJF?
NEDERLAND ICT CYBER SECURITY ZOMERONDERZOEK 2014
1%
7%
18%
49%
24%
Zeer oneens
Oneens
Neutraal
Eens
Zeer mee eens
59%
30%
8%
3%
Duidelijk omhoog
Enigszins omhoog
Gelijk
Duidelijk omlaag
65%85%
70%
41% 39%
3%
Security krijgt
aandacht in de
organisatie.
Verantwoordelijk
-heden zijn
verdeeld
Security krijgt
aandacht bij
ontwikkelen
producten/
diensten
Security
onder de
aandacht
brengen van
personeel
Nadruk op
security in de
marketing van
mijn product
maakt het
beter
verkoopbaar
We hebben
een plan wat
te doen bij
een incident
of als een
klant hier last
van heeft
Binnen onze
organisatie
krijgt het
nauwelijks
aandacht
GING BEVEILIGING IN DE AFGELOPEN 3 JAAR BIJ UW
KLANTEN OP DE AGENDA OMHOOG OF OMLAAG?
WAT MAAKT CYBER SECURITY VOOR UW
ORGANISATIE ZO BELANGRIJK?
HOE BESTEEDT U ALS ICT-BEDRIJF AANDACHT AAN SECURITY? HOE MERKT U DAT UW KLANTEN
MEER AANDACHT VOOR SECURITY
KRIJGEN?
1
De prioriteit die cyber security in het
bedrijfsleven en overheid krijgt maakte in
de afgelopen jaren een positieve
ontwikkeling door. Aandacht moet echter
vergezeld gaan van kennis om effectief te
zijn. Alleen wanneer organisaties voldoende
kennis bezitten over de risico’s die zij lopen
en deze kunnen omzetten naar acties om
zich te beschermen tegen deze risico’s, kan
er op een veilige manier gewerkt worden.
Bijna 80 procent van de ICT-bedrijven geeft
aan dat er een verantwoordelijkheid ligt bij
gebruikersorganisaties, bijvoorbeeld om te
zorgen dat medewerkers de beschikbare
ICT-systemen op de juiste manier
gebruiken.
Driekwart van de ICT-bedrijven vindt dat
klanten het benodigde kennisniveau nog
niet halen. Wel ziet een ruimte meerderheid
dat het kennisniveau bij klanten stijgt. In de
private sector lijkt dit iets sneller te gaan
dan bij de overheid. 75 procent denkt dat
opleidingen in de toekomst belangrijker
gaan worden voor eindgebruikers én ICT-
professionals. Zo vindt bijna 80 procent dat
er aandacht moet zijn voor cyber security in
het onderwijs.
Hoewel er meer aandacht is voor cyber
security binnen organisaties en ook het
kennisniveau langzaam stijgt, blijft het
budget achter. Zo merkt minder dan de helft
van de ICT-bedrijven dat klanten ook echt
bereid zijn om te betalen voor veiligheid.
Niet alle veiligheidsmaatregelen kosten
geld, maar enig budget zal nodig zijn.
Nederland ICT heeft als stelregel in de ’10
cyber security vuistregels’ aangegeven dat
ongeveer 10 procent van het ICT-budget
aan security besteed moet worden.1
In Duitsland is deze stelregel recent ook
voor de Duitse federale overheid als
uitgangspunt bepaald.2
ICT-bedrijven hebben vertrouwen dat de
cyber security vragen in de toekomst
beantwoord kunnen worden. Daarbij
zien ICT-bedrijven dat cyber security
prima samengaat met nieuwe
ontwikkelingen en innovaties. Slechts 14
procent vreest dat het denken in cyber
security belemmerend gaat werken.
Ook bestaat het gevaar dat er enkel
kennis wordt opgedaan over het
toepassen van regels en standaarden.
De helft van de ondervraagde bedrijven
geeft aan dat klanten te veel verwachten
van certificering. Hoewel certificering
nuttig kan zijn, betekent compliance niet
per definitie dat er ook veilig wordt
gewerkt of dat er veilig wordt
aangekocht. Klanten moeten nadenken
over de data en systemen die ze
gebruiken, welke risico’s ze lopen en
welke van deze risico’s ze (wettelijk)
moeten of willen afdekken. Dit is geen
eenmalige oefening, maar een proces
dat bedrijven keer op keer moeten
herhalen. Bedrijven die te veel focussen
op afvinklijstjes gaan voorbij aan de
kernvragen en zullen niet veiliger
worden.
NEDERLAND ICT CYBER SECURITY ZOMERONDERZOEK 2014
KENNIS IS KEY
7% 4% 8% 8%
20% 21%31%
49%
59%70%
56%
41%
14%4% 4% 1%
De klant wil secure zijn, maar
weet niet wat dat inhoudt
De kennis over
securityvraagstukken bij
klanten in het algemeen stijgt
de afgelopen 3 jaar
Private klanten hebben meer
kennis over security dan 3
jaar geleden
Publieke (overheid) klanten
hebben meer kennis over
security dan 3 jaar geleden
Zeer oneens Oneens Neutraal Eens Zeer mee eens
WEET DE KLANT WAT HIJ WIL ALS HET OM SECURITY GAAT?
27%3%
52%
7%
27%21%
14%
37%
32%
30%
7%
49%35%
42%
7% 3% 7%
Klanten zijn zelf niet
verantwoordelijk voor goede
security met de aangekochte
ICT, dit ligt volledig bij de
leverancier
Klanten stellen vaak de
verkeerde eisen bij security,
ze weten niet waarop ze
moeten letten
Klanten zijn niet bereid om te
betalen voor security, het is
geen budgetprioriteit
Klanten staren zich blind op
certificeringen
Zeer oneens Oneens Neutraal Eens Zeer mee eens
WAAR LIGT DE VERANTWOORDELIJKHEID EN LETTEN KLANTEN OP DE JUISTE ZAKEN?
1,4% 5,6% 9,9%2,8% 2,8%
47,9%49,3%
18,3%8,5%
22,5%26,8%
63,4%
56,3%
23,9%12,7%14,1%
32,4%
1,4%
Opleiding wordt belangrijker voorgebruikers
Opleiding wordt belangrijker voor ICT-professionals
Security wordt een te grootonderwerp, waarop we geen antwoord
hebben
Het denken over cyber security zalbelemmerend werken in nieuwe
ontwikkelingen/innovatie
Zeer onwaarschijnlijk Onwaarschijnlijk Neutraal Waarschijnlijk Zeer waarschijnlijk
TOEKOMSTVERWACHTINGEN
1
http://www.nederlandict.nl/Files/TER/Tien_cyber_sec
urity_vuistregels_voor_bestuurders_en_ondernemers.
pdf 2
http://www.bundesregierung.de/Content/DE/_Anlage
n/2013/2013-12-17-
koalitionsvertrag.pdf?__blob=publicationFile
2
1% 1% 6% 3%1%13% 1%1%
27%
6%4%
8%
55%
38%
54%34% 31%
42%
20%
41%55% 58%
Voorlichting, klanten en
burgers
Voorlichting aan ICT
bedrijfsleven hoe
security toe te passen
Actief informatie delen
met bedrijven over
risico's en
kwetsbaarheden
Cybercriminelen stevig
aanpakken
Het beleid moet
vooruitstrevend zijn,
gericht op de wereld
van morgen
Geen mening Totaal onbelangrijk Onbelangrijk Neutraal Belangrijk Zeer belangrijk
NEDERLAND ICT CYBER SECURITY ZOMERONDERZOEK 2014
De overheid heeft volgens het ICT-
bedrijfsleven naast voorlichting nog een
aantal duidelijke rollen. Zo zou
cybercriminaliteit volgens ICT-bedrijven
steviger aangepakt moeten worden, zodat
de pakkans omhoog gaat. Een meerderheid
ziet echter niets in het overheidsplan om
‘terug te hacken’. Slechts 21 procent vindt
dat de overheid zelf mag inbreken op
systemen om cybercriminelen tegen te
houden. Verder vinden ICT-bedrijven het
belangrijk dat beleid meer in de pas loopt
met de voortdurende innovatie die op het
gebied van ICT en cyber security
plaatsvindt.
Uit het onderzoek blijkt dat ICT-bedrijven
zowel de politiek als de overheid zichtbaar
vinden op dit gebied. Eén derde van de
ICT-bedrijven is echter wel van mening dat
waar wet- en regelgeving omtrent cyber
security nodig is, deze beter moet worden
vormgegeven. Groot risico bij wetgeving op
cyber security is dat deze vooral
symbolische waarde krijgt en in realiteit
maar beperkt bijdraagt veiligheid.
BELANGRIJKE ROL OVERHEID
Uit het onderzoek blijkt dat op het
gebied van voorlichting om
bewustwording te krijgen een
nadrukkelijke inzet van de overheid
wordt verwacht. 98 procent stelt dat de
overheid een rol heeft in de
voorlichting aan overheidsorganisaties,
bedrijven en burgers.
Nederland ICT draagt bij aan
bewustwording over cyber security,
zowel bij haar eigen achterban als bij
organisaties die de producten en
diensten van ICT-bedrijven afnemen.
Zo bracht Nederland ICT de ’10
vuistregels voor cyber security’ uit,
waaraan bestuurders en ondernemers
kunnen toetsen of er voldoende kennis
over cyber security aanwezig is in
hun organisatie.
Op www.beschermjebedrijf.nl kunnen
MKB-bedrijven een quick scan doen,
waarmee zij inzicht krijgen in de risico’s
voor hun bedrijfsvoering. Voor ICT-
bedrijven biedt de branchevereniging
een checklist aan over incidentrespons
& communicatie. Daarnaast is cyber
security een terugkerend onderwerp bij
veel van de bijeenkomsten van
Nederland ICT, zoals bij masterclasses
cyber security die vorig jaar werden
gegeven.
BEWUSTWORDING ROL OVERHEID IN CYBER SECURITY
1%17%
6%
24%
1%
1%
1%7%
3% 24%
6%
13%
23%
28% 24%48%
38%
32%30%
30%18%
8%17%
Cyber security begint in
het onderwijs
Het kennisniveau is te
laag bij de overheid
Het bedrijfsleven kijkt
nog teveel naar de
overheid voor
oplossingen
Er is te weinig budget
beschikbaar bij de
overheid om echte
problemen aan te pakken
Geen mening Zeer oneens Oneens Neutraal Eens Zeer mee eens
CYBER EN OVERHEID
6%18% 21%
34%17%
4%
Geen mening Zeer oneens Oneens Neutraal Eens Zeer mee eens
“DE OVERHEID MOET ZELF OP SYSTEMEN KUNNEN INBREKEN OM
CYBERCRIMINELEN TEGEN TE HOUDEN”
7%
23%
8%
13%
32%
7%
4%
6%
Ander antwoord
Kan ik niet beoordelen
Niet zichtbaar
Zijn goed zichtbaar, maar alleen bij
incidenten
Zijn vaak zichtbaar, maar beleid /
wet en regelgeving moet beter
worden vormgegeven
Zijn vaak zichtbaar, vragen vaak
aandacht ervoor, maar ik weet niet
goed bij wie ik waarvoor terecht kan
voor informatie
Zijn vaak zichtbaar en zijn goed
bezig
Zijn vaak zichtbaar, informatie
hierover is ook makkelijk te vinden
HOE ZICHTBAAR VINDT U DE OVERHEID
OP CYBER SECURITY?
3
14%4%
54%
7%
15%
51%
15%
38%
1%
Cybercriminelen zijn nog moeilijker te pakken
dan criminelen, dat kan alleen maar door samen
te werken
Cyber security is primair de verantwoordelijkheid
van de overheid
Zeer mee eens
Eens
Neutraal
Oneens
Zeer oneens
NEDERLAND ICT CYBER SECURITY ZOMERONDERZOEK 2014
Cyber security vraagt een samenspel
van bedrijfsleven en overheid:
cybercriminaliteit is van een andere
orde dan andere vormen van
criminaliteit, waardoor samenwerking
volgens 89 procent nodig is. 60 procent
van de ICT-bedrijven vindt dat cyber
security niet primair bij de overheid kan
worden neergelegd. Dat is goed te
verklaren, want uiteindelijk zijn de
private sector en overheid samen
verantwoordelijk om te investeren in
cyber security.
94 procent van de deelnemende ICT-
bedrijven geeft wel aan dat de overheid
actiever informatie moet delen met
bedrijven over risico’s en
kwetsbaarheden. Dit is immers ook een
voorwaarde om samen te werken aan
cybercrimebestrijding. 96 procent vindt
dan ook dat Nederland ICT als
vertegenwoordiger van de branche
moet meedenken met de overheid om
goed cyber security-beleid te
ontwikkelen. Dat is de reden dat
Nederland ICT met de overheid
samenwerkt aan de Nationale Cyber
Security Strategie. Ook zit Nederland
ICT-voorzitter Bart Hogendoorn in de
Cyber Security Raad, dat het kabinet
adviseert op cyber security. Binnen
Nederland ICT is de adviesgroep cyber
security een gesprekspartner voor
overheid, gebruikersorganisaties en
vitale sectoren. Door actief samen te
werken, samen problemen te
analyseren en oplossingen te bedenken,
krijgt de overheid ook meer inzicht in
wat de markt aan kennis al aanbiedt.
Bedrijven zien hierbij een duidelijk
belang om Nederland digitaal veilig te
maken en te houden.
SAMENWERKING TUSSEN
OVERHEID EN BEDRIJFSLEVEN
Een aantal keer per jaar onderzoekt
Nederland ICT de kijk van haar leden op
markt- en andere ontwikkelingen. Het
cyber security-onderzoek werd in juli en
augustus 2014 uitgevoerd door Keala
Consultancy.
Aan het onderzoek deden medewerkers
van lidbedrijven van Nederland ICT mee.
Onder de respondenten zaten onder
andere CEO’s, CFO’s en specialisten op
het gebied van cyber security.
Voor dit onderzoek is de volgende
definitie van cyber security gebruikt:
Cyber security is het streven (als
samenleving of als individueel bedrijf)
naar het voorkomen van schade door
verstoring, uitval of misbruik van ICT en,
indien er toch schade is ontstaan, het
herstellen hiervan.
OVER NEDERLAND ICT
Nederland ICT is de branchevereniging
van ruim 550 ICT-bedrijven in Nederland,
waarvan 80% tot het Midden- en
Kleinbedrijf behoort. Ook de grootste ICT-
bedrijven in Nederland zijn lid.
Nederland ICT vertegenwoordigt een
sector met een omzet van ruim €30
miljard, die werk biedt aan een kwart
miljoen mensen en bijdraagt aan 70%
van alle innovaties.
Postbus 401 | 3440 AK Woerden |
Pompmolenlaan 7 | 3447 GK Woerden
0348 49 36 36 | [email protected]|
www.nederlandict.nl| @Nederland_ICT
OVER HET ONDERZOEK CYBERCRIMINALITEIT EN OVERHEID
GEWENSTE ROL NEDERLAND ICT:
“WORKSHOPS ORGANISEREN OVER
ONTWIKKELINGEN IN CYBER SECURITY”
GEWENSTE ROL NEDERLAND ICT:
“NETWERKFUNCTIE; VERBINDEN VAN
BEDRIJVEN MET KENNIS VAN CYBER
SECURITY”
GEWENSTE ROL NEDERLAND ICT:
“MET DE OVERHEID MEEDENKEN VOOR
GOED CYBER SECURITY-BELEID”
0% 4%
20%
58%
18% Totaal onbelangrijk
Onbelangrijk
Neutraal
Belangrijk
Zeer belangrijk
0% 3%
11%
68%
18% Totaal onbelangrijk
Onbelangrijk
Neutraal
Belangrijk
Zeer belangrijk
0%0% 4%
70%
25%Totaal onbelangrijk
Onbelangrijk
Neutraal
Belangrijk
Zeer belangrijk
0% 1%
28%
52%
18% Totaal onbelangrijk
Onbelangrijk
Neutraal
Belangrijk
Zeer belangrijk
GEWENSTE ROL NEDERLAND ICT:
“VOORLICHTING OVER WAT ER SPEELT IN
DEN HAAG”
4