Cybercriminelen zijn in het voordeel ten opzichte van bedrijven

De motivatie van cybercriminelen en die van bedrijven die zich hier tegen proberen te verdedigen verschillen uiteraard. Deze verschillen leveren voor de aanvallers duidelijke voordelen op. Daarnaast blijkt er een substantieel verschil te zijn tussen de logge structuren van grote organisaties en de vrijheid en flexibiliteit van criminele organisaties. Ook is er binnen organisaties vaak een verschil in perceptie over de daadwerkelijke implementatie van de securitystrategieën. Tot slot is er tussen executives en IT-professionals die security moeten implementeren een verschil in perceptie over additionele beloningen voor goede prestaties.

Dit blijkt uit het rapport ‘Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity’ dat door Intel Security in samenwerking met het Center for Strategic and International Studies (CSIS) is gepubliceerd. Het rapport, waarvoor wereldwijd 800 securityspecialisten uit vijf industriesectoren zijn ondervraagd, laat zien dat cybercriminelen nu in het voordeel zijn. Dit komt onder andere omdat zij makkelijk successen kunnen boeken in een dynamische ‘markt’ die zich snel ontwikkelt en waarin innovatie snel wordt beloond. De verdedigers hebben daarentegen vaak te maken met de beperkingen van een bureaucratische hiërarchie, waardoor het moeilijk is om de cybercriminelen bij te houden.

Mismatches
Verder wijst het rapport op belangrijke mismatches binnen de verdedigende organisaties. Hoewel bijvoorbeeld ruim 9 van de 10 respondenten zegt dat hun organisatie een cybersecuritystrategie heeft opgesteld, geeft minder dan de helft aan dat deze strategie ook daadwerkelijk is geïmplementeerd. Niet minder dan 83 procent van de respondenten zegt dat hun organisatie wel eens te maken heeft gehad met een cybersecurityincident.

Terwijl er voor cybercriminelen duidelijke en directe beloningen zijn voor hun ‘werk’, blijkt uit het onderzoek dat er voor de securityprofessionals slechts weinig incentives zijn. Daarnaast blijken executives veel meer vertrouwen te hebben in de effectiviteit van bestaande beloningssystemen dan hun IT-medewerkers. Zo gaf 42 procent van de mensen die cybersecurity implementeert aan dat er totaal geen incentives zijn om succesvol te zijn in hun werk, vergeleken met 18 procent van de beslissers en 8 procent van de leidinggevenden.

‘Net zo wendbaar worden als cybercriminelen’
“Dankzij de manier waarop de markt voor cybercriminelen werkt, is het heel makkelijk om daarin succesvol te zijn. Ze worden direct beloond voor innovatie en het is heel normaal om effectieve tools en methodes uit te wisselen”, zegt Wim van Campen, VP Intel Security, Noord- en Oost Europa. “Als IT- en securityprofessionals in het bedrijfsleven en bij de overheid met succes de strijd willen aangaan met de aanvallers, moeten ze net zo wendbaar zijn en net zo snel kunnen reageren. En organisaties moeten die securityspecialisten meer erkenning geven voor het werk dat ze doen.”

Andere conclusies uit het rapport zijn:

• Werknemers zien drie keer zo vaak als executives dat gebrek aan budget of mankracht zorgt voor problemen bij het implementeren van cybersecuritystrategie.
• Hoewel cybersecurityprofessionals die hun organisatie met succes helpen beschermen daarvoor graag meer waardering zouden willen zien, is 65 procent toch nog steeds gemotiveerd.
• Maar liefst 95 procent van de ondervraagde organisaties heeft te maken gehad met de gevolgen van een securityincident, waaronder uitval van operationele systemen, verlies van intellectueel eigendom, en merk- en reputatieschade. Toch meldt slechts 32 procent omzet- of winstschade. De perceptie dat een securityincident niet direct tot omzet- of winstverlies hoeft te leiden, kan bij organisaties zorgen voor een misplaatst gevoel van veiligheid.
• Bij overheidsorganisaties blijkt een cybersecuritystrategie het minst vaak volledig te zijn geïmplementeerd (38%). Respondenten uit deze sector melden ook vaker een tekort aan budget (58%) of gekwalificeerd personeel (63%) dan organisaties uit het bedrijfsleven (respectievelijk 33% en 42%).

Lichtpuntje
De auteurs van het rapport zien ook een lichtpuntje. De meeste organisaties erkennen inmiddels de ernst van het cybersecurityprobleem en zien ook de noodzaak om deze problemen te adresseren. Organisaties hebben echter meer nodig dan alleen tools om aanvallen af te slaan. Er moet gezocht worden naar zinvolle manieren om het succes van een securitystrategie en -maatregelen te meten. Ook zouden organisatiestructuren en bedrijfsprocessen beter ingericht moeten worden voor innovatie.

Het rapport komt ook met enkele aanbevelingen:

• Security-as-a-service – als tegenwicht voor de open en snel innoverende cybercrime-as-a-service markt, kunnen het outsourcen van security en het uitschrijven van open aanbestedingen zorgen voor lagere kosten en meer concurrentie tussen aanbieders. Zij moeten immers sneller innoveren om hun concurrenten voor te blijven. En heeft een aanbieder van security-as-a-service een succesvolle aanpak ontwikkeld, kunnen alle klanten van deze aanbieder daarvan profiteren, zodat meer organisaties beschermd worden.
• Sneller reageren op nieuwe lekken – wanneer organisaties sneller reageren op nieuwe kwetsbaarheden, door kwetsbare systemen sneller te patchen of te vervangen, wordt de beveiliging versterkt en wordt het de aanvallers moeilijker en kostbaarder gemaakt, omdat zij minder lang kunnen profiteren van hun innovaties.
• Samenwerken en informatie uitwisselen – door informatie over dreigingen en aanvallen sneller uit te wisselen met andere organisaties, gaan de kosten voor de verdedigers omlaag omdat zij gebruik kunnen maken van de ervaringen en methoden van anderen. Net zoals de cybercriminelen dat ook doen.
• Maak gebruik van talent uit andere landen – het toelaten van mensen uit andere landen, die zich anders wellicht aangetrokken kunnen voelen tot cybercrime, houdt potentieel talent weg uit de criminele markt. Tegelijkertijd kan hiermee het tekort aan securityprofessionals worden teruggedrongen.
• Verbeter de beloningsstructuur – zorg ervoor dat medewerkers en managers die bijdragen aan de beveiliging van de organisatie daarvoor ook een waardering ontvangen.

Onderzoeksmethode
Het onderzoek waar dit rapport op is gebaseerd, is in opdracht van Intel Security uitgevoerd door het onafhankelijke marktonderzoeksbureau Vanson Bourne. Er zijn ruim 800 respondenten ondervraagd van organisaties met 500 tot 5.000 medewerkers uit vijf industriesectoren, waaronder de financiële sector, de gezondheidszorg en de publieke sector. Daarbij zijn zowel executives ondervraagd die verantwoordelijk zijn voor cybersecurity, als technische securityexperts. De respondenten waren afkomstig uit Australië, Brazilië, Duitsland, Frankrijk, Japan, Mexico, Singapore, het Verenigd Koninkrijk en de Verenigde Staten.