Meer dan de helft van de bedrijven wil inzicht in kwetsbaarheden
Meer dan de helft van de Nederlandse bedrijven (59%) wil inzicht krijgen in IT-kwetsbaarheden. Bedrijven verkiezen om deze informatie te ontvangen van hun IT-dienstverlener of een overheidsinstantie. Ze waarderen vooral een duidelijke risicoschatting en praktische adviezen om digitale kwetsbaarheden aan te pakken. Ondanks deze grote behoefte, krijgt niet elk bedrijf momenteel de benodigde informatie, terwijl cyberdreigingen blijven toenemen.
Dit blijkt uit recent onderzoek van het Digital Trust Center, een onderdeel van het ministerie van Economische Zaken, uitgevoerd door onderzoeksbureau Motivaction. Een derde van de bedrijven ontvangt geen informatie over kwetsbaarheden. Vooral zzp'ers (61%) ontvangen deze informatie niet. Bij mkb-bedrijven ligt dit percentage op 14%, en bij grote bedrijven met meer dan 250 medewerkers ontvangt slechts 4% geen kwetsbaarhedeninformatie.
Bedrijven ontvangen verschillende soorten informatie
Informatie over kwetsbaarheden in IT-systemen of applicaties kan variëren in inhoud en vorm. Bedrijven die deze informatie ontvangen, krijgen vaak beveiligingsadviezen (36%) en dreigingsbeelden (26%). Ook CTI-rapportages, CVE, CVSS en IoC's worden gebruikt om op de hoogte te blijven van mogelijke kwetsbaarheden in software en hardware. Een derde van de bedrijven weet echter niet welk soort informatie ze ontvangen.
Van de bedrijven die wel kwetsbaarhedeninformatie ontvangen, komt deze meestal via een IT-dienstverlener (28%), hun eigen netwerk of platform (21%), of een overheidsinstantie (9%). Binnen die laatste groep ontvangt 42% deze informatie van het NCSC en 34% van het DTC.
Wanneer bedrijven wordt gevraagd van wie ze deze informatie het liefst ontvangen, geeft 43% de voorkeur aan een IT-dienstverlener. 30% verkiest een overheidsinstantie zoals het NCSC of DTC, en eenzelfde percentage noemt hun eigen netwerk of cyberplatform als voorkeurskanaal. 14% van de bedrijven wil de informatie van een CERT ontvangen.
Relevante informatie
Bedrijven willen vooral informatie over kwetsbaarheden die direct relevant zijn voor hun eigen organisatie. 26% is geïnteresseerd in kwetsbaarheden die impact hebben op hun eigen systemen, terwijl 16% informatie wil over alle bekende kwetsbaarheden. 15% wil vooral geïnformeerd worden over kwetsbaarheden met een hoog misbruikrisico en 12% over die met een hoog schadepotentieel.
Bedrijven die kwetsbaarhedeninformatie willen ontvangen, zijn vooral geïnteresseerd in een duidelijke beschrijving van de geadviseerde acties om de kwetsbaarheid te verhelpen (47%), een duidelijke beschrijving van het risico (39%), en factoren die de relevantie van de kwetsbaarheid voor hun organisatie bepalen (37%). Ook willen ze weten welke IT-systemen getroffen worden (32%) en een situatiebeschrijving (29%). 20% wil informatie die makkelijk geautomatiseerd kan worden in hun werkwijze, en 19% wil een score die helpt bij het inschatten van de ernst en het risico van een kwetsbaarheid.
Bijna de helft (45%) van de bedrijven wil kwetsbaarhedeninformatie direct ontvangen zodra de dreiging bekend is. 44% geeft de voorkeur aan periodieke updates, variërend van maandelijks tot dagelijks. Bedrijven verkiezen e-mail als het gaat om het ontvangen van kwetsbaarhedeninformatie. Bijna een kwart wil ook gebeld worden, en eenzelfde percentage wil deze informatie via een webportal ontvangen.
Meer over Security
Over Wouter Hoeffnagel
