Nederland besteedt minder budget aan het opsporen van en de respons op cyberincidenten dan rest van Europa

Rotterdam, 29 May 2015

Nederlandse organisaties zijn onvoldoende voorbereid op de onvermijdelijke cyber breach. Dit blijkt uit een onderzoek dat onderzoeksbureau Pierre Audoin Consultants (PAC) Ltd in opdracht van CGI (NYSE: GIB) (TSX: GIB.A), de technologische en zakelijke dienstverlener, uitvoerde onder 1800 decision makers wereldwijd, waaronder Nederland.

Het aantal cyberincidenten in Nederland verdrievoudigde in 2014 ten opzichte van het jaar ervoor. Het is onvermijdelijk dat criminelen erin zullen slagen om organisaties binnen te dringen via het internet. Nederlandse organisaties besteden in 2015 echter 83 procent van hun cyberbudget aan de preventie van cyberincidenten en slechts 17 procent aan de daadwerkelijke opsporing en de noodzakelijke respons op concrete incidenten. Hiermee loopt Nederland achter op andere Europese landen.

Nederland in vergelijking met de rest van Europa

In 2015 zal Nederland relatief minder (17%) uitgeven aan het opsporen van en de respons op cyberincidenten dan andere Europese landen zoals Duitsland en Het Verenigd Koninkrijk (20%), Frankrijk en Finland (21%) en Zweden (22%). Dit betekent niet dat Nederlandse organisaties kwetsbaarder zijn voor cyberincidenten, maar wel dat zij incidenten minder snel of minder goed kunnen identificeren en niet snel genoeg kunnen reageren met de noodzakelijke respons. De impact op de business wordt hierdoor waarschijnlijk groter.

In vergelijking met andere grotere EU landen als Frankrijk, Duitsland en Het Verenigd Koninkrijk besteedt Nederland een vergelijkbaar bedrag aan cybersecurity, gemeten als een percentage van het Bruto Binnenlands Product (BBP) of per hoofd van de bevolking. Dit betekent dat Nederland hier verhoudingsgewijs evenveel aan uitgeeft als een groot land. In vergelijking met Finland en Zweden besteedt Nederland minder aan cybersecurity. Dit terwijl deze landen een IT security markt hebben die vergelijkbaar is met de Nederlandse. Nederland zou 0.03 procent van het BBP meer moeten uitgeven aan cybersecurity om deze kloof te dichten.

Uit het onderzoek blijkt dat het percentage dat Nederlandse organisaties besteden aan het opsporen van en reageren op cyberincidenten de komende vijf jaar zal stijgen tot 20 procent. Volgens CGI zou dit gezien de mogelijke impact van een breach tenminste een derde van het cyberbudget moeten zijn.

Cyber breaches hoog op de agenda bij zowel business als IT

Cyber breaches staan zowel bij IT professionals als bij de business hoog op de agenda. Dit komt vooral doordat deze breaches een grote impact kunnen hebben op de financiële prestaties en de reputatie van organisaties. Er zijn echter belangrijke verschillen tussen IT en de business als het gaat om hoe zij zouden reageren op een breach. IT managers geven de voorkeur aan een technische oplossing door middel van geautomatiseerde security. De business ziet vooral outsourcing van incident response als de oplossing. Een verrassende uitkomst van het onderzoek is dat de business veel minder bereid is om te kiezen voor op cloud gebaseerde security functionaliteiten. Zij zien de cloud vaak, ten onrechte, als een onveilig platform.

Sectoren in kritieke infrastructuren volwassener

Sectoren in kritieke nationale infrastructuren zoals transport, energie, financiële dienstverlening en telecom zijn over het algemeen beter voorbereid op cybersecurity incidenten dan andere sectoren zoals retail, media en professionele dienstverlening. Ook voor de publieke sector zoals lokale overheid en onderwijs geldt dat deze minder volwassen is op het gebied van cybersecurity, met uitzondering van defensie. De reden hiervoor is dat sectoren met een kritieke infrastructuur vaker doelwit zijn van cyberaanvallen. De transport-, telecom- en energiesector worden het meest aangevallen (36%) gevolgd door de financiële dienstverlening (26%). Organisaties zonder kritieke infrastructuur hebben echter vaker (38%) de intentie om hun cyberbudget in de komende twee jaar te verhogen in vergelijking met bedrijven met een kritieke infrastructuur (30%). De kloof lijkt zich dus te dichten.

Sake Algra, Senior Vice President en General Manager van CGI Nederland: “De dreiging van cyberincidenten neemt toe en Nederlandse organisaties blijken onvoldoende voorbereid op de onvermijdelijke cyber breach. Wij helpen onze klanten niet alleen met het voorkomen van cyber attacks, maar ook om mogelijke breaches op te sporen en tijdig in te grijpen. Vanuit onze 10 Security Operations Centers wereldwijd monitoren en verhelpen wij incidenten voor onze klanten 24/7. Daarbij kijken we naar ongebruikelijke informatiestromen en afwijkende gedragspatronen in hun netwerk, security, servers, databases en applicaties. Verdachte gebeurtenissen brengen we in beeld, zodat een gepaste reactie mogelijk wordt. Al dan niet geslaagde aanvallen sporen we op, analyseren we en verhelpen we met de noodzakelijke respons. Maandelijks handelt CGI zo al meer dan 550 miljoen cyberaanvallen af.”

Over CGI

CGI Group Inc, opgericht in 1976, is de op vier na grootste onafhankelijke zakelijke en technologische dienstverlener ter wereld. Met ongeveer 68.000 professionals in kantoren en wereldwijde service centra in Amerika, Europa, Azië en Oceanië biedt CGI een uitgebreide dienstenportfolio waaronder high-end bedrijfs- en IT-consulting, systeemintegratie, applicatieontwikkeling en –onderhoud, beheer van infrastructuur evenals een breed scala van eigen oplossingen. De op jaarbasis berekende omzet van CGI is ruim C$ 10 miljard met een orderportefeuille van C$ 20 miljard. CGI is beursgenoteerd op de TSX (GIB.A) en de NYSE (GIB) en is opgenomen in de FTSE4Good Index. Website: www.cginederland.nl.