• Share

Nieuws voor de overheid

Forum

Overheden niet voorbereid op cyberaanvallen

Meer dan de helft van alle overheidsinstellingen maakt geen bijkomend budget vrij voor informatieveiligheid, ondanks toenemende bedreigingen. De grote meerderheid, waaronder ook de Belgische instellingen, zijn onvoldoende voorbereid om met cyberaanvallen om te gaan. Het ontbreekt de helft van alle instellingen aan het inzicht dat nodig is om mogelijke gevaren te bestrijden. Dat blijkt uit de jaarlijkse Global Information Security Survey van EY, Get Ahead of Cybercrime, waarin 1825 organisaties uit 60 landen werden onderzocht.

Overheden niet voorbereid op cyberaanvallen

In België werd al tijdens de vorige legislatuur meer aandacht besteed aan het versterken van de informatieveiligheid binnen de publieke sector, onder meer door het uitbreiden van de verplichtingen inzake informatieveiligheid van overheidsinstellingen die gebruik maken van de diensten van Fedict. Ook tijdens deze legislatuur zullen er volgens de beleidsverklaringen bijkomende inspanningen geleverd worden. Zo komt er een Centrum Cyber Security Belgium, onder de verantwoordelijkheid van de Eerste Minister. De bijkomende aandacht voor informatieveiligheid gaat echter niet altijd gepaard met de nodige budgettaire middelen. De publieke sector (65%) heeft wereldwijd onvoldoende budget om de zwakke plekken in zijn informatiebeveiliging beter te verdedigen, terwijl de gevaren toenemen. Die komen volgens de respondenten vooral van hacktivisten (62%), criminele bendes (59%) en eigen personeel (49%).

 

Betere voorbereiding noodzakelijk

Volgens 80% van de respondenten sluit de werkelijke informatiebeveiliging van hun overheidsinstelling maar gedeeltelijk aan bij de bedrijfsdoelstellingen. De helft van de respondenten geeft aan dat hun organisatie niet in staat is om een gesofisticeerde cyberaanval te detecteren. Er lijkt ook weinig beterschap op komst. Slechts 43% van de respondenten geeft aan dat het totale budget voor informatiebeveiliging de komende 12 maanden zal stijgen, ondanks de toegenomen bedreigingen. De studie van EY toont aan dat de publieke sector zich beter moet voorbereiden op een omgeving waarin cyberaanvallen niet meer te voorkomen zijn. Kristof Dewulf, senior manager Information Security van EY: “Elke overheidsinstelling wordt vroeg of laat het slachtoffer van cybercriminaliteit. Anticiperen op cyberaanvallen is de enige manier om cybercriminelen voor te blijven. Organisaties moeten in een voortdurende staat van paraatheid verkeren als het gaat om informatieveiligheid.”

 

Gebrekkige basismaatregelen

Het tekort aan deskundige medewerkers in de publieke sector is een groot obstakel voor een adequaat informatiebeveiligingsbeleid, zegt meer dan de helft van de respondenten van de studie. Slechts 22% heeft een team van toegewijde en deskundige analisten dat zich kan toeleggen op cyberbedreigingen. Grote risico’s zijn volgens de respondenten de verouderde informatiebeveiligingscontroles en -architectuur, en de interne medewerkers.

Rolf Coucke, manager Information Security van EY: “Te veel organisaties schieten nog altijd tekort op het vlak van de basismaatregelen van cyberbeveiliging. Er is onvoldoende aandacht bij de directie en er zijn te weinig duidelijk omschreven procedures en methoden. Organisaties zullen pas een toekomstbestendige risicostrategie ontwikkelen als zij weten hoe ze op cybercriminaliteit moeten inspelen.”

 

Activeren, aanpassen en anticiperen

Cyberaanvallen kunnen verstrekkende financiële gevolgen hebben, maar ook op het vlak van reputatie en compliance ernstige schade berokkenen. Daarom moeten organisaties van een reactieve naar een proactieve aanpak overstappen en ervoor zorgen dat ze niet langer een gemakkelijk doelwit zijn voor cybercriminelen, maar een geduchte tegenstander.

Voor een solide beveiligingsprogramma zouden organisaties drie fases moeten doorlopen:

  1. Activeren: om tot een solide basis voor informatiebeveiliging te komen
  2. Aanpassen: om deze basis met de snelheid en de dynamiek van de bedrijfsvoering te laten evolueren
  3. Anticiperen: zodat cyberaanvallen tijdig ontdekt en afgeleid kunnen worden.

“Met het doorlopen van de drie fases zullen organisaties zich ontwikkelen van een makkelijk doelwit naar een meer adaptieve organisatie met een solide beveiligingsprogramma. Dan pas zal de organisatie klaar zijn voor een eventuele aanval”, zegt Kristof Dewulf van EY.

Meer informatie? Contacteer

Andy Deprez
+32 (0)477 62 78 48