ICT Barometer over cybercrime

Transcriptie

1 ICT Barometer over cybercrime Jaargang maart

2 Inhoudsopgave Introductie 3 Management summary 5 Hoe afhankelijk zijn organisaties van ICT 6 Welke maatregelen nemen de ondervraagden om ICT te beveiligen 8 Van welke cybercrime activiteiten hebben organisaties last 10 Welke schade ondervinden de geënquêteerden als gevolg van cybercrime 16 Schadelast op jaarbasis zeer aanzienlijk 18 Welke acties nemen organisaties in het geval van cybercrime 19 Wat zijn redenen om geen aangifte te doen van cybercrime 20 Welke nieuwe technieken lijken een veiligheidsrisico met zich mee te brengen 22 Hoe voorkomen organisaties dat gevoelige informatie uitlekt 23 Welke maatregelen nemen organisaties om schade door cybercrime te voorkomen 24 Heeft u vertrouwen in de eigen ICT-beveiliging 26 Contactgegevens 29 Verantwoording 30 Over Ernst & Young 31 2

3 ICT Barometer over cybercrime Introductie De samenleving ondervindt steeds meer overlast als gevolg van cybercrime. Ernst & Young doet voor de zesde keer onderzoek naar dit verschijnsel en daaruit blijkt dat de omvang van het probleem voortdurend toeneemt. Tevens groeit de afhankelijkheid van ICT gestaag. Terwijl in 2006 nog 19 procent van de bedrijven aangaf dat hun organisatie volledig stil staat zonder ICT, ligt dit percentage in op 39 procent, dit is een stijging van 100 procent in 5 jaar. Dat er wat moet gebeuren is duidelijk. Uit dit onderzoek blijkt dat filtersystemen, wachtwoordprotocollen, strikte toegangsprocedures voor systemen en data de top-3 vormen van maatregelen in de strijd tegen cybercrime. Omdat dit in feite basisvoorzieningen zijn, wekt het bij Monique Otten, partner IT Risk and Assurance bij Ernst & Young, verbazing dat deze maatregelen niet veel breder worden toegepast. Zeker als je daarbij in ogenschouw neemt dat in vergelijking met een jaar eerder het gebruik van filtersystemen naar 4 procentpunten is gedaald en het hanteren van strikte toegangsprocedures zelfs naar 9 procentpunten is teruggelopen. Vorig jaar is er al geconstateerd dat bedrijven hun beveiliging tegen cybercrime niet op orde hebben en nu is het beeld zelfs nog slechter. Hoewel spam en malware iets zijn afgenomen, zijn deze virussen en spyware nog steeds de meest genoemde cybercrime activiteiten die schade veroorzaken. Ook het komende jaar verwachten de ondervraagde managers het meeste last te hebben van deze cybercrime activiteiten. Het is dus van cruciaal belang om in ieder geval de basismaatregelen tegen cybercrime te treffen, zegt Monique Otten. Dat actie geboden is laten de onderzoeksresultaten naar de aangerichte schade door cybercrime zien. 35 procent van de ondervraagde managers zag in het afgelopen jaar de financiële schade, schade voor eigen medewerkers, imago/reputatieschade, verlies van klanten en kostenposten vanwege juridische consequenties op zich afkomen. Eén op de vijf ondervraagde bedrijven (eenmanszaken uitgezonderd) leed in 2010 financiële schade als gevolg van cybercrime. Dat het probleem buitengewoon ernstig is, staat als een paal boven water, zegt Monique Otten. 3

4 ICT Barometer over cybercrime Er is ook goed nieuws. In het najaar van 2010 kondigde minister Opstelten van Veiligheid en Justitie aan dat zeer ondermijnende criminaliteit zoals cybercrime de komende jaren harder wordt aangepakt. De minister heeft woord gehouden. Op 22 februari jongstleden presenteerde hij de Nationale Cyber Security Strategie. De strategie bevat een integrale aanpak van cybercrime. Overheid en bedrijfsleven gaan schouder aan schouder samenwerken om de weerbaarheid tegen ICT-verstoringen en cyberaanvallen te vergroten. Daarvoor wordt een Cyber Security Raad opgericht waarin alle relevante partijen van de overheid en het bedrijfsleven vertegenwoordigd zijn. Daarnaast komt er een Nationaal Cyber Security Centrum (NCSC). In dat Centrum komen de partijen bij elkaar om (dreigings)informatie, kennis en expertise uit te wisselen en te delen. Zo ontstaat één adres op dit terrein voor overheid én bedrijfsleven. Het Nationaal Cyber Security Centrum moet op 1 januari 2012 operationeel zijn. De snelle opmars van de social media en technieken als cloudcomputing stijgen flink op de ranglijst van technologieën die managers zorgen baren. Zij zijn vooral bang voor het uitlekken van vertrouwelijke informatie (51 procent) en aantasting van het bedrijfsimago (41 procent). Uit beveiligingsoogpunt maken de managers zich het meeste zorgen over de risico s verbonden aan het gebruik van removable media, en draadloze netwerken. Desalniettemin verdubbelt het percentage managers dat cybercrime als een interne bedreiging beschouwt naar 13 procent. Otten: Daaruit blijkt een grotere mate van bewustwording. Want de echt grote problemen hebben veelal een interne oorzaak, al dan niet veroorzaakt door social media. Externe bedreigingen, zoals spam kunnen buitengewoon vervelend zijn, maar er zijn genoeg beveiligingsmaatregelen die er bescherming tegen kunnen bieden. Voor kwaadwillenden in de organisatie zelf, zijn er tal van mogelijkheden om ellende van uiteenlopende aard te veroorzaken. In dat verband omschrijft ze het gegeven dat maar liefst 8 procent van de ondervraagden meldt dat hun bedrijf de afgelopen twaalf maanden is getroffen door diefstal van klantgegevens of bedrijfsinformatie door (ex-)werknemers als ronduit schokkend. Met dit onderzoek van de ICT Barometer brengt Ernst & Young de actuele trends op het gebied van cybercrime sinds 2002 in beeld. De gekozen thema s en deelonderwerpen van dit onderzoek zijn tot stand gekomen op basis van vraagstukken en dilemma s die leven bij cliënten van Ernst & Young en de gebruikers van Al sinds 1995 kiest Ernst & Young er voor om belangrijke vraagstukken en dilemma s op het gebied van het gebruik en de inzet van ICT in Nederland te onderzoeken. Ernst & Young vindt het belangrijk om de op die manier verkregen kennis en inzichten te delen door middel van openbaar beschikbare onderzoeksresultaten en analyses. Het stelt bedrijven en instellingen in staat hun eigen positie te bepalen ten aanzien van het onderzochte thema. 4

5 ICT Barometer over cybercrime Management summary 43 procent van de zeshonderd ondervraagde Nederlandse managers zegt dat de overlast van cybercrime toeneemt (2010: 42 procent) terwijl slechts 5 procent vindt dat de situatie is verbeterd (2010: 8 procent). 53 procent van de ondervraagde bedrijven die directe financiële schade hebben opgelopen, noemen schadebedragen van minimaal tot maximaal procent van de ondervraagde bedrijven die directe financiële schade hebben opgelopen, geven schadebedragen op van en meer. Dit zijn bedrijven met meer dan 500 werknemers. Hoewel iets afgenomen, zijn spam en malware (virussen en spyware) nog steeds de meest genoemde cybercrime activiteiten die schade veroorzaken. Ook het komende jaar verwachten de ondervraagde managers dat ze daar het meeste last van hebben. Filtersystemen (69 procent), wachtwoordprotocollen (54 procent) en strikte toegangsprocedures voor systemen en data (48 procent) vormen de top-3 van maatregelen in de strijd tegen cybercrime. Het percentage managers dat cybercrime vooral als een interne bedreiging beschouwt, verdubbelt naar 13 procent. Er lijkt sprake te zijn van een grotere bewustwording van het interne risico. Maar liefst 8 procent van de ondervraagden meldt dat hun bedrijf de afgelopen twaalf maanden is getroffen door diefstal van klantgegevens of bedrijfsinformatie door (ex-)werknemers. De ondervraagde managers maken zich het meeste zorgen over risico s verbonden aan het gebruik van removable media, en draadloze netwerken. Relatief nieuwe verschijnselen als cloud computing en het gebruik van social media stijgen flink op de ranglijst van technologieën die managers zorgen baren. Respondenten zijn vooral bang voor het uitlekken van vertrouwelijke informatie (51 procent) en aantasting van het bedrijfsimago (41 procent). Overigens ziet 17 procent van de ondervraagden geen enkel risico. 5

6 Hoe afhankelijk zijn organisaties van ICT? Hoe belangrijk is ICT voor uw organisatie? Onze organisatie staat volledig stil zonder ICT Onze organisatie is in grote mate afhankelijk van ICT 39% 36% 46% 46% 2010 Onze organisatie is in beperkte mate afhankelijk van ICT 13% 14% Onze organisatie is niet afhankelijk van ICT 1% 3% De mate waarin bedrijven afhankelijk zijn van ICT groeit nog steeds. Nog slechts 1 procent zegt geheel onafhankelijk van ICT een bedrijf uit te kunnen oefenen (het gaat om organisaties met maximaal twintig werknemers). 85 procent van de ondervraagden zegt in belangrijke mate afhankelijk te zijn van ICT, waarbij het aantal organisaties dat aangeeft volledig stil te staan zonder ICT jaarlijks groeit. Hoe belangrijk is ICT voor uw organisatie? (naar de sectoren) 100% 80% 83% 85% 85% 88% 85% 82% 81% 90% 87% % 60% 40% 20% 0% totaal productie/ industrie handel/ distributie overheid/ not-for-profit dienstverlening Het belang van ICT geldt voor alle branches in ongeveer gelijke mate. Opvallend is wel dat de sector handel/distributie een behoorlijke inhaalslag heeft gemaakt. Vorig jaar bleek slechts 69 procent van de ondervraagde managers in handel/distributie in (zeer) grote mate afhankelijk te zijn van ICT. Nu is dat percentage met 85 veel meer marktconform. 6

7 Hoe belangrijk is ICT voor uw organisatie? (naar bedrijfsomvang) 100% 80% 83% 85% 76% 77% 82% 92% 95% 94% % 66% 60% 40% 20% 0% totaal 1-19 werknemers werknemers werknemers 500+ werknemers Grote bedrijven zijn sterker afhankelijk van ICT dan kleine bedrijven. Dat het percentage bij de allergrootste bedrijven, die evident (bijna) niet zonder ICT zouden kunnen bestaan, niet 100 procent bedraagt is opmerkelijk. Dit zou veroorzaakt kunnen worden door het relatieve belang dat ondervraagde managers eraan toekennen. 7

8 Welke maatregelen nemen de ondervraagden om ICT te beveiligen? Heeft uw organisatie de afgelopen 12 maanden geïnvesteerd in de volgende maatregelen op het gebied van ICT beveiliging? Voldoen aan compliance eisen zoals Wet bescherming persoonsgegevens (WBP) 44% Implementatie of verbetering van Information Security Incident Management processen of procedures Implementatie of verbetering van virtualisatie technieken 42% 42% Implementatie of verbetering van Identity & Access Management (IAM) Implementatie of verbetering van processen of technieken ten behoeve van de preventie van het uitlekken van vertrouwelijke gegevens (data leakage prevention) 41% 40% Security awareness training voor het personeel 32% Implementatie van standaarden zoals ISO 27002:2005 (NEN7510 specifiek gezondheidszorg) 16% Andere maatregelen op het gebied van ICT- beveiliging 46% In algemene zin is er in het afgelopen jaar meer evenwichtig geïnvesteerd in beveiligingsmaatregelen dan een jaar eerder, toen het beeld grilliger was. Dit kan gezien worden als een positieve ontwikkeling: de combinatie van het tegelijkertijd investeren in maatregelen op het gebied van proces en techniek is het meest krachtig. De implementatie van standaarden als beveiligingsmaatregel lijkt echter uit de gratie. Dit jaar zegt 16 procent van de ondervraagde managers hierin te hebben geïnvesteerd, terwijl een jaar eerder nog 31 procent aankondigde dat te gaan doen. In zijn algemeenheid zien we dat de bestedingen aan diverse vormen van ICT-beveiliging toenemen. Opvallend is de stijging in de besteding aan virtualisatietechnieken. Vorig jaar zei 30 procent van de ondervraagde managers hierin te investeren, nu is dat 42 procent. Andere maatregelen op het gebied van ICT-beveiliging hadden onder andere betrekking op firewalls, antivirusprogramma s, websecurity, back-up faciliteiten en het up-to-date houden van software en de infrastructuur. 8

9 En verwacht uw organisatie de komende 12 maanden minder, evenveel of meer te investeren in ICTbeveiliging? Implementatie of verbetering van virtualisatie technieken Andere maatregelen op het gebied van ICT-beveiliging Security awareness training voor het personeel Implementatie of verbetering van processen of technieken ten behoeve van de preventie van het uitlekken van vertrouwelijke gegevens Voldoen aan compliance eisen zoals Wet bescherming persoonsgegevens (WBP) Implementatie of verbetering van Identity & Access Management (IAM) Implementatie van standaarden zoals ISO 27002:2005 (NEN7510 specifiek gezondheidszorg) Implementatie of verbetering van Information Security Incident Management processen of procedures 45% 45% 10% 25% 55% 20% 23% 55% 23% 21% 72% 7% 21% 60% 18% 18% 16% 32% 55% 13% 70% 73% 9% 14% meer even veel minder Ook voor het komende jaar verwacht men per saldo meer uit te gaan geven aan ICTbeveiliging. De verschuivingen in verwachte investeringen in beveiligingsmaatregelen zijn marginaal. Alleen de implementatie van standaarden als beveiligingsmaatregel heeft fors aan populariteit ingeboet van een verwachte 31 procent vorig jaar naar 18 procent nu. In feite kan men stellen dat de verwachting is aangepast aan de werkelijke situatie. 9

10 Van welke cybercrime activiteiten hebben organisaties last? Is cybercrime naar uw mening voornamelijk een interne of externe bedreiging? De grootste dreiging komt van buiten de organisatie 63% 73% 2010 De grootste dreiging komt vanuit de organisatie zelf De dreiging van buiten de organisatie is even groot als de dreiging vanuit de organisatie zelf 13% 7% 23% 20% Deze cijfers wijzen uit dat er sprake is van een grotere mate van bewustwording. De meerderheid van de ondervraagde managers ziet cybercrime vooral als een externe bedreiging. Het percentage managers dat het voornamelijk als interne bedreiging beschouwt, is nagenoeg verdubbeld. In de praktijk blijkt dat vaak de echt grote problemen veelal een interne oorzaak hebben. Externe bedreigingen, zoals spam, kunnen buitengewoon vervelend zijn, en komen helaas nog steeds veel voor. Desalniettemin zijn er genoeg beveiligingsmaatregelen te treffen die er bescherming tegen bieden. Voor kwaadwillenden in de organisaties zelf zijn er tal van mogelijkheden om ellende van uiteenlopende aard te veroorzaken die bovendien enorme impact kan hebben. Hoe groot acht u de kans dat in de toekomst een terreuraanval plaatsvindt met behulp van cybercrime? Groot 22% 16% 2010 Gemiddeld Klein 41% 43% 37% 39% Dit zal nooit gebeuren 1% 1% Het aantal ondervraagden dat het realistisch acht dat er in de toekomst ooit een terreuraanval plaatsvindt met behulp van cybercrime is licht gestegen naar 63 procent. 22 procent van de respondenten bestempelt een dergelijk risico als groot; vorig jaar was dat nog 16 procent. Mogelijk speelt de forse publiciteit in het najaar van 2010 rond Stuxnet hier een rol. Dit geavanceerde computervirus was ontworpen met de bedoeling de Iraanse nucleaire faciliteiten te saboteren. Op grond van dergelijke berichten kan het besef groeien dat bijvoorbeeld de landelijke infrastructuur op het gebied van energievoorziening kwetsbaar kan zijn voor terreuraanvallen. 10

11 Externe overlast. Van welke van de onderstaande cybercrime activiteiten (of de gevolgen daarvan) heeft uw organisatie in de afgelopen 12 maanden last gehad? Overlast door het ontvangen van grote hoeveelheden ongevraagde commerciële berichten (SPAM) Infectie van computersystemen van uw organisatie door malware (bijvoorbeeld virussen of spyware) Het via computersystemen van uw organisatie verzenden van grote hoeveelheden ongevraagde commerciële berichten (SPAM) Het via computersystemen van uw organisatie verspreiden van illegaal materiaal (bijvoorbeeld illegale software of kinderporno) Het door hackers bekladden van de homepage van uw organisatie (defacing) 6% 4% 3% 13% 17% 33% 38% 49% 52% 2010 eenmalig / vaker 15% / 85% 42% / 58% 26% / 74% 39% / 62% 73% / 27% Hoewel iets afgenomen, zijn spam en malware (virussen, spyware) nog steeds de meest genoemde cybercrime activiteiten die overlast veroorzaken. Het via de computersystemen van de organisatie verspreiden van illegaal materiaal, zoals kinderporno, deed zich het afgelopen jaar bij 6 procent van de bedrijven voor dit is een stijging van 2 procent ten opzichte van een jaar eerder. Voor dit type cybercrime kan meespelen dat het niet wordt gerapporteerd uit schaamte of zelfs in het geheel niet wordt opgemerkt. In de beantwoording op de vraag in welke frequentie deze overlast heeft plaatsgevonden valt op dat het percentage bij vaker aanzienlijk hoger ligt dan eenmalig. Vooral in grote ondernemingen is het doorgaans moeilijk vast te stellen of bepaalde typen beveiligingsincidenten (bijvoorbeeld informatie leakage) zijn opgetreden. Niet opgemerkte beveiligingsincidenten kunnen bij het management een vals gevoel van veiligheid wekken. De Information Security Manager van een internationale retailorganisatie: Het is niet eenvoudig om vast te stellen of er beveiligingsincidenten zijn geweest. Onwetendheid bij management kan leiden tot een verkeerde risicoperceptie, het is daarom essentieel dat cybercrime risico s op een goede manier aan het management worden gepresenteerd. 11

12 Phishing. Van welke van de onderstaande cybercrime activiteiten (of de gevolgen daarvan) heeft uw organisatie in de afgelopen 12 maanden last gehad? eenmalig / vaker Phishing aanval op webapplicaties van uw organisatie Het via computersystemen van uw organisatie aanbieden van nagemaakte websites waarmee (login)gegevens kunnen worden verzameld (Phishing) 13% 11% 10% 10% % / 47% 48% / 52% Manipuleren van uw medewerkers om toegang te krijgen tot uw systemen (social engineering) 8% 9% 52% / 48% Phishing aanvallen *1) op webapplicaties zijn het afgelopen jaar toegenomen, waarbij drie op de vier bedrijven aangeven dat het vaker voorkomt. Zowel de klant als de interne medewerker is daarbij met enige regelmaat het doelwit. Ook bij de banken was het in 2010 raak: 1383 rekeningen werden leeggehaald voor een bedrag van 9,8 miljoen euro. In 2009 ging het nog om 154 rekeningen waarvan 1,9 miljoen euro werd ontvreemd. *1) Phishing (het achterhalen van je identiteit via internet). Illegale ondernemingen proberen persoonlijke gegevens van je te krijgen, zoals bankrekeningnummers, creditcardnummers, wachtwoorden, pincodes, enzovoorts. Als ze deze gegevens hebben, proberen ze geld van je rekening te halen. 12

13 Diefstal. Van welke van de onderstaande cybercrime activiteiten (of de gevolgen daarvan) heeft uw organisatie in de afgelopen 12 maanden last gehad? eenmalig / vaker Intern: Fraude door misbruik van computersystemen in uw organisatie door werknemers 10% 12% % / 77% Intern: Diefstal van klantgegevens of bedrijfsinformatie door (ex-)werknemers 8% 10% 59% / 41% Diefstal van klantgegevens of bedrijfsinformatie via computersystemen van uw organisatie 5% 7% 68% / 32% Diefstal van financiële middelen via computersystemen van uw organisatie 4% 6% 76% / 24% Eén op de tien bedrijven geeft aan dat fraude heeft plaatsgevonden door misbruik te maken van computersystemen. Bij 5 procent van de bedrijven zijn klantgegevens of bedrijfsinformatie ontvreemd via de computersystemen. En maar liefst 8 procent van de ondervraagden is de afgelopen twaalf maanden getroffen door diefstal van klantgegevens of bedrijfsinformatie door (ex-)werknemers. Hoewel de percentages relatief laag zijn, is het concrete aantal bedrijven dat dit overkomt nog steeds ronduit schokkend. Zeker ook omdat veel ondervraagden zeggen dat dit vaker dan eens is gebeurd. Bijzondere aanvallen. Van welke van de onderstaande cybercrime activiteiten (of de gevolgen daarvan) heeft uw organisatie in de afgelopen 12 maanden last gehad? eenmalig / vaker Intern: Het via het netwerk van uw organisatie verspreiden of downloaden van kinderporno of het plaatsen van berichten van racistische of discriminerende aard door werknemers 3% 2% % / 100% Aanval op uw bedrijfstelefooncentrale (PABX, VOIP) 3% 50% / 50% Het via computersystemen van uw organisatie uitvoeren van een terreuraanval 3% 3% 100% / 0% Aanval op de beschikbaarheid van de computersystemen van uw organisatie (Denial of Service) 7% 10% 70% / 30% Van de ondervraagden maakt 7 procent melding van een georganiseerde aanval op de computersystemen van de organisatie. De overige cybercrime activiteiten komen slechts zelden voor. Maar als deze cybercrime activiteiten voorkomen, kan de impact enorm zijn. De 3 procent ondervraagden die te maken hebben gehad met een terreuraanval via computersystemen zijn afkomstig uit de sector dienstverlening bij bedrijven groter dan 500 werknemers. In alle gevallen ging het om een eenmalige aanval. 13

14 Hoe groot schat u de kans in dat uw organisatie in de komende 12 maanden te maken krijgt met een van de volgende cybercrime activiteiten (of de gevolgen daarvan)? Overlast door het ontvangen van grote hoeveelheden ongevraagde commerciële berichten (SPAM) 18% 35% 47% Infectie van computersystemen van uw organisatie door malware (bijvoorbeeld virussen of spyware) 10% 33% 57% Het via computersystemen van uw organisatie verzenden van grote hoeveelheden ongevraagde commerciële berichten (SPAM) 6% 24% 70% Intern: Diefstal van klantgegevens of bedrijfsinformatie door (ex-)werknemers 3% 26% 72% groot Aanval op de beschikbaarheid van de computersystemen van uw organisatie (Denial of Service) 1% 26% 73% gemiddeld Manipuleren van uw medewerkers om toegang te krijgen tot uw systemen (social engineering) 2% 23% 75% klein Ook het komende jaar verwachten de ondervraagde managers dat ze last houden van spam en malware. Dat ondervraagden het risico van een aanval op de eigen computersystemen klein achten (1 procent, vorig jaar nog 3 procent), verbaast enigszins. Er is vorig jaar immers genoeg te doen geweest over bedrijven die te maken kregen met georganiseerde aanvallen van actievoerders nadat deze bedrijven publiekelijk hun dienstverlening aan WikiLeaks hadden gestaakt. Hoe groot schat u de kans in dat uw organisatie in de komende 12 maanden te maken krijgt met een van de volgende cybercrime activiteiten (of de gevolgen daarvan)? Intern: Fraude door misbruik van computersystemen in uw organisatie door werknemers Phishing aanval op webapplicaties van uw organisatie (kwaadwillenden imiteren een webapplicatie van uw organisatie zodat (login)gegevens van slachtoffers kunnen worden verzameld) Diefstal van klantgegevens of bedrijfsinformatie via computersystemen van uw organisatie Het via computersystemen van uw organisatie aanbieden van nagemaakte websites waarmee (login)gegevens kunnen worden verzameld (Phishing) Het door hackers bekladden van de homepage van uw organisatie 2% 23% 76% 4% 19% 78% 2% 20% 78% 1% 21% 78% 21% 79% groot gemiddeld klein De kans dat deze activiteiten op het gebied van cybercrime zich voordoen, wordt door de ondervraagde managers laag of zeer laag ingeschat. 14

15 Hoe groot schat u de kans in dat uw organisatie in de komende 12 maanden te maken krijgt met een van de volgende cybercrime activiteiten (of de gevolgen daarvan)? Diefstal van financiële middelen via computersystemen van uw organisatie 1% 18% 81% Aanval op uw bedrijfstelefooncentrale (PABX, VOIP) 1% 16% 83% Het via computersystemen van uw organisatie verspreiden van illegaal materiaal (bijvorbeeld illegale software of kinderporno) 17% 83% groot Het via computersystemen van uw organisatie uitvoeren van een terreuraanval 14% 86% gemiddeld Intern: Het via het netwerk van uw organisatie verspreiden of downloaden van kinderporno of het plaatsen van berichten van racistische of discriminerende aard door werknemers 13% 86% klein De kans dat organisaties verwachten met deze cybercrime activiteiten te maken krijgen, is niet groot. Is de overlast van cybercrime activiteiten naar uw gevoel het afgelopen jaar afgenomen, gelijk gebleven of toegenomen? Neemt toe Blijft gelijk 43% 42% 52% 50% 2010 Neemt af 5% 8% Hoewel de stijging licht is, neemt de overlast veroorzaakt door cybercrime al jaren toe. 15

16 Welke schade ondervinden de geënquêteerden als gevolg van cybercrime? Welke schade heeft uw organisatie het afgelopen jaar ondervonden van cybercrime? Financiële schade 20% Schade voor eigen medewerkers 15% Imago/reputatie schade 11% Juridische consequenties 6% Verlies van klanten 1% Geen directe schade 65% Eén op de drie organisaties ondervindt directe schade als gevolg van cybercrime. 20 procent van de ondervraagde managers zegt directe financiële schade te hebben opgelopen. Ook schade voor eigen medewerkers (bijvoorbeeld de tijd die gemoeid is met schadeherstel) en imagoschade worden regelmatig genoemd. Omdat de vragen over schade dit jaar voor het eerst in het onderzoek zijn opgenomen, kan een vergelijking met eerdere jaren op dit punt niet worden gemaakt. Heeft uw organisatie het afgelopen jaar directe schade ondervonden van cybercrime? 100% 80% 60% 40% 20% 35% 24% 28% 34% 49% 0% totaal 1-19 werknemers werknemers werknemers 500+ werknemers Vooral de grote bedrijven ondervinden directe schade van cybercrime. Bijna de helft van de 500+ ondernemingen heeft het afgelopen jaar schade opgelopen. Voor de kleinste bedrijven is daarvan in bijna een kwart van de gevallen sprake. 16

17 Hoe groot was de financiële schade ongeveer? 100% 80% 60% 40% 34% 33% 20% 20% 13% 0% tot tot tot of meer Eén op de vijf bedrijven meldde directe financiële schade te hebben geleden. Die schade bedroeg in 13 procent van die gevallen meer dan een miljoen euro. Bij 34 procent bleef de schade beperkt tot een bedrag onder de tienduizend euro. De schadebedragen groter dan een miljoen euro zijn alleen geclaimd door managers bij bedrijven met meer dan 500 werknemers binnen de sector dienstverlening. 17

18 Schadelast op jaarbasis zeer aanzienlijk Omdat betrouwbaar cijfermateriaal over de jaarlijkse schade veroorzaakt door cybercrime in Nederland ontbreekt, is er op basis van de beschikbare onderzoeksgegevens getracht de geleden directe financiële schade, los van eventuele imago-, relatie- en andere schade, te kwantificeren. Eén op de vijf ondervraagde bedrijven in ons onderzoek *2) geeft aan directe financiële schade te hebben geleden door cybercrime. Van deze categorie geeft 34 procent van de bedrijven aan directe financiële schade tot ongeveer te hebben geleden. 53 procent van de ondervraagde bedrijven die directe financiële schade hebben opgelopen noemen schadebedragen van minimaal tot procent van de ondervraagde bedrijven die directe financiële schade hebben opgelopen, geven schadebedragen op van en meer. Dit zijn bedrijven met meer dan 500 werknemers. Voor onze beeldvorming is er ook gekeken naar de bedrijfsgegevens van het Centraal Bureau voor de Statistiek (CBS). In 2010 zijn er volgens het CBS in totaal bedrijven, waarvan eenmansbedrijven. Als, zoals het onderzoek uitwijst, van de resterende ondernemingen 20 procent financiële schade door cybercrime heeft ondervonden, gaat het in totaal om bedrijven. De onderzoekers durven het niet aan om door middel van extrapolatie van de onderzoeksresultaten een schadebedrag te kwantificeren. Zeker is, dat welke rekensom je ook hanteert, de schade zeer aanzienlijk moet zijn. We vroegen Daniël Jacobs, Manager Benelux Construction, Energy & Technical Risks bij ACE Europe welke schades zij zien. De grootste schades worden nu veroorzaakt door menselijke fouten van eigen of ingehuurde mensen. Vooral fouten van de eigen IT-afdeling kunnen catastrofale gevolgen hebben. De schade door hackers wordt wel aanzienlijk groter, en de frequentie neemt toe. Ik verwacht dat zich hier de komende twee jaar veel meer schadegevallen zullen voordoen. Virussen blijven onverminderd grote boosdoeners, maar gelukkig wordt 99 procent uitgeschakeld door preventiemaatregelen van onze klanten. En die ene resterende procent, stelt dat nog wat voor? Toch wel. We hebben ooit een schade van 10 miljoen US dollar uitgekeerd voor een virus in één bedrijf. Meestal beperken dergelijke schades zich overigens tot enkele tonnen, afhankelijk van het aantal computers dat men handmatig moet zuiveren. *2) Het onderzoek van de ICT Barometer wordt sinds december 2001 gehouden onder gemiddeld zeshonderd Nederlandse directeuren, managers en professionals uit het bedrijfsleven, onderverdeeld naar productie/industrie, handel/distributie, dienstverlening/ financiële instellingen en de (semi)overheid, verdeeld over alle bedrijfsgroottes. 18

19 Welke acties nemen organisaties in het geval van cybercrime? Indien uw organisatie slachtoffer is geworden van cybercrime activiteiten, welke actie heeft uw organisatie daarop ondernomen? Onderzoek in eigen beheer (bijvoorbeeld door IT afdeling of IAD) Aangifte bij politie/justitie 16% 16% 16% 65% 71% 62% Inschakelen onafhankelijk onderzoeksbureau 7% 12% 7% Geen actie 26% 25% 33% Organisaties die slachtoffer zijn geworden van cybercrime reageren daar in twee van de drie gevallen op met interne maatregelen, bijvoorbeeld een onderzoek in eigen beheer. 16 procent doet aangifte terwijl 7 procent een extern bureau inschakelt. Buitengewoon opvallend is dat maar liefst 26 procent van de bedrijven helemaal geen actie onderneemt. 19

20 Wat zijn redenen om geen aangifte te doen van cybercrime? Waarom heeft uw organisatie geen aangifte gedaan van cybercrime bij politie/justitie? We hebben het probleem in eigen beheer opgelost 53% Het probleem was niet belangrijk genoeg 49% Ik heb er geen vertrouwen in dat politie/justitie ons kan helpen 17% Het kost te veel moeite om aangifte te doen 15% Door aangifte te doen houden we geen controle meer over de verspreiding van informatie over het probleem Het is niet duidelijk waar we terecht kunnen voor aangifte 4% 4% Anders 6% Problemen die veroorzaakt zijn door cybercrime worden vaak door organisaties zelf opgelost, of werden te onbelangrijk geacht om daarvoor de politie in te schakelen. Een minderheid doet dat niet vanwege een gebrek aan vertrouwen in de autoriteiten of meent dat aangifte doen te veel tijd kost. Hoe groot is uw vertrouwen in politie/justitie voor wat betreft cybercrime bestrijding? 100% 80% 1% 1% 17% 17% 28% heel veel vertrouwen 60% tamelijk veel vertrouwen 71% 72% 59% 40% niet zo veel vertrouwen 20% 0% 12% 11% 12% helemaal geen vertrouwen In vergelijking met de beantwoording van deze vraag in 2008 en 2009 is het vertrouwen in politie en justitie in behoorlijk toegenomen. 20