88 procent van de Nederlandse IT-verantwoordelijken zegt de beveiliging van de eigen organisatie onder controle te hebben. 70 procent denkt prima zelfstandig weerstand te kunnen bieden aan cybercrime. Toch installeert 80 procent niet alle patches en updates.

Nog niet de helft neemt specifieke maatregelen om de eigen kwetsbaarheid te verkleinen. Onderzoek van Solvinity laat een forse kloof zien tussen de perceptie en de realiteit van de eigen digitale veiligheid. Solvinity liet PanelWizard onderzoek doen naar het beeld dat Nederlandse IT-verantwoordelijken hebben van de digitale weerbaarheid van hun organisaties. Het onderzoek volgt op een golf securityincidenten, van het stilleggen van thuiswerkservers vanwege onopgeloste kwetsbaarheden, tot grootschalige ransomware-aanvallen en een explosieve stijging van het aantal cybercrime-delicten, dat dit jaar voor het eerst het aantal woninginbraken overstijgt.

Patches & updates
Slechts 49 procent van de respondenten geeft aan patches en updates die leveranciers beschikbaar stellen binnen enkele dagen te installeren. 24 procent heeft daar weken voor nodig en 8 procent wacht zelfs maanden of langer. Bijna 80 procent geeft aan dat sommige patches en updates helemaal niet worden geïnstalleerd.
Wanneer wordt gevraagd naar de redenen om patches en updates soms niet te installeren, geeft 38 procent aan dit te doen wanneer het management vreest dat de business erdoor in gevaar zou kunnen komen. Bij 13 procent van de organisaties houden eindgebruikers updates tegen omdat ze geen verandering willen. 16 procent geeft aan dat de IT-afdeling onvoldoende capaciteit heeft om zich met patches en updates bezig te houden.
In andere gevallen staat de gebruikte IT de veiligheid in de weg. 20 procent van de respondenten geeft aan dat bepaalde leveranciers hun gebruikers niet toestaan software van derden verder te updaten dan een bepaalde versie. Doen ze dat toch, dan vervalt bijvoorbeeld de ondersteuning. 15 procent geeft aan dat bepaalde hardware niet overweg kan met hogere softwareversies en 9 procent geeft aan dat hun licenties hen niet toestaan bepaalde software verder te updaten.

Shadow IT
18 procent van de respondenten sluit uit dat binnen de organisatie software, hardware of diensten worden gebruikt waarvan de respondenten weten dat ze niet veilig zijn. Waar die zekerheid vandaan komt is onduidelijk. Door de infrastructuur actief te scannen is het wel mogelijk dergelijke ‘Shadow IT’ snel te detecteren en daar direct passende actie op te ondernemen – maar dat doet slechts 23 procent van de respondenten. 14 procent haalt hooguit zo nu en dan de bezem door het netwerk. De overige 63 procent negeert in feite het probleem.
Van de respondenten geeft nog niet de helft (49 procent) aan exact te weten waar hun organisatie kwetsbaar is en daar ook gerichte maatregelen op te nemen. De overige 51 procent geeft toe niet goed op de hoogte te zijn van de eigen kwetsbaarheid, of daar in elk geval geen gerichte maatregelen op te hebben genomen.

Outsourcing
Marc Guardiola, CISO bij Solvinity, is niet direct verrast door de onderzoeksresultaten. “Een goed cybersecuritybeleid begint bij inzicht in je eigen kwetsbaarheid. Maar veel IT-afdelingen kampen met hoge werkdruk en een tekort aan goed opgeleid personeel. Dat maakt het erg moeilijk om een realistische inschatting te maken van het eigen risicoprofiel en daar de juiste maatregelen voor te treffen.”
Uit het onderzoek blijkt dat IT-outsourcing de weerbaarheid van organisaties kan verhogen. Ruim 40 procent van de respondenten die IT in eigen beheer heeft, had voorafgaand aan het onderzoek bijvoorbeeld nog nooit gehoord van hardening (het proces waarbij de instellingen van hard- en software worden gecontroleerd op veiligheid). Bij Solvinity klanten lag dat percentage slechts op 10 procent (bij de overige Managed Service Providers gemiddeld op 15 procent.
52 procent van de respondenten met IT in eigen beheer geeft aan dat de organisatie alle medewerkers goed informeert over hoe ze veilig met IT moeten omgaan. Bij Solvinity-klanten ligt dat percentage duidelijk hoger (63 procent), maar bij andere MSPs gemiddeld juist lager (48 procent). “Een Secure Managed Service Provider voert heel bewust een op security gericht beleid”, zegt Guardiola. “Wij werken bijvoorbeeld met Continuous Hardening. Dat is een unieke manier van werken, waarbij ervaren specialisten elke aanpassing in het netwerk controleren om te zien of deze wel zo veilig mogelijk wordt doorgevoerd.”