Europa zal de komende maanden en jaren zeer veel geld investeren in Cybersecurity. De bedrijven die deel uitmaken van de ‘supply chain’ van NIS2 essentiële bedrijven zullen ook niet ontsnappen aan de investeringsronde. Maar eerlijk gezegd, als Cybersecurity adviseur voor Kmo’s begrijp ik niet goed dat de middelgrote KMO’s hun kop in het zand blijven steken. De hacker wegdenken is een mindtrick van Jedi’s maar onze door tegenslagen geharde managers moet toch beter weten.
ENISA rekent.
In het rapport (waarvan u hieronder via de link nog meer details en inzicht krijgt) vindt u de volgende cijfers betreffende de extra investeringen die operatoren, banken, de energiesector en de gezondheidssector en anderen deden om NIS1 compliant te zijn:
De grote operatoren investeren 120.000€ in CTI (Cyber threat Intelligence) ten opzichte van KMO’s die gemiddeld 5.500 € besteden.
Operatoren met een Insourced SOC spenderen dan weer 350.000 € hetgeen 72% meer is dan de hierboven vermelde hybride operatoren.
Eigenaardig genoeg zijn de gespendeerde bedragen van NIS in hun IT budget gedaald van 7.7% naar 6.7%
Ergens is die daling logisch. Een goed uitgetekend IT beleid gebouwd op een goed ISMS framework, met een goede incidenthandling en risicobeheer, gekoppeld aan ZERO trust tools zoals iAM dalen jaarlijks in kostprijs. Logisch aangezien de betrokken managers, mede door de vergaderingen waar oplossingen voor ICT incidenten gekaderd worden, ook bewuster worden en dit reflecteren op hun medewerkers.
Waar zit de hacking angel
In 69% van de cybersecurity incidenten zit de angel in software en hardware. Ook in de medische sector blijven aangeboden applicaties een bron van hacking en datadiefstal. Een bedenking. Recent kwam Microsoft in Duitsland in dit opzicht ook in een slecht daglicht omdat gegevens die onder GDPR het label ‘gevoelige gegevens van minderjarigen’ krijgt uitgelezen kunnen worden. Ook de klungelige opzet van Microsoft tools zoals PowerBI geeft hackers een snelweg tot waardevolle bedrijfsgegevens. Het is zoals altijd. Iedereen kan PowerBi installeren maar weinigen weten hoe dit op een cyberveilige manier moet.
We verzekeren ons wel
Een verzekering zal je nooit een een polis aanbieden zonder eerst een grondige screening van je IT mogen uit te voeren. Als kenners van het Pentest gebeuren stel ik me hier toch wel vragen bij. Gebeurt dit op eenzelfde hoog niveau zoals dit gebeurt door ons Pentest team of is het meer een snelle verplichte oefening. Nu ja dat zal u als bedrijfsleider misschien worst wezen. Tot de dag dat u gehackt wordt natuurlijk en men plotseling uw vordering te hoog en niet relevant vindt. Wie daar een verplichte expertise voor zal doen is me vervolgens ook een vraag.
De cijfers liegen er dan ook niet om:
Slechts 5% van de KMO(s hebben een cybersecurity verzekering.
Bij de grote bedrijven is het aantal verzekerden gedaald met 13 % tot een totaal van 30%
De gezondheidssector
U wilt niet dat een hacker het licht uitzet tijdens een operatie van u of een van uw geliefden. U kunt zich ook niet voorstellen dat een toestel dat uw levenswaarden bewaakt plotseling een zwart scherm toont.
We vinden het goed nieuws dat in 62% van de gevallen EDR en XDR de apparaten bewaakt. Laat ons zeggen dat u 60% kans heeft om het er goed vanaf te brengen. Dan is het wel opmerkelijk dat slechts 40% van de ondervraagden een ZERO trust ransomware afweerschild heeft. In 40% van de doorgelichte bedrijven heeft de niet iT staff niet voldoende awareness training.
Conclusie:
De bedrijven die heden ten dage onderhevig zijn aan NIS integratie hebben nog een lange weg af te leggen. Strategie en beschikbaarheid van IT experten met inzicht en visie maken ook een deel uit van het probleem. Dinsdag 29 november zullen meer dan 70 experten in Grimbergen op een event van Copaco samenkomen om een universele Purple team task force op te richten. De deelnemende ICT bedrijven zullen er op alle gebieden beter van worden. We maken van NIS2 een succes.
TIP: Op een doorlichting, pentest en grondige antihacking analyse met een kostprijs van 40k betaalt u bij Serso BV 16.000 € met een tussenkomst van 7200 € door de Vlaamse overheid. U krijgt als manager heel veel geld om uw digitale kroonjuwelen in een kevlar pantser te zetten. Geld uitgeven kunt u terecht maar één keer. Reken dus verstandig en laat u vrijblijvend adviseren.
