Middel­grote en grote organi­sa­ties in Neder­land maken zich grote zorgen over hun digitale veilig­heid. Ongeveer 25% van alle organi­sa­ties geeft aan onvol­doende voorbe­reid te zijn op een cyber­drei­ging. In de gezond­heids­zorg zijn de zorgen groter, daar zegt 40% van de onder­vraagde IT-beslis­sers onvol­doende te zijn voorbe­reid op cyber­drei­ging. Ook de finan­ciële sector (29%) en overheid (27%) scoren relatief hoog in verge­lij­king met het gemid­delde over alle onder­zochte organi­sa­ties. Opval­lend is dat de trans­port en logis­tiek sector stukken beter zegt te zijn voorbe­reid, zo blijkt uit een onder­zoek van KPN.

Het onder­zoek ‘Cyber­se­cu­rity Wakker­lig­gers’ geeft inzicht in wat IT-verant­woor­de­lijken in zes verschil­lende branches ’s nachts wakker houdt. Onder­zoeks­bu­reau Motivac­tion onder­vroeg hiervoor in opdracht van KPN in totaal 456 IT-verant­woor­de­lijken die werkzaam zijn in verschil­lende sectoren. 

De meestgenoemde zorgen

1. Diefstal priva­cy­ge­voe­lige data 
2. (Deels) stilliggen bedrijf 
3. Reputa­tie­schade 
4. Finan­ciële schade door bv. omzetverlies 
5. Diefstal bedrijfs­ge­voe­lige informatie

Overzicht Top 3 Cybersecurity ‘Wakkerliggers’ per branche 

De zorgen variëren echter per sector. Voor zes verschil­lende sectoren zijn dit de belang­rijkste ‘wakker­lig­gers’:

Gezondheidszorg en welzijn

Binnen de gezond­heids- en welzijns­zorg maakt men zich de meeste zorgen over digitale veilig­heid. Zo ligt men vooral wakker van diefstal van gevoe­lige patiënt­ge­ge­vens, gevolgd door het (deels) stil liggen van de organi­satie, reputa­tie­schade en maatschap­pe­lijke impact. Deze branche maakt zich verge­leken met andere branches relatief gezien het meeste zorgen om digitale veilig­heid (cyber­se­cu­rity) en is naar eigen zeggen het minst voorbe­reid op een cyber­drei­ging. Zo weet men bv. minder goed wat de gevolgen van uiteen­lo­pende cyberrisico’s zijn en wat de staat van digitale veilig­heid is binnen hun organisatie.

Financiële dienstverlening

De finan­ciële sector maakt zich veel zorgen over cyber­se­cu­rity, en dan met name om de reputa­tie­schade als gevolg van een cyber­aanval. Finan­ciële organi­sa­ties lijken wel goed op de hoogte van de cyberrisico’s. Volgens bijna alle respon­denten in deze sector weten medewer­kers wat ze moeten doen bij een aanval. De branche vindt de inves­te­ring echter relatief vaak te hoog in verhou­ding tot de risico’s. Verder valt op dat IT-beslis­sers in de finan­ciële dienst­ver­le­ning zich relatief goed bewust zijn van risico’s van bv. cloud­dien­sten en hybride/​thuiswerken. De grote uitda­gingen voor deze sector zijn de (snelle) opkomst van nieuwe techno­lo­gieën en aanwe­zig­heid van oudere systemen (legacy-software).

Overheid

Deze sector maakt zich het minst zorgen over cyber­se­cu­rity en beschouwt zichzelf relatief vaak als goed voorbe­reid. Diefstal van priva­cy­ge­voe­lige gegevens is bij de overheid de grootste zorg. Zorgen over de maatschap­pe­lijke impact van een cyber­aanval en het niet voldoen aan wet- en regel­ge­ving worden eveneens vaak genoemd. Deze branche maakt zichzelf relatief gezien het minst zorgen om digitale veilig­heid (cyber­se­cu­rity) en beschouwt zichzelf verge­leken met andere branches het meest voorbe­reid op een cyber­drei­ging. Over het algemeen heeft men cyberrisico’s goed op de radar en de (mogelijk grote) gevolgen hiervan voor de organi­satie. Grote uitda­gingen voor de branche zijn een gebrek aan kennis en gekwa­li­fi­ceerd perso­neel, evenals de aanwe­zig­heid van oudere systemen (legacy-software). 

Industrie

In deze sector is het stilvallen van bedrijfs­pro­cessen de grootste zorg, gevolgd door diefstal van bedrijfs­in­for­matie en finan­ciële schade. Men maakt zich gemid­deld zorgen om de digitale veilig­heid (cyber­se­cu­rity) en vindt zichzelf verge­leken met andere branches ook gemid­deld voorbe­reid op een cyber­drei­ging. Hoewel de industrie denkt cyber­se­cu­rity redelijk goed op de radar te hebben , lijkt de sector een aantal risico’s te onder­schatten. Er is bijvoor­beeld relatief vaak geen integraal cyber­se­cu­ri­ty­be­leid en men denkt bijvoor­beeld niet interes­sant te zijn voor cybercriminelen.

Retail

De finan­ciële schade door cyber­aan­vallen is in deze branche met voorsprong  de grootste zorg, gevolgd door stilval­lende bedrijfs­ac­ti­vi­teiten en een onbereik­bare webshop of website. Een overgrote meerder­heid van de respon­denten in deze sector denkt enigs­zins of zelfs goed of volledig voorbe­reid te zijn op een cyber­drei­ging. Wel gaf de meerder­heid aan dat ‘andere zaken’ dan cyber­se­cu­rity vaak voorrang krijgen, boven­dien loopt men tegen een aantal uitda­gingen aan, zoals de complexi­teit van het IT-landschap en het in huis halen/​behouden van cybersecurity-kennis.

Transport en logistiek

Binnen de trans­port en logis­tiek maakt men zich, net als binnen de retail, het meest zorgen om finan­ciële schade. Gevolgd door stilleg­ging van het bedrijf en diefstal van priva­cy­ge­voe­lige data. Verge­leken met de andere branches denkt men relatief vaak goed of zelfs volledig voorbe­reid te zijn op cyber­drei­gingen. Deson­danks heeft minder dan een kwart een beleid voor het melden van bevei­li­gings­in­ci­denten. Ook kampt de branche onder meer met een gebrek aan kennis/​bewustzijn en aan gekwa­li­fi­ceerd cybersecurity-personeel.

Verschillen middelgrote en grote organisaties

De onder­zoe­kers hebben ook gekeken naar de overeen­kom­sten en verschillen tussen middel­grote en grote organi­sa­ties. Beide groepen maken zich vooral zorgen over de diefstal van priva­cy­ge­voe­lige gegevens. Bij middel­grote organi­sa­ties zijn reputa­tie­schade en finan­ciële schade de grootste zorgen na datadief­stal, terwijl bij grote organi­sa­ties vooral het stilvallen van het bedrijf een grote bron van zorg is, naast reputatieschade.

Middel­grote organi­sa­ties zeggen minder vaak gecon­fron­teerd te zijn met cyberrisico’s en onder­schatten deze vaker. Ze maken zich minder zorgen over cyber­drei­gingen en denken ook minder interes­sant te zijn voor crimi­nelen. Grote organi­sa­ties zijn zich daaren­tegen bewuster van de risico’s en ervaren vaker uitda­gingen zoals een hoge werkdruk op hun IT- en cybersecurityafdelingen.

Kwetsbaarheid zorgwekkend

Met de inzichten uit dit onder­zoek wil KPN zijn rol als securi­ty­partner van Neder­land verder versterken. Door beter inzicht te hebben in de speci­fieke uitda­gingen van elke branche, kan KPN samen­werken met de verschil­lende organi­sa­ties aan effec­tie­vere oplos­singen om organi­sa­ties te beschermen tegen de toene­mende dreiging van cybercriminaliteit.

Over het onderzoek

Het onder­zoek is uitge­voerd door Motivac­tion in opdracht van KPN. Van 16 tot en met 26 augustus 2024 werden 456 IT-verant­woor­de­lijken uit middel­grote en grote organi­sa­ties onder­vraagd via een online vragen­lijst. Kijk voor meer infor­matie op kpn​.com/​s​e​c​u​rity