Organisaties zijn door toenemende digitalisering kwetsbaarder voor cyberaanvallen. Toch zegt maar dertig procent van West-Europese respondenten in PwC’s onderzoek ‘Digital Trust Insights’ dat het de cyberrisico's op een aantal kritische gebieden volledig heeft gemitigeerd. In Nederland is dit percentage met twintig procent die het eens is met die stelling nog lager. Nederlandse organisaties lijken vaker dan hun West-Europese collega’s onzeker over de waarde van het werk van hun cybersecurityteams.
PwC’s ‘Digital Trust Insights’ is een jaarlijks wereldwijd onderzoek dat PwC uitvoert naar de uitdagingen van organisaties op het gebied van cybersecurity en de maatregelen die zij de komende tijd nemen om die te verbeteren. Dit jaar deden zo’n 3.500 topmanagers en bestuurders van organisaties uit 65 landen mee aan de survey, van wie 1.088 in West-Europa en 37 in Nederland. In dit onderzoek vergelijken we de Nederlandse uitkomsten met die van West-Europa.
PwC’s cybersecurity-expert Angeli Hoekstra draagt als een mogelijke verklaring voor de Nederlandse onzekerheid of cyberrisico’s voldoende gemitigeerd worden aan dat cybersecurityteams vaak moeite hebben om aan te tonen wat ze bereiken. ‘Communiceren over cybersecurity is natuurlijk best lastig, want ze leveren geen concreet product op. Hun succes zit in wat er niet gebeurt. Communicatie kan daarom alleen plaatsvinden in termen van hoeveel risico gemitigeerd is met 'cyber controls' en wat het resterende risico is van niet of niet-effectief werkende 'cyber controls'. Bij voorkeur in kwantificeerbare termen. Dit is best een uitdaging voor 'chief information security officers' en cybersecurityprofessionals.’
In West-Europa zegt ongeveer een derde van de respondenten dat de risico’s rondom het mogelijk maken van werken vanuit huis volledig zijn geadresseerd. In Nederland is dat slechts een vijfde. Ditzelfde beeld zien we terug op andere risicogebieden. Hoekstra: ‘In het algemeen ben ik verrast dat - of het nu in Nederland is of daarbuiten - slechts een relatief klein deel van de respondenten zegt dat risico’s op een veelheid van terreinen volledig zijn gemitigeerd. Het verschil tussen Nederland en de rest is erg groot. Het is altijd lastig te beoordelen hoe de antwoorden tot stand komen. Het is in principe mogelijk dat degene die “volledig gemitigeerd” antwoorden zichzelf juist overschatten. Mogelijk heeft dit ook te maken met een verschil in risico-acceptatie. Los daarvan: het kan natuurlijk nooit kwaad alle maatregelen nog eens tegen het licht te houden om te kijken of er verbeteringen nodig zijn.’
Nederlandse respondenten zijn in meerderheid tevreden over de prestaties van hun cybersecurityteams in de afgelopen twaalf maanden. Maar het is - zeker in vergelijking met de landen om ons heen - een krappe meerderheid. Vooral de waardering van bestuurders over het verbeteren van de waarde en de efficiency van ‘cyber resources’ blijft achter. ‘Wat mij opvalt’, reflecteert Hoekstra, ‘is dat het aandeel respondenten dat “ik weet niet” antwoordt, ook relatief groot is. Het is een beetje gek dat bestuurders of topmanagers niet weten wat er gepresteerd is; dat bevestigt het idee dat cybersecurity-afdelingen beter moeten communiceren over wat zij doen en bereiken. En wellicht ook over wat zij kúnnen bereiken.’
In Nederland is een fors percentage (27 procent) van de respondenten van plan volgend jaar het budget voor cybersecurity met zes tot tien procent te verhogen. Maar, in Nederland zien we ook dat zestien procent van de respondenten voornemens is het budget met eenzelfde percentage te verlagen. In Europa zien we dat de groep die het budget flink wil vergroten kleiner is, maar de groep die wil verlagen ook.
Een andere opvallende uitkomst uit PwC’s ‘Digital Trust Insights’ is de Nederlandse mening over het transformeren van organisaties in het cyberdomein. Nederlandse respondenten zijn voorstanders van het vereenvoudigen van hun digitale landschap (infrastructuur en applicaties) als impactvol instrument om cybersecurity te verbeteren. Dat wijkt duidelijk af van de Europese uitkomsten, waar dit aspect op de vierde plaats komt. Het delen van kennis, waardoor ook werknemers die zich niet dagelijks bezighouden met cybersecurity wel de risico’s begrijpen, scoort zowel in Nederland als in West-Europa hoog.
Hoekstra vindt dat niet verrassend. ‘Veel organisaties hebben te maken met een ingewikkeld cyberlandschap omdat er vanuit het verleden verschillende systemen aan elkaar geknoopt zijn, waar vervolgens weer nieuwe applicaties op gebouwd zijn. Dat maakt het implementeren van cybersecurity-oplossingen ingewikkeld. Bovendien hebben organisaties met het oog op die legacy veel verschillende expertise nodig. Uit deze uitkomsten komt ook naar voren dat organisaties een gebrek ervaren aan getalenteerde cybermedewerkers. Vereenvoudiging van complexe systemen lijkt mij een logische wens.’