Tom Welling van beveiligingsleverancier Symantec reageert verbaasd op de belangrijkste conclusie in het Symantec Enterprise Security Report 2010. Hij kan wel een verklaring geven voor het feit dat Nederlanders minder aan Data Loss Prevention (DLP) doen dan andere landen. “De wetgeving is in Nederland nog niet zo ver gevorderd als bijvoorbeeld in de Verenigde Staten."

Stok achter de deur

"Daar krijg je gewoon een fikse boete wanneer je klantgegevens verliest. Dat kan oplopen in de miljoenen. De drempel is daar dus veel lager om een DLP-systeem van enkele tienduizenden euro’s te implementeren”, zegt Welling. “Ook in het Verenigd Koninkrijk wordt DLP veel vaker toegepast. Daar is immers een meldplicht van kracht bij dataverlies.”

Gevolg van dit gebrek aan regulering, die er overigens wel aan zit te komen in het wetboek, is dat Nederlandse bedrijven moeilijk kunnen inschatten hoeveel geld ze verliezen aan dataverlies. “Als je een boete krijgt, is dat makkelijk te vertalen naar cijfers. In Nederland gaat het alleen om imagoschade. Dat is een stuk moeilijker te berekenen”, aldus Welling.

78 procent slachtoffer cyberaanval

Een andere opvallende uitkomst uit het Enterprise Security Report is dat 78 procent van de 50 onderzochte Nederlandse bedrijven te kampen heeft met cyberaanvallen. Mondiaal is hier een negatieve trend in te ontdekken. Waar de aanvallen vandaan komen, is lastiger te bepalen, weet Welling.

“Jaarlijks in april houdt Symantec hier een aparte meting voor, maar bij cybercrime is het altijd lastig te bepalen wie erachter steekt. Een stukje malware kan technisch gezien computers vanuit China komen, maar dat hoeft niets te zeggen over de werkelijke afkomst. IT in opkomende economiën doet veel minder aan beveiliging, dus computers in dergelijke landen zijn veel kwetsbaarder.”

Ook de code zelf hoeft volgens de technisch consultant helemaal niets over de maker te zeggen. “We komen af en toe bijvoorbeeld Franse commentaren tegen in malware-code. Je zou verwachten dat die code door een Franstalig persoon is geschreven. Dat hoeft niet zo te zijn. We merken dat code tientallen keren gerecycled kan worden, inclusief commentaar van verschillende auteurs.”

Elk bedrijf verliest (per ongeluk) data

Opvallend in het onderzoek is verder dat 100 procent van alle onderzochte bedrijven aangeeft met zogenaamde ‘cyber losses’ te kampen. Dat lijkt schrikbarend, maar is het volgens Welling niet. “Zelf zul je ook weleens meemaken dat je computer vastloopt of je een usb-stick of cdrom bent verloren. Als je kijkt naar hoe vaak dat soort dingen in grote bedrijven voorkomt, dan loopt dit in de tientallen of honderden gevallen. Het gaat hierbij echt niet alleen om data die expres ontvreemd wordt.”

Voor het Symantec-onderzoek is 2100 ondernemingen wereldwijd een vragenlijst van 126 security-vragen voorgelegd. Zo wilde de beveiligingsleverancier onder meer weten welke securityproducten de bedrijven afnemen, wie de budgeteigenaar is van security binnen het bedrijf, en of er sprake is van geautomatiseerde compliance. Steekproefsgewijs zijn bedrijven in alle sectoren behalve automotive en onderwijs meegenomen in het Nederlandse onderdeel van het onderzoek. Het ging hierbij om ondernemingen met maximaal 1000 werknemers.

Bron: Computerworld.