25 juni 2006

Meer dan de helft van alle bedrijven wiens core-business technologie, media of telecommunicatie is hebben te maken gehad met computeraanvallen, hacks, die intellectueel eigendom of klanteninformatie hadden kunnen stelen, zo wordt in een nieuw rapport van Deloitte Touche Tohmatsu geconcludeerd. Volgens het rapport zijn niet alleen veel technologiebedrijven getroffen met dezelfde soort aanvallen die recent andere bedrijven (met name overheids- en financiële instellingen) hebben getroffen, maar heeft een groot aantal van deze bedrijven ook onvoldoende geïnvesteerd in beveiliging om in de toekomst deze aanvallen te verhinderen. De onderzoekers van Deloitte stellen dat 'security has long been neglected by technology, media and telecommunications companies despite their dependence on digital information to run their businesses'. Deloitte ondervroeg het management bij 150 van dergelijke bedrijven en ontdekte dat ondanks de mogelijkheid van verlies aan publiek vertrouwen, financiële verliezen en juridische problemen, het management zich onvoldoende bewust is van de gevolgen van een ondoelmatige informatiebeveiliging.

Volgens het rapport heeft meer dan vijftig procent van de ondervraagde bedrijven te maken gehad met gegevensdiefstal in de afgelopen twaalf maanden, waarbij eenderde van deze gevallen direct financieel verlies ten gevolge heeft gehad. De helft van deze bedrijven stelde dat het interne aanvallen betrof of inbreuken op bedrijfsbeleid. Van de ondervraagde bedrijven stelt slechts vier procent dat hun medewerkers voldoende doen om het probleem aan te pakken, en ongeveer 20 procent stelt dat ze erop vertrouwen dat hun intellectueel eigendom voldoende beschermd is. 24 procent van de geïnterviewden zegt dat de door hen gebruikte beveiligingstools effectief worden gebruikt. Hoewel phishing een veelvoorkomende dreiging vormt, geeft slechts 18 procent van de ondervraagde bedrijven aan technieken te hebben ingezet die deze aanvallen tegengaan. Kern van het probleem is, zo stelt het rapport, 'companies' reluctance to increase their spending on new security measures'. Terwijl 74 procent van de ondervraagde bedrijven zegt meer tijd en geld te zullen besteden aan het verbeteren van de informatiebeveiliging in 2006, is het gemiddelde budget daartoe slechts met 9 procent gestegen. Minder dan 15 procent van de bedrijven plande om hun beveiligingsbudgetten met meer dan 20 % te verhogen. Ondanks deze niet al te optimistische resultaten stellen de onderzoekers van Deloitte dat 'technology, media and telecommunications companies are beginning to make changes to improve their IT defenses and security policies'. Deze verbeteringen worden gestimuleerd door regelgeving zoals Sarbanes Oxley, zo zegt Brian Geffert, verantwoordelijk voor beveiligings- en privacy services bij Deloitte. 'Sarbanes got people to understand security a bit more, and now more people are catching up; more CEOs are communicating directly with chief information security officers, and I think we will see a lot more investment from these particular companies. To a degree people are in the stage where they are still making plans, and not yet fully engaged in moving forward, but there's progress'. Slechts 63 % van de respondenten in het onderzoek stelden dat er een directielid verantwoordelijk was voor informatiebeveiliging. Deloitte stelde wel vast dat dat percentage lager was dan het gemiddelde in andere takken van het bedrijfsleven. Geffert: 'The top five information security concerns identified by the executives polled were those related to instant messaging systems, phishing schemes, viruses that attack mobile devices, hacks into online brokerage accounts and other Web-based crimes. So-called insider attacks, or threats emanating from employees or other people with legitimate access to IT systems, are another major concern. However, only 59 percent of the companies interviewed said that they have any form of employee behavior monitoring technology in place. At the end of the day, it's all about getting people to look at their work habits differently and letting workers know what their responsibilities are for protecting the data; technology companies are a bit behind other industries today, but there's no reason that they cannot catch up'. Gartner reageert met een gezonde dosis scepsis. 'Gartner believes that security administrators should view the findings of all such surveys with extreme skepticism. A recent survey by Deloitte Touche Tomatsu, for example, reported that security breaches at financial institutions had increased significantly over the same time period, which would seem to contradict the CSI findings . Unfortunately, surveys of this type frequently reflect the agendas of those being surveyed more than they do objective reality. Security administrators who want more funding tend to exaggerate problems, while those who want to show they are doing a good job may de-emphasize them. Security vendors complicate matters further by developing their own sets of statistics, which the news media frequently repeat as fact'. Kortom: leuke rapporten, maar het is de vraag wat ze waard zijn. En daar kunnen we het dan wel weer even mee doen….