Hoe goed is een bedrijf voorbereid op cyberaanvallen? Dat soort security meten is geen simple zaak, gezien de complexiteit van het huidige beveiligingslandschap. IT-dienstenleverancier Dimension Data stelt alvast een nieuwe ranking voor. Het bedrijf lijst de 'maturiteit' op van cybersecurity in bedrijven. Zo'n ranking neemt onder meer de algemene aanpak rond cybersecurity onder de loep, van processen over analyses en strategie. Het is het soort end-to-end-aanpak die het bedrijf niet toevallig zelf voorstaat.

Als je op die manier kijkt naar bedrijven, dan moet blijken dat sectoren die het vaakst te kampen hebben met cyberaanvallen, of er het meest bij te verliezen hebben, ook het meest matuur zijn. Globaal rekent Dimension Data de maturiteit van cybersecurity bij bedrijven op 1,45 op vijf. Maar onder meer de financiële sector (1,71) en de technologische sector (1,66) doen het beter dan dat gemiddelde. Elk van die sectoren kreeg dan ook zo'n 17 procent van alle opgetekende aanvallen in 2018 te verwerken. Maturiteit lijkt hier dus deels samen te vallen met ervaring.

Het is een van de conclusies uit het securityrapport van NTT, het moederbedrijf van Dimension Data, dat gebouwd is op meer dan 3,5 biljoen log files. "Er is duidelijk nog werk aan de winkel in alle sectoren om meer robuuste securityhouding aan te nemen, maar gelukkig erkennen al veel c-levels ondertussen het belang van strategische investeringen in cybersecurity", zegt Mark Thomas, vp Cybersecurity bij Dimension Data.

België aan de top

Met die maturiteit komt Dimension Data in het rijtje van defensie ratings, 'cyber readiness', en nog wat andere termen waarmee de verschillende securityspelers een vat proberen te krijgen op een steeds groter wordende markt. En als ervaring zo'n maturiteit in de hand werkt, dan zou België alvast ver moeten staan Volgens een andere studie, deze keer van verzekeraar Hiscox (die een cyberbeveiligingsverzekeraar aanbiedt), werd zeven op de tien Belgische bedrijven het voorbije jaar slachtoffer van één of meerdere cyberaanvallen. Daarmee zitten wij bij de westerse landen zijn die het meeste aanvallen te verwerken kregen. Hiscox schrijft het neer in zijn eigen 'Cyber Readiness Report 2019' waarvoor het zich baseert op een bevraging van securitydepartementen bij zo'n 5.400 organisaties, waaronder een 500 in België.

Volgens dat rapport blijft het aantal cybraanvallen, of alvast de rapportering ervan, stijgen. Niet alleen meer bedrijven rapporteren een aanval, ze worden vaak ook meerdere keren per jaar getroffen. Een op de drie bedrijven geef aan met vier of meer incidenten per jaar af te rekenen.

"Dat België hier zo in piekt, zou wel eens met ons economisch landschap te maken kunnen hebben", zegt Jeremy D'Hondt van Hiscox. "Ons land telt heel wat grote en middelgrote bedrijven in sectoren die erg gevoelig zijn voor cyberaanvallen. Denk maar aan de transportsector, aan alles wat met warehousing te maken heeft, aan onze dienstensector, en aan andere sectoren met een IT-afhankelijke organisatiestructuur. Bovendien leeft mogelijk de cyberdreiging meer bij Belgische bedrijven, waardoor de werknemers meer geneigd zijn om potentiële cyberaanvallen te rapporteren dan in andere landen."

Opvallend is alvast dat, zeker in België, het aandeel van 'supply chain'-aanvallen ook sterk stijgt. Bij zo'n aanval komen criminelen een bedrijf binnen via een externe leverancier of dienst, uiteraard liefst eentje met iets minder beveiliging op zijn systemen. Zo'n 73 procent van de Belgische bedrijven - tegenover gemiddeld 65 procent in de andere landen - stelt dat ze het laatste jaar met een cyberaanval te maken kregen die via de productieketen binnen kwamen. In die zin lijkt het erop dat het securitylandschap steeds meer een vorm van 'kudde-immuniteit' nodig heeft, waarbij iedereen zijn beveiliging optrekt om de gaten in het geheel te verminderen.