BV Nederland geeft 520 miljoen uit aan IT beveiliging
BV Nederland geeft dit jaar 0,08% van het BBP uit aan IT-beveiliging, wat neerkomt op een totaalbedrag van circa €520 miljoen. Hiermee loopt Nederland verhoudingsgewijs in de pas met buurlanden Duitsland, Frankrijk en de UK, maar bijvoorbeeld achter op Finland, die zo’n 0,15% van zijn nationale inkomen uitgeeft aan IT-security. Gezien de forse toename in cybercriminaliteit – en de groeiende impact ervan – zullen de uitgaven de komende jaren verder opgeschroefd moeten worden.
De afgelopen jaren is er wereldwijd een explosieve toename zichtbaar van het aantal cyberincidenten. In sommige gevallen wordt e-criminelen ook weinig weerstand geboden en kunnen ze met speels gemak misbruik maken van veiligheidslekken binnen IT-systemen. Het gevolg: niet alleen verhogen cybercriminelen hun inspanningen, maar zij hanteren ook een steeds meer georganiseerde en professionele aanpak. Het aantal cyberincidenten in Nederland verdrievoudigde in 2014 ten opzichte van het jaar ervoor, wat volgens een recent artikel uit de Volkskrant een kostenpost van zo’n €8 miljard opleverde. Ook uit een recent onderzoek van het Ponemon Institute blijkt dat de kosten per organisatie flink kunnen oplopen – onderzoek bij 257 (grote) organisaties in zeven landen laat zien dat de gemiddelde schade per bedrijf €6,8 miljoen per jaar bedraagt.
Cyberinvesteringen stijgen
Om cybercriminaliteit te bestrijden hebben bedrijven hun investeringen in cyberbeveiliging oplossingen verhoogd, waaronder in uitgebreide preventie- en detectiesystemen. Een nieuw onderzoek toont aan dat Nederland op dit vlak in de pas loopt met de omringende landen. De totale uitgaven aan IT-beveiliging in ons land vertegenwoordigen circa 0,08% van het BBP (€520 miljoen*), vergelijkbaar met de uitgaven van grotere ‘buurlanden’ als Frankrijk, Duitsland en de UK. Ook wordt er per hoofd van de bevolking een ongeveer even groot deel uitgegeven. Op landen als Finland en Zweden ligt Nederland echter fors achter.
Preventie versus opsporing
Het rapport, uitgevoerd door Pierre Audoin Consultants (PAC) in opdracht van CGI, keek ook naar de verdeling van uitgaven, bestaande uit twee componenten: ‘prevent & protect’ en ‘detect & respond’. Nederlandse organisaties besteden dit jaar 83% van hun cyberbudget aan de preventie van cyberincidenten en 17% aan de daadwerkelijke opsporing en de noodzakelijke respons op concrete incidenten. Hiermee loopt Nederland achter op andere Europese landen – Duitsland en de UK geven 20% uit, Frankrijk en Finland 21% en Zweden 22%. Dit betekent volgens de onderzoekers niet dat Nederlandse organisaties kwetsbaarder zijn voor cyberincidenten, maar wel dat zij incidenten minder snel of minder goed kunnen identificeren en niet snel genoeg kunnen reageren met de noodzakelijke respons. “De impact op de business wordt hierdoor waarschijnlijk groter”, zegt Sake Algra, General Manager van CGI Nederland.
Nederlandse organisaties lijken het signaal op te pakken en geven in het onderzoek aan dat zij hun investeringen rondom ‘detect & respond’ geleidelijk gaan verhogen. De komende vijf jaar zal het percentage van het budget opgeschroefd worden naar zo’n 20%. Een ontwikkeling in de goede richting, echter nog niet voldoende, stelt Agra. Volgens CGI zou dit gezien de mogelijke impact van een veiligheidsinbreuk tenminste een derde van het cyberbudget moeten zijn.
De studie toont verder aan dat cyber-inbreuken zowel bij IT professionals als bij business managers hoog op de agenda staan. Dit komt vooral doordat deze inbreuken een grote impact kunnen hebben op de financiële prestaties en de reputatie van organisaties. Er zijn echter belangrijke verschillen tussen IT en de business als het gaat om hoe zij zouden omgaan met een inbreuk op de cyberveiligheid. IT managers geven de voorkeur aan een technische oplossing door middel van geautomatiseerde beveiliging. De business ziet vooral outsourcing van incident response als de oplossing.
Sectoren in kritieke infrastructuren volwassener
Vanuit een sectorperspectief zijn er verschillen merkbaar. Sectoren die vallen onder de noemer kritieke nationale infrastructuren (CNI) – zoals transport, energie, financiële dienstverlening en telecom – zijn over het algemeen beter voorbereid op cybersecurity incidenten dan bijvoorbeeld sectoren als retail-, media- en professionele dienstverlening. Ook voor de publieke sector (de overheid, het onderwijs, etc.), geldt dat deze minder volwassen is op het gebied van cybersecurity, met uitzondering van defensie. De kloof lijkt zich echter te dichten, aldus de onderzoekers. Organisaties zonder kritieke infrastructuur hebben vaker (38%) de intentie om hun cyberbudget in de komende twee jaar te verhogen in verhouding tot bedrijven met een kritieke infrastructuur (30%).
* Voor de berekening van €520 miljoen is uitgegaan van een BBP van €650 miljard (CBS).