Security-problemen bij derde partijen vormen grootste kostenpost

63% van de organisaties heeft in 2017 geïnvesteerd in cybersecurity, ten opzichte van 56% in 2016. Ondanks deze toename blijven de gemiddelde kosten van een cybersecurity-incident echter toenemen. De kostbaarste inbreuken op de cyberveiligheid van bedrijven zijn het resultaat van fouten van derden. Dit betekent dat bedrijven niet alleen in hun eigen beveiliging moeten investeren, maar ook op die van hun zakenpartners moeten letten.

Dit blijkt uit het rapport 'IT security: cost-center or strategic investment?' van Kaspersky Lab en B2B International. Het onderzoek laat zien dat bedrijven steeds meer belang hechten aan IT-beveiliging. Bedrijven over de hele wereld beginnen het als een strategische investering te beschouwen en het aandeel van IT-beveiliging in het hele IT-budget is bij grote bedrijven gegroeid tot een vijfde (20 procent). Dit patroon breidt zich uit naar bedrijven van alle groottes, met inbegrip van zeer kleine bedrijven met weinig resources. Maar beveiliging mag dan wel een groter deel van het IT-budget uitmaken, het totale budget slinkt. Het gemiddelde IT-beveiligingsbudget voor grotere ondernemingen in Europa is bijvoorbeeld gedaald van 21,4 miljoen euro vorig jaar tot 11,5 miljoen in 2017.

Gemiddelde kosten nemen toe

Dit is een zorg voor bedrijven, vooral gezien het feit dat – in tegenstelling tot IT-beveiligingsbudgetten – het herstel van inbreuken op de beveiliging niet goedkoper wordt. Dit jaar hebben MKB’s wereldwijd gemiddeld 73.800 euro per beveiligingsincident moeten betalen (tegenover 72.700 in 2016). Europese MKB’s betaalden gemiddeld 68.900 euro per gegevensschending. Grotere ondernemingen hebben die kosten nog sneller zien stijgen, wereldwijd van 723.000 euro in 2016 tot 833.000 in 2017. Zij kregen in Europa gemiddeld een eindnota van 787.900 euro voorgeschoteld.

Verhoging van de IT-beveiligingsbudgetten is niettemin slechts een deel van de oplossing, omdat de meest onthutsende verliezen voortkomen uit incidenten waarbij derden betrokken zijn en cyberblunders hebben begaan. Er zijn MKB's die niet minder dan 110,800 euro hebben moeten neertellen voor incidenten die schade hebben toegebracht aan hun door een derde partij beheerde infrastructuur. Grotere bedrijven hebben tot 1,5 miljoen euro verloren als gevolg van inbraken bij leveranciers met wie ze gegevens delen en 697.200 euro wegens het te lage beschermingsniveau van IaaS-providers.

Zwakke plekken in beveiliging van derden

Zodra een bedrijf een andere organisatie toegang geeft tot data of infrastructuur, kunnen de zwakke plekken van de één invloed hebben op beide partijen. Dit probleem wordt steeds wezenlijker, omdat overheden over de hele wereld zich haasten om nieuwe wetgeving in te voeren, die inhoudt dat organisaties informatie moeten verschaffen over hoe ze persoonsgegevens delen en beschermen.

“Cyberveiligheidsincidenten waarbij derde partijen zijn betrokken, kunnen schadelijk zijn voor bedrijven van iedere omvang, maar de financiële impact kan nog dubbel zo groot zijn”, zegt Martijn van Lom, General Manager Kaspersky Lab Benelux. “Dit heeft te maken met een grotere mondiale uitdaging: dreigingen bewegen zich razendsnel, maar bedrijven én wetgeving ontwikkelen zich tergend langzaam. Wanneer regelingen als GDPR afdwingbaar worden en bedrijven bij de kladden grijpen voordat ze hun beleid hebben kunnen aanpassen, komen de boetes voor het niet naleven van wetgeving er ook nog bovenop.”