Op dinsdag 10 november 2020 vond de CIS-dag voor de eerste maal virtueel plaats. Naar goede gewoonte hebben we terug een polling afgenomen bij de respondenten met een live broadcast van de conclusies. Hieronder sommen we een aantal conclusies op die vooral op beleidsniveau getrokken kunnen worden. In een vervolgpost analyseren we conclusies rond personeel en indrukken op de werkvloer.
Type deelnemende organisaties en grootte
95% van de deelnemers aan onze interactieve bevraging zijn overheidsbedrijven. De antwoorden op de vragen geven ons dus bovenal een goed overzicht van hoe ver overheidsbedrijven staan op vlak van cyberveiligheid.
De grootte van de organisaties die deelnamen aan de poll varieert sterk. 10% van de respondenten heeft een organisatie met 11-50 voltijdse medewerkers in dienst. Het merendeel van de organisaties die deelnamen aan de bevraging hebben 50-250 voltijdse medewerkers of 251-500 voltijdse medewerkers. Slechts 15% heeft meer dan 500 voltijdse equivalenten in huis. We kunnen dus concluderen dat vooral middelgrote tot grote lokale besturen de poll invulden.
Positie t.o.v. cybercrime
De meeste respondenten geven aan dat de kans (60%) groot is dat andere lokale besturen slachtoffer worden van cybercrime binnen dit en 12 maanden. Wanneer ze dezelfde vraag voor hun eigen bestuur moeten beantwoorden, schatten ze die kans gemiddeld lager in, het merendeel stelt dat die kans 30% of lager is.
In 60% van de organisaties staat cybercriminaliteit bovenaan de agenda, terwijl 30% onverschillig reageert. Daarnaast geven 56% van de deelnemers aan dat hun directie of het management geen voorbeeldgedrag vertoont op vlak van cyberveiligheid. Op de vraag of ‘de organisatie een duidelijk beleid rond cyberbeveiliging heeft’, zijn de meningen dan weer verdeeld. Enerzijds geeft meer dan 40% aan dat dit in hun organisatie wel het geval is. Nog eens 40% maakt duidelijk dat de organisatie geen duidelijk beleid heeft rond cybersecurity. De overige respondenten hebben hierover geen afgetekende mening. Verder is de mening van de deelnemers ook verdeeld als het gaat over de maatregelen die de organisatie neemt om het werk te beschermen tegen cyberincidenten.
Hoe behandelen we cyberincidenten?
70% van de respondenten geeft aan dat er in hun organisatie een bestaand netwerk omtrent cybersecurity, waarop ze kunnen terugvallen indien er zich een cyberincident zou voordoen.
In de helft van de organisaties is er reeds een specifiek proces dat gevolgd moet worden wanneer er zich een cyberincident voordoet. De andere helft van de deelnemende organisaties heeft nog geen proces ingericht. Op de vraag ‘hoe groot de kans is dat een cyberincident veroorzaakt wordt door nalatigheid van een medewerker’, geeft het merendeel aan dat die kans hoger is dan 50%. Slechts 4% geeft aan dat die kans lager zou zijn dan 50%.
Effectieve ervaring met cyberincidenten
De meerderheid van de deelnemende organisaties (61%) heeft in de afgelopen 12 maanden te maken gehad met één of andere vorm van cybercriminaliteit. Een derde (33%) van de organisaties heeft niet met cybercriminaliteit te maken gehad. In driekwart van de gevallen (76%) ging het over phishing. In de resterende gevallen ging het om diefstal van gegevens of spionage (12%), digitale afpersing (6%) en skimming (6%).
Wanneer organisaties te maken krijgen met cybercriminaliteit, geeft meer dan één derde aan dat het incident schade veroorzaakte. De veroorzaakte schade was bij onze respondenten niet van financiële of juridische aard. Het ging daarentegen voornamelijk om imago- of reputatieschade (25%), om het stelen of vernietigen van bedrijfsgegevens (13%). Bij zo’n 13% van de organisaties werden n.a.v. het incident ook de bedrijfsprocessen stilgelegd of werd er tijdsverlies ervaren.
Personeelsinformatie en proactief voorkomen van cyberincidenten
De meeste organisaties zijn het eens (55%) tot volledig eens (29%) met de stelling dat ze hun medewerkers regelmatig informeren over cybercriminaliteit. Voorbeelden van nieuwskanalen zijn nieuwsbrieven, berichten op het intranet, lezingen of trainingen.
Maar los van informeren kan het testen van procedures, taken en verantwoordelijkheden m.b.t. deze materie een stuk beter: zo’n 61% is ervan overtuigd dat er meer moet gebeuren.
We zetten in onze lokale besturen wel heel wat maatregelen uit om cybersecurity te versterken, maar meten we ook de effecten van de maatregelen? 55% van de respondenten zegt van niet, 10% zegt zelfs dat dit totaal niet gebeurt. De opvolging hiervan kan dus beter.
Over de vraag of we onze medewerkers voldoende trainen in cyberbeveiliging zijn de meningen sterk verdeeld. Zo’n 30% heeft hier geen mening over, 25% is het oneens hiermee en 35% is het eens hiermee, zo’n 10% zelfs volledig eens. Dergelijke opleidingen mogen dus meer ingebed worden in onze organisaties, willen we cybercriminaliteit het hoofd kunnen bieden.