EY: ‘Kennis over IoT-beveiliging schiet tekort’

Het gebruik van Internet of Things (IoT) brengt organisaties efficiëntie en gemak, maar zaken als slimme gebouwen, parkeergarages en machines brengen ook in toenemende mate cyberrisico’s met zich mee.

Dat blijkt uit onderzoek van accountants- en adviesorganisatie EY onder beveiligingsverantwoordelijken (vooral Chief Information Officers en Chief Information Security Officers) bij 1.200 organisaties wereldwijd, waarvan 23 in Nederland. Het ontbreekt in veel gevallen aan de kennis over het beveiligen van deze slimme toepassingen en ook worden broodnodige beveiligingsupdates niet gedaan.

Ondervraagden geven aan dat beveiliging van nieuwe technologieën zoals Robotic Process Automation (RPA), Internet of Things (IoT) en advanced machine learning nu topprioriteit is. Ook de oprukkende cryptocurrencies bezorgen de cyberverantwoordelijken hoofdbrekens. EY waarschuwt dat cryptocurrencies voor veel organisaties een ver-van-mijn-bedshow lijken, maar dat er nu al veiligheidsmaatregelen nodig zijn. Tony de Bos, cybersecurityleider voor de financiële sector in een persverklaring: “Het zou niet de eerste keer zijn dat we uitvinden dat er bitcoins gemined worden via de servers van één van onze klanten.”

De meeste organisaties zien over het algemeen meer cyberrisico’s dan 12 maanden geleden. Dit vertaalt zich in een stijging van het budget voor cyberbeveiliging. Zo’n 59% van de respondenten geeft aan dat dit hoger is dan een jaar geleden. Blijkbaar is dit niet genoeg om alle cyberdreiging te lijf te gaan, want 87% geeft aan meer budget nodig te hebben. Een schamele 4% van de ondervraagden zegt helemaal gerust te zijn op de cyberbeveiliging van hun organisatie.

In de meeste van de ondervraagde organisaties (63%) valt cyberveiligheid onder verantwoordelijkheid van de IT-afdeling. Daarin schuilt een risico, zegt Douwe Mik, bij EY verantwoordelijk voor de Advisory cybersecuritypraktijk in Nederland. “Cyber is een organisatievraagstuk en zou derhalve ook breed benaderd moeten worden. Als het alleen de verantwoordelijkheid van IT is, kunnen belangrijke zaken als communicatie en bewustzijnstrainingen over het hoofd worden gezien.” Bij een kwart van de ondervraagden is cyberveiligheid belegd op boardniveau, ruim de helft van de cyberverantwoordelijken rapporteert regelmatig aan de board.