Resultaten onderzoek Security & Identity

Hoe is het gesteld met het online security bewustzijn onder bedrijven en consumenten? SIDN (Stichting Internet Domeinregistratie Nederland) zocht het uit samen met marktonderzoeksinstituut Gfk. Michiel Henneke, marketing manager van SIDN, deelt alvast de eerste ‘verrassende’ resultaten met ons. “Bedrijven focussen zich veel op de technische beveiliging, maar lijken de menselijke achilleshiel over het hoofd te zien.”

SIDN maakt zich sterk voor een veilig internet. “We organiseren ieder jaar het onderzoek ‘trends in internetgebruik’ en merkten vooral de afgelopen jaren dat het thema veiligheid een steeds grotere rol speelt. Het neemt zelfs zo’n grote vormen aan dat we het niet meer in de hoofdenquête verwerkt kregen. Reden om er een separaat onderzoek aan te wijden: trends in Security & Identity. En dat hebben we uitgevoerd in samenwerking met Gfk onder 2.600 respondenten, waarvan 500 ondernemingen.” Het onderzoek richt zich op vijf hoofdthema’s, waarvan Henneke de voornaamste resultaten toelicht.

Security als hygiënefactor 

Veel mensen denken: als je niets online verkoopt, ben je geen ICT-bedrijf. Bedrijven die niet online verkopen zijn zich veel minder bewust als het om online security gaat. Maar als via internet vitale processen worden getroffen, ís er geen bedrijf meer. Conclusie: elk bedrijf is een ICT-bedrijf. Een logische volgende misvatting: online security is een technisch IT-probleem. Onjuist, het is een business- en managementprobleem, want mensen spelen een cruciale rol. De awareness en sense of urgency moeten omhoog. Bij onvoldoende awareness zijn de benefits en gevaren niet zichtbaar. Resultaat: een totaal gebrek aan risico-inzicht. Data moet aan drie voorwaarden voldoen: beschikbaarheid, performance en veiligheid. De eerste twee krijgen in bedrijven vrijwel altijd alle aandacht, het laatste bijna nooit. Het gaat alleen werken als veiligheid breed op de agenda komt, eenvoudig is en niet te veel kost.

Wie ben je online? 

Soms willen consument vooral eenvoudig online surfen, soms veilig, soms willen ze anoniem blijven. Mensen moeten kunnen switchen van identiteit, één ID is onvoldoende. Technisch is dat geen probleem, privacy is wel een issue. Federatieve technieken lijken de oplossing (hoe vaker gebruikt, hoe veiliger het wordt). Alles met een username/wachtwoord is onveilig. Dat maakt de weg vrij voor nieuwe technieken, maar biometrisch als inlog is nog weinig populair (88,9% wil niet op die manier inloggen). Dat zal naar verwachting wel gaan veranderen, te meer omdat de meerderheid van de respondenten deze vorm van inloggen als veilig beschouwt.

Menselijke achilleshiel

60% van de consumenten logt nog steeds op een onbeveiligd wifi-netwerk in en slechts 22,7% gebruikt een extra beveiligd wachtwoord. Daarnaast is tweefactor authenticatie nog verre van populair (20%). Bedrijven leggen de focus op de technische dreiging, terwijl 72,8%van de  consumenten verwacht dat de kans op cybercrime zal toenemen, maar de bereidheid om te investeren (bedrijven) of te betalen (consumenten) is zeer laag. Security wordt gezien als taboe: schaamte; toegeven dat je iets niet weet, of een stomme fout hebt gemaakt. Dat komt door een tekort aan kennis. Medewerkers krijgen vaak één training en daarna blijft het stil, dat kan nooit genoeg zijn. Er moet continu geïnvesteerd worden in trainingsbewustzijn. Concrete tips helpen al een hoop: veilige wachtwoorden en updates. Maak veiligheid onderdeel van je afschrijvingen: de technische levensduur stopt als je apparaat niet meer veilig is. Dus ophouden met: ‘maar hij doet het toch nog?’ Ondanks alles, bedenk wat je nu fout doet, kun je vanaf morgen goed doen.”

Wetgeving

Compliance en Security zijn niet hetzelfde! Zonder controle en sancties wordt het niets: De AVG is prima, maar het ontbreekt aan handhaving. Daardoor is het een jaar na dato vooral een zaak van juristen. Zonder incentive voor naleving zijn regels niet effectief. De ECB/DNB vaardigde bijvoorbeeld eerst alleen formele richtlijnen uit: dat werkte niet. Daarna zijn ze banken actief gaan controleren en ondervragen: dat werkte wél. Daarnaast: jongeren zien security als een overheidstaak, volwassenen meer als eigen verantwoordelijkheid. Conclusie: de overheid speelt nu indirect een positieve rol via een prima AVG-wet, maar bij handhaving wordt deze rol alleen maar beter én dat moet ook, want er zal binnenkort een beroep op de overheid worden gedaan.”

Internet of Things

IoT is de grootste bedreiging die op ons afkomt. Dat risico moet niet onderschat worden. De meerderheid van de consumenten ziet dit als een potentieel risico dat internet onveiliger gaat maken. En dat ontwikkelt zich snel. In de decembermaand vorig haar zijn er bijvoorbeeld 11.500 nieuwe IoT-devices in huishoudens erbij gekomen. Het veiligheidsprobleem speelt overigens minder bij aanschaf, het is de levensduur (geen updates) die problemen veroorzaken. Grote vraag: wie is er verantwoordelijk voor IoT-veiligheid: de producent, consument of de overheid? De neiging is toch dat de overheid moet ingrijpen.

Security is heel belangrijk, maar bedrijven lijken er toch een blinde vlek voor te hebben als je vraagt naar de investeringen daaromtrent, stelt Henneke. “Dat is zorgelijk. En als er al meer geïnvesteerd wordt, dan gebeurt dat vooral in technische maatregelen om hacking te voorkomen, terwijl investeren in het security bewustzijn onder medewerkers minstens zo belangrijk is. Over de telefoon paswoorden delen of op onveilige links klikken is namelijk aan de orde van de dag. Phishing begint nu echt een plaag te worden in de security bij bedrijven. Wereldwijd. Dat tij moeten we keren.”

Het volledige rapport is in te zien op sidn.nl/trends

Geef als eerste een reactie

Geef een reactie

Uw e-mailadres wordt niet gepubliceerd.


*