Meer dan de helft van de Nederlandse bedrijven (59%) wil informatie ontvangen over IT-kwetsbaarheden. Dit blijkt uit nieuw onderzoek van het Digital Trust Center, onderdeel van het ministerie van Economische Zaken, uitgevoerd door onderzoeksbureau Motivaction. Bedrijven ontvangen informatie over IT-kwetsbaarheden zoals beveiligingslekken in bedrijfssoftware bij voorkeur van hun IT-dienstverlener of overheidsinstantie. Bedrijven hechten vooral waarde aan een duidelijke risicoschatting en praktische adviezen om digitale kwetsbaarheden te verhelpen. Ondanks deze grote behoefte, ontvangt lang niet ieder bedrijf op dit moment de benodigde informatie terwijl de cyberdreigingen juist blijven toenemen.
Bedrijfsgrootte voorspeller voor gebruik van kwetsbaarhedeninformatie
Eén op de drie bedrijven ontvangt momenteel helemaal geen informatie over kwetsbaarheden. Vooral zzp’ers ontvangen deze informatie niet (61%). In het mkb ligt dit percentage op 14% en bij de grote bedrijven met meer dan 250 medewerkers ontvangt slechts 4% geen kwetsbaarhedeninformatie.
Bedrijven ontvangen verschillende soorten informatie
Informatie over kwetsbaarheden in IT-systemen of applicaties kan divers van inhoud en vorm zijn. Bedrijven die deze informatie ontvangen, ontvangen het vaakst advisories/beveiligingsadviezen (36%), en dreigingsbeelden (26%). Maar ook CTI-rapportages, CVE, CVSS en IoC's worden gebruikt om kennis te nemen van eventuele kwetsbaarheden in software en hardware die de eigen organisatie gebruikt. Eén op de drie bedrijven weet niet welk soort informatie het ontvangt.
Informatiebronnen voor kwetsbaarhedeninformatie
Van de bedrijven die wel kwetsbaarhedeninformatie ontvangen, komt dit respectievelijk binnen via een IT-dienstverlener (28%), via hun eigen netwerk of platform (21%) of vanuit een overheidsinstantie (9%). Binnen die laatste groep ontvangt 42% deze informatie van het NCSC en 34% van het DTC.
Wanneer bedrijven wordt gevraagd van wie ze deze informatie het liefst ontvangen, liggen de cijfers iets anders. Het grootste deel (43%) van de bedrijven heeft een voorkeur voor een IT-dienstverlener als informatiebron, terwijl 30% liever informatie ontvangt van een overheidsinstantie zoals het NCSC of DTC. Eenzelfde aandeel (30%) noemt het eigen netwerk of cyberplatform als voorkeurskanaal. Een CERT is voor 14% van de bedrijven een gewenste bron van kwetsbaarhedeninformatie.
Voorkeur voor kwetsbaarhedeninformatie over eigen systemen
Bedrijven willen vooral informatie ontvangen over kwetsbaarheden die specifiek relevant zijn voor hun eigen organisatie. Zo geeft 26% van de afnemers aan vooral geïnteresseerd te zijn in kwetsbaarheden die direct impact hebben op door hen gebruikte systemen. Daarnaast wil 16% informatie over alle bekende kwetsbaarheden. Ook is er aandacht voor de ernst van de dreiging: 15% wil vooral geïnformeerd worden over kwetsbaarheden waarbij de kans op misbruik zeer hoog is en 12% over kwetsbaarheden met een hoog schadepotentieel.
Grootste behoefte aan informatie met concrete actiepunten bij IT-kwetsbaarheden
Bedrijven die kwetsbaarhedeninformatie willen ontvangen, zijn vooral geïnteresseerd in:
- Een duidelijke beschrijving van de geadviseerde acties om de kwetsbaarheid te verhelpen (47%)
- Een duidelijke beschrijving van het risico van de kwetsbaarheid (39%)
- Een duidelijke beschrijving van factoren die bepalen of deze kwetsbaarheid relevant is voor mijn organisatie (37%)
- Een duidelijke beschrijving van de IT-systemen waar de kwetsbaarheid impact op heeft (32%)
- Een duiding van de situatie (29%)
- Informatie die wij makkelijk geautomatiseerd kunnen verwerken in onze werkwijze (20%)
- Een score die ons helpt bij het inschalen van de ernst en het risico van een kwetsbaarheid (19%)
Frequentie van berichtgeving: direct of periodiek
Bijna de helft (45%) van de bedrijven wil kwetsbaarhedeninformatie direct ontvangen zodra de dreiging bekend is. Snelheid is dus belangrijk. Daarnaast geeft 44% de voorkeur aan periodieke updates, waarbij de frequentie varieert tussen maandelijks, wekelijks en dagelijks.
Voorkeurskanaal voor ontvangen van kwetsbaarhedeninformatie
Bedrijven hebben een duidelijke voorkeur voor e-mail als het gaat om het ontvangen van kwetsbaarhedeninformatie. Bijna een kwart geeft aan (ook) gebeld te willen worden over deze informatie. Eenzelfde percentage (23%) wil deze informatie (ook) via een webportal ontvangen.