Organisaties hebben hun basisbeveiliging niet op orde als het gaat om het beheersen van cyberrisico’s. Ongeacht hun grootte of sector waarin zij actief zijn, scoren veel organisaties niet goed op de vier belangrijkste thema’s in relatie tot cyberrisico’s in 2021: het verkennen van nieuwe risico’s, risico’s bij derde partijen/partners, de focus op maatregelen (ransomware) en het perfectioneren van de basis. Dat blijkt uit het Risicorapport Cyberveiligheid 2021 van Aon.
Om de pandemie te overleven, moeten organisaties in een hoog tempo de digitale evolutie in. Dit veroorzaakt een exponentiële stijging van cyberrisico’s. Organisaties zijn kwetsbaarder voor incidenten als ransomware-aanvallen of ketenverstoringen doordat zij vooral digitaal zakendoen, medewerkers vanuit huis werken en de afhankelijkheid van de toeleveringsketen groter wordt. Zo is er een enorme toename op ransomware-aanvallen. Het risico hiervan steeg tussen 2018 en 2021 met 400 procent.
Maatregelen bij werken op afstand
Werken op afstand is blijvend, maar slechts 40 procent van de organisaties geeft aan over adequate thuiswerkstrategieën te beschikken om deze nieuwe situatie te beheren.
Deze maatregelen houden in:
• connectiviteit op afstand,
• authenticatie en identiteit,
• kwetsbaarheid van apparaten en monitoring bedrijfscontinuïteit op afstand,
• veiligheidsbewustzijn op afstand.
Werken op afstand lijkt blijvend, maar beveiliging is niet aangepast
Veel organisaties lopen nog achter met beveiligingsmaatregelen die door COVID-19 versneld nodig zijn. Werken op afstand lijkt een blijvende trend, maar slechts 40 procent neemt de juiste maatregelen om de beveiligingsrisico’s van deze situatie te beheersen. Minder dan twee op de tien bedrijven (17%) heeft beveiligingsmaatregelen die passen bij het snelle tempo van de digitale evolutie. De onderzoekers benadrukken het belang van continue cyberrisicobeheersing: ‘Tijdens de coronapandemie is onder tijdsdruk veel digitaal geïnnoveerd, maar de beveiligingsmaatregelen lopen hier nu op achter. Het is cruciaal dat er een balans wordt gevonden tussen de beheersing van cyberrisico’s en de voordelen en kansen van digitale evolutie.’
Opkomende risico’s
De onderzoekers signaleren een viertal opkomende risico’s voor cyberincidenten. Dat zijn:
- de toepassing van kunstmatige intelligentie: machine learning groeit in een enorm tempo en is een onvermijdelijk onderdeel van de manier waarop organisaties zaken zullen doen;
- alternatieve manieren voor betalingen: overal waar een betaling plaatsvindt, bestaat een cyberrisico;
- pensioenregelingen: pensioenregelingen bevatten een schat aan gegevens en zijn tevens een toegangspoort tot enorme sommen geld;
- de afhankelijkheid van technologieleveranciers: elk jaar komen er nieuwe dreigingen bij geïntroduceerd via technologieleveranciers;
- de verdere groei van het dark web: gevoed door de groei van cryptocurrency, het gebruik van browsertechnologie zoals TOR en de toenemende verfijning van ransomwaregroepen, worden criminele markten sterker.
Belangrijke aandachtspunten
Het rapport benoemt verder het inzicht hebben in de afhankelijkheden en maatregelen van partners/leveranciers, de focus op maatregelen in relatie tot ransomware en het perfectioneren van de basisbeveiliging als belangrijke aandachtspunten. Ook op deze punten zijn organisaties nog onvoldoende voorbereid. Zo beschikt slechts één op de vijf (21%) organisaties over voldoende beheersmaatregelen voor het houden van toezicht op kritieke leveranciers en verkopers. Ook de maatregelen om ransomware-aanvallen te voorkomen, kunnen beter: één op de drie organisaties (31%) beschikt over passende maatregelen. De toegangsbeheersmaatregelen (44%) en endpoint- en systeembeveiliging (49%) kunnen eveneens beter geregeld worden. Om het basisbeveiligingsniveau te overtreffen, is het volgens de onderzoekers belangrijk om verder te kijken dan alleen het naleven van bestaande wet- en regelgeving en ook te focussen op wat de organisatie zelf nodig heeft om de best passende beveiliging te bieden. De beste beveiligingsmaatregelen vereisen maatwerkoplossingen.
Ransomware steeds groter risico
Uit het rapport blijkt dat het aantal verzekeringsclaims als gevolg van ransomware-aanvallen tussen begin 2019 en eind 2020 met 336 procent is gestegen. Bij zeven op de tien ransomware-aanvallen in 2020 werd gedreigd om de gegevens te lekken of te veilen op het dark web, aldus de onderzoekers. Het draait dus niet alleen meer om het betalen om je bestanden te ontsleutelen. Veel risico’s hangen onderling samen. Alleen door continu te kijken naar de beheersing van cyberrisico’s zijn organisaties nog in staat zich te wapenen tegen cyberdreigingen.
