Het bedrijfsleven neemt in vergelijking met eerdere uitkomsten uit 2020 meer maatregelen en is beter voorbereid op de toegenomen cyberdreiging.
Dit schrijft verzekeraar Aon in zijn het Cyber Resilience Report 2023. Een groot cyberincident bij een bedrijf leidt gemiddeld tot een daling van 9% van de aandeelhouderswaarde. Het besef dat deze vorm van criminaliteit de bedrijfsvoering volledig kan ontwrichten en de reputatie mogelijk schaadt, dringt steeds verder door. De helft van alle cybercriminaliteit wordt in 2025 naar verwachting veroorzaakt door menselijke fouten of kwaadwillige acties. Bedrijven die een aanval succesvol doorkomen zien hun waarde gemiddeld met 18% stijgen.
Evolutie cyberrisico
De gezondheidszorg, detailhandel en vastgoedsector hebben in de afgelopen drie jaar de grootste vooruitgang geboekt in het beheersen van cyberrisico’s. Bedrijven hebben vooral meer gedaan op het gebied van systeem- en eindpuntbeveiliging, toegangsbeheer, gegevensbeveiliging, applicatiebeveiliging en werken op afstand. “Dat verzekeraars steeds kritischer worden bij het acceptatieproces voor het afsluiten van een cyberverzekering, kan zeker een rol gespeeld hebben. Zij verwachten meer actie van bedrijven om de kans op en de impact van incidenten te verkleinen,” zegt Ralf Willems, practice leader cyber consulting bij Aon Nederland. “Het aantal en de ernst van aanvallen is toegenomen. De afhankelijkheid van digitalisering groeit nog steeds. Bedrijven ontkomen er niet meer aan minstens één keer per jaar te controleren of zij nog passende risicobeheer en -beveiliging hebben die aansluit op hun doel. Zo zorgt kunstmatige intelligentie voor nieuwe cyberdreigingen.”
Risico van binnenuit
Twee op de vijf bedrijven beschikt niet over de noodzakelijke maatregelen (Security Information and Event Management en Security Operations Center) om beveiligingsincidenten in het netwerk proactief te monitoren, analyseren, prioriteren en een eerste respons als een incidentrapport te bieden. Dat helpt niet om de dreiging van binnenuit te beperken. Wat beter geregeld is, is dat 70% van de bedrijven gebruik maakt van eindpuntdetectie en -respons (EDR) op alle werkstations. Hiermee worden verdachte activiteiten herkent en onderzocht.
Leveranciersrisico
Eén van de grootste uitdagingen is het beheersen van het cyberrisico in de toeleveringsketen. Bedrijven worstelen met het zicht en grip houden op de risico’s bij leveranciers, maar ook met de impact van internationale conflicten of andere geopolitieke ontwikkelingen. Organisaties geven zichzelf het laagste cijfer van volwassenheid op dit specifieke risicogebied. Zo beschikt meer dan de helft van de onderzochte bedrijven niet over multifactorauthenticatie voor toegang van derden, zoals leveranciers.
Continuïteit
Willems: “Bedrijven moeten voorbereid zijn op de meest sombere scenario’s. Wat gebeurt er als het bedrijfsnetwerk volledig uitvalt? Hoe blijft het bedrijf operationeel en hoe wordt de dienstverlening aan klanten gewaarborgd? Deze vragen zijn een belangrijk onderdeel van het business continuity management van een bedrijf.” Het niveau van de onderzochte organisaties bleef in de afgelopen jaren op dit gebied gelijk en bevindt zich op basisniveau. Zo geeft 70% van de bedrijven aan geen back-ups op een aparte, externe locatie te hebben of back-ups die onder geen beding verwijderd of aangepast kunnen worden.
Integrale aanpak
“Het loont om te investeren in cyberweerbaarheid”, zegt Willems. “Integreer nieuwe Europese regelgeving die bedoeld is om beter te beschermen en weerbaarder te maken in de dagelijkse processen. Aanvallen op infrastructuur en technologie zijn onvermijdelijk. Een incident kan alle onderdelen van het bedrijf beïnvloeden. Het besef dat cyberdreiging integraal met alle andere bedrijfsrisico’s moet worden benaderd, is de afgelopen jaren gegroeid. Het is van belang dat we bijblijven met de veranderende cyberdreigingsomgeving.”
Elke werkdag het belangrijkste financiële nieuws in uw mailbox? Meld u gratis aan voor InFinance Daily.
