Kroll, leverancier van wereldwijde risico- en financiële adviesoplossingen, heeft zijn 2023 State of Cyber Defense Report uitgebracht: The False-Positive of Trust, waarin de balans tussen vertrouwen en cybervolwassenheid wordt onderzocht. Uit
het rapport onder respondenten afkomstig uit de VS, het VK, Ierland, Spanje, Italië, Singapore, Hong Kong, Japan en Brazilië, blijkt dat 37% van de senior besluitvormers op het gebied van beveiliging er ‘volledig’ op vertrouwt dat hun organisatie beschermd is en zich met succes kan verdedigen tegen alle cyberaanvallen, ondanks dat organisaties het afgelopen jaar gemiddeld vijf grote beveiligingsincidenten hebben meegemaakt. Hoewel organisaties gemiddeld acht cyberbeveiligingsplatforms inzetten, geldt dat hoe hoger het gemiddelde aantal geïnstalleerde platforms, hoe meer cyberbeveiligingsincidenten organisaties hebben meegemaakt.
De correlatie tussen het aantal beveiligingstools en het aantal beveiligingsincidenten suggereert dat het verkeerd is om alleen op beveiligingstools te vertrouwen en dat beveiligingsteams de bedreigingen waarmee ze worden geconfronteerd mogelijk niet volledig begrijpen. Verder heeft, ondanks het aantal ingezette beveiligingstools, slechts 24% een MDR-oplossing (Managed Detection and Response) of een MSSP-oplossing (Managed Security Service Provider). Dit bevestigt dat het hebben van meerdere beveiligingstools op een netwerk geen bescherming garandeert, en zonder een partner die routinematig de oplossingen voor beveiligingsmonitoring beheert en bijwerkt – wat een MDR-provider zou doen – zijn organisaties kwetsbaarder voor bedreigingen.
Pierson Clair, Managing Director Cyber Risk bij Kroll, licht toe: “Om door het huidige bedreigingslandschap te kunnen navigeren, is vertrouwen noodzakelijk. Er moet vertrouwen zijn in teams, vertrouwen in technologie en de configuratie ervan, in informatiebronnen en in leveranciers. Er moet echter een kritieke afweging worden gemaakt over hoeveel en waar dat vertrouwen moet worden geplaatst. Verder is er vaak sprake van overschatting van de capaciteiten van beveiligingstools zonder dat daar voortdurend op wordt gereageerd. Dit is natuurlijk begrijpelijk gezien de enorme hoeveelheid gegevens waarmee beveiligingsteams te maken hebben en het aantal cyberincidenten dat bedrijven dagelijks te verwerken krijgen. Beveiligingsteams willen oplossingen die de problemen van vandaag oplossen, zonder te beseffen dat er geen ‘one-and-done’ oplossing bestaat voor een steeds veranderend landschap.”
De belangrijkste wereldwijde bevindingen uit Kroll’s 2023 State of Cyber Defense: The False-Positive of Trust omvatten:
Vertrouwen is duidelijk een probleem: Meer dan een derde (42%) van de besluitvormers op het gebied van informatiebeveiliging geeft aan dat een gebrek aan vertrouwen hun grootste uitdaging is, en 95% van de besluitvormers op het gebied van informatiebeveiliging heeft niet het gevoel dat het hogere management hun beveiligingsteams vertrouwt om hun organisaties te beschermen tegen bedreigingen;
Vertrouwen is ook misplaatst: Het vertrouwen in medewerkers om een cyberaanval te stoppen (66%) wordt hoger ingeschat dan het vermogen van het beveiligingsteam om hiaten in de beveiliging te identificeren en er prioriteiten aan te geven (63%), de nauwkeurigheid van gegevenswaarschuwingen (59%), de effectiviteit van cyberbeveiligingstools en -technologieën (56%) en de nauwkeurigheid van gegevens over bedreigingen (56%);
Meerdere beveiligingstools lossen het probleem niet op: Hoe hoger het gemiddelde aantal gebruikte platforms, hoe meer cyberbeveiligingsincidenten organisaties hebben meegemaakt. Het aantal incidenten en het feit dat slechts 24% MDR heeft, laten zien dat het hebben van de juiste tools, en niet het aantal tools, een belangrijke factor is bij cyberbeveiliging;
Een gebrek aan communicatie is de meest voorkomende oorzaak van een verlies aan vertrouwen, zoals gerapporteerd door 47% van de besluitvormers op het gebied van informatiebeveiliging;Bijna iedereen (97%) geeft aan geen volledig vertrouwen te hebben in alle aspecten van hun organisatie, wat duidelijk een wijdverspreide zorg is voor IT-leiders met mogelijk schadelijke gevolgen.
Er hangt een prijskaartje aan gebrek aan vertrouwen: Een overweldigende meerderheid (98%) is het ermee eens dat er een prijskaartje hangt aan een gebrek aan vertrouwen op de werkvloer, met meer complexiteit als het grootste gepercipieerde gevolg (37%) wereldwijd;
Slechts 23% van de bedrijven heeft een cyberverzekering: Verder heeft slechts 20% van de IT- en beveiligingsprofessionals die zeggen dat hun beveiligingsactiviteiten cyberrijp zijn, een cyberverzekering;
Cyberbeveiligingsdiensten uitbesteden wint aan populariteit: 98% van degenen die hun cyberbeveiligingsdiensten nog niet uitbesteden, hebben (of overwegen) dit te gaan doen, waarbij 51% van plan is dit in de komende 12 maanden te gaan doen. 89% van de besluitvormers op het gebied van IT en beveiliging zegt echter dat de transparantie tussen hun beveiligingsteams en beveiligingsleveranciers moet worden verbeterd.
Jason Smolanoff, President van Cyber Risk bij Kroll, licht toe: “Om verder te gaan dan onveilige aannames over hun cyberbeveiliging en volledig cyberbestendig te worden, moeten organisaties op de hoogte blijven van evoluerende cyberbedreigingen, diepgaand inzicht krijgen in waartegen hun beveiligingstools zich kunnen verdedigen en de tooling in reactie daarop maximaliseren. Organisaties kunnen dit bereiken door samen te werken met een betrouwbare externe partner om een onafhankelijk en accuraat perspectief op hun beveiligingsstatus te krijgen. Specialistische ondersteuning biedt het kritische gezichtspunt dat nodig is om bedrijven te helpen interne beveiligingssilo’s te vermijden en hun kennis te vergroten met voortdurend bijgewerkt inzicht in bedreigingen.”
Download de 2023 State of Cyber Defense: The False-Positive of Trust rapport, klik here.
