Aon’s 2023 Cyber Resilience Report : Cybervolwassenheid bedrijven opgeschoven, maar operationele veerkracht nog ondermaats 


Als reactie op de toenemende risico’s en regelgeving is de algehele cybervolwassenheid van klanten verschoven van ‘basis’ naar ‘beheerst’, maar presteerden organisaties nog steeds ondermaats op het gebied van operationele veerkracht. Verder rapporteerden klanten een lichte, maar merkbare toename in cybervolwassenheid bij belangrijke controlegroepen, waaronder eindpuntbeveiliging, toegangscontrole en werken op afstand. Dat zijn enkele conclusies uit Aon’s 2023 Cyber Resilience Rapport.

 Een van de meest uitdagende opdrachten voor organisaties is volgens de rapportopstellers de weg die ze zullen bewandelen om veerkrachtig te worden op het gebied van cyberbeveiliging en uiteindelijk ook op operationeel gebied. “Omdat cyberrisico’s steeds complexer worden, moeten organisaties in binnen EMEA zich blijven richten op veerkracht, nieuwe regelgeving en veranderende risicoprofielen.”

Hieronder enkele uitkomsten van het onderzoek:

Een strenger acceptatiebeleid in de cyber- en E&O-verzekeringsmarkt in 2021 en de eerste helft van 2022 heeft waarschijnlijk de vooruitgang van klanten op het gebied van cybervolwassenheid beïnvloed.

Gemiddeld verbeterden organisaties in alle sectoren en omzetcategorieën hun cybervolwassenheid van ‘basis’ naar ‘beheerd. De vijf domeinen – gegevensbeveiliging, applicatiebeveiliging, werken op afstand, toegangs-, eindpunt- en systeembeveiliging – lieten de meeste verbetering zien.Teams moeten voortdurend evalueren in hoeverre de organisatie voorbereid is op veranderende bedreigingen en kwantificeerbaar bewijs leveren van de effectiviteit van de huidige beheersmaatregelen.

Het reputatieonderzoek van Aon toont aan dat een grote aanval een langdurige impact kan hebben op de aandelenkoers van een organisatie, zowel negatief als positief.

Gemiddeld resulteerde een groot cyberincident in het jaar na de aanval in een daling van de aandeelhouderswaarde met 9%. Organisaties die het slechter deden, realiseerden een gemiddelde waarde-impact van -21%. 17 organisaties slaagden erin een cyberaanval succesvol af te wikkelen en realiseerden een gemiddelde waardestijging van 18% ten opzichte van de markt.

Een van de grootste uitdagingen bij het beheren van cyberaanvallen in de huidige toeleveringsketen is het begrijpen van het bedreigingsprofiel en de basismaatregelen van de uitgebreide onderneming.

Cliënten meldden over het algemeen slechts een marginale verbetering in het riskmanagement van derden. Tot nu toe heeft geen enkele sector een volwassen, systematische aanpak voor het riskmanagement van derden. Slechts 46% van de klanten meldde multifactorauthenticatie (MFA) voor externe toegang tot operationele technologie.

Tegen 2025 zal naar verwachting de helft van alle cyberaanvallen het gevolg zijn van menselijke fouten of kwaadwillige acties.

Klanten zijn in 2022 overgestapt van een ‘basis’ naar een algeheel ‘beheerd’ risicoprofiel voor aanvallen van binnenuit. Twee op de vijf bedrijven meldden een gebrek aan beheersmaatregelen van het Security Operations Center (SOC).Bijna de helft van alle bedrijven heeft hun end-of-life software niet gescheiden van applicatiesystemen.

Systeemrisico’s ontstaan zowel binnen als buiten de organisatie en hebben een vermenigvuldigingseffect op de omvang en reikwijdte van een cyberaanval.

Het managen van systeemrisico’s staat nu bovenaan de prioriteitenlijst van de verzekeringssector. Aon voorspelt dat één aanzienlijke en succesvolle cyberaanval tot 20% van de organisaties wereldwijd kan treffen. Het vormgeven van extreme cyberaanvallen kan het totale risico blootleggen en de kans op een aanval voorspellen.

Verzekeringsmaatschappijen richten zich op cruciale beheersmaatregelen die de waarschijnlijkheid of ernst van een ransomware-aanval om bedrijfsactiviteiten te verstoren verminderen.

Klanten meldden een totale verbetering in de implementatie van cruciale beheersmaatregelen in 2022 ten opzichte van 2021 voor de maatregelen die verzekeringsmaatschappijenals prioriteit zien.Het aantal datalekken als gevolg van ransomware daalde met 16% ten opzichte van Q3 2022 tot Q4 2022, hoewel de marktgegevens over cyber en fouten en omissies (E&O) een stijging in Q1 2023 laten zien. In alle regio’s bleef het niveau van het bedrijfscontinuïteitsbeheer (BCM) tussen 2020 en 2022 gelijk en bevindt het zich op een basisniveau.

Cyberbedreigingen ontwikkelen zich voortdurend en vormen een cruciaal aandachtsgebied voor toezichthouders, klanten, aandeelhouders en de raden van bestuur in de financiële en verzekeringssector.

Klanten meldden een algehele verbetering van de risicoscore in 2022 en benaderden ‘beheerd’. Back-upbeveiliging blijft een kwetsbaar gebied. Amerikaanse bedrijven meldden tekortkomingen in bijna 40% van de cruciale IT-beheersmaatregelen.Verzekeringsclaims stijgen, met een toename van 38% in ransomware-claims van Q4 2022 tot Q1 2023.

De ontwikkeling naar het Internet of Everything betekent een enorme culturele en technologische verschuiving voor de sector en elke Omdat cyberrisico’s steeds complexer worden, moeten organisaties binnen EMEA zich blijven richten op veerkracht, nieuwe regelgeving en veranderende risicoprofielen.

Als reactie op de toenemende risico’s en regelgeving is de cybervolwassenheid van klanten verschoven van ‘basis’ naar ‘beheerst’, maar presteerden organisaties nog steeds ondermaats op het gebied van operationele veerkracht. Klanten rapporteerden een lichte, maar merkbare toename in cybervolwassenheid bij belangrijke controlegroepen, waaronder eindpuntbeveiliging, toegangscontrole en werken op afstand.Mijnbouw, steengroeven, olie- en gaswinning evolueerden van de slechtst presterende bedrijfstak in 2020 naar een van de best presterende bedrijfstakken in 2022.

De algehele cybervolwassenheid van Latijns-Amerikaanse bedrijven ligt in de buurt van bedrijven in EMEA en het VK, maar er kwamen drie aanzienlijke hiaten boven water: management door derden, zakelijke veerkracht en applicatiebeveiliging.

De gemiddelde algehele cybervolwassenheid van LATAM-bedrijven weerspiegelt die van organisaties in het VK en EMEA. Ze lijken echter wel achter te liggen op hun Amerikaanse tegenhangers. Management door derden is het laagst presterende domein. Organisaties moeten de commerciële impact van cyberrisico’s die bij deze providers horen, beter in kaart brengen Applicatiebeveiliging moet nog steeds worden beheerd. Business-leaders kunnen er baat bij hebben beveiligingstraining verplicht te stellen voor alle ontwikkelaars, inclusief regelmatige updates om bij te blijven met opkomende bedreigingen.