Organisaties hebben nog steeds hun basisbeveiliging niet op orde als het gaat om het beheersen van cyberrisico’s. Ongeacht hun grootte of sector waarin zij actief zijn, scoren veel organisaties niet goed op de vier belangrijkste thema’s in relatie tot cyberrisico’s in 2021: het verkennen van nieuwe risico’s, risico’s bij derde partijen/partners, de focus op maatregelen (ransomware) en het perfectioneren van de basis. Dat blijkt uit het Risicorapport Cyberveiligheid 2021: Risico’s en kansen in balans brengen met betere beslissingen van Aon.
Voor dit onderzoek analyseerde Aon data van 996 organisaties
wereldwijd uit verschillende sectoren. Nieuw is het inzicht afgeleid van Aon’s
Cyber Quotient Evaluation (CyQu), een uitgebreid cyberrisicoassessment dat
de volwassenheid van cyberrisico’s evalueert in negen kritieke domeinen.
Digitale
evolutie vraagt om continue cyberrisicobeheersing
Hoewel volgens het rapport de meeste cyberdreigingen niet nieuw zijn,
veroorzaakt de coronapandemie een exponentiële stijging van cyberrisico’s. Om
de pandemie te overleven, moeten organisaties in een hoog tempo de digitale
evolutie in. Organisaties zijn kwetsbaarder voor incidenten als
ransomware-aanvallen of ketenverstoringen doordat zij vooral digitaal
zakendoen, medewerkers vanuit huis werken en de afhankelijkheid van de
toeleveringsketen groter wordt. Zo is er een enorme toename op ransomware-aanvallen.
Het risico hiervan steeg tussen 2018 en 2021 met 400%.
Uit het onderzoek blijkt dat veel organisaties nog achterlopen met
beveiligingsmaatregelen die door COVID-19 versneld nodig zijn. Werken op
afstand lijkt een blijvende trend, maar slechts 40% neemt de juiste maatregelen
om de beveiligingsrisico’s van deze situatie te beheersen. Minder dan twee op
de tien bedrijven (17%) heeft beveiligingsmaatregelen die passen bij het snelle
tempo van de digitale evolutie.
Mark Bouman, cyber risk consultant bij Aon’s Cyber
Solutions, benadrukt dan ook het belang van continue cyberrisicobeheersing:
“Tijdens de coronapandemie is onder tijdsdruk veel digitaal geïnnoveerd, maar
de beveiligingsmaatregelen lopen hier nu op achter. Het is cruciaal dat er een
balans wordt gevonden tussen de beheersing van cyberrisico’s en de voordelen en
kansen van digitale evolutie.”
Aon’s Cyber Solutions noemt de toepassing van kunstmatige intelligentie,
alternatieve manieren voor betalingen, pensioenregelingen, de afhankelijkheid
van technologieleveranciers en de verdere groei van het Dark Web als opkomende
risico’s voor cyberincidenten. Het rapport benoemt verder het inzicht hebben in
de afhankelijkheden en maatregelen van partners/leveranciers, de focus op
maatregelen in relatie tot ransomware en het perfectioneren van de
basisbeveiliging als belangrijke aandachtspunten. Ook op deze punten zijn
organisaties nog onvoldoende voorbereid. Zo beschikt slechts één op de vijf
(21%) organisaties over voldoende beheersmaatregelen voor het houden van
toezicht op kritieke leveranciers en verkopers.
Ook de maatregelen om ransomware-aanvallen te voorkomen, kunnen
beter: één op de drie organisaties (31%) beschikt over passende maatregelen. De
toegangsbeheersmaatregelen (44%) en endpoint- en systeembeveiliging (49%)
kunnen eveneens beter geregeld worden. Om het basisbeveiligingsniveau te
overtreffen, is het volgens Aon belangrijk om verder te kijken dan alleen het
naleven van bestaande wet- en regelgeving en ook te focussen op wat de
organisatie zelf nodig heeft om de best passende beveiliging te bieden. De
beste beveiligingsmaatregelen vereisen maatwerkoplossingen.
Ransomware
steeds groter risico
Uit het rapport blijkt dat het aantal verzekeringsclaims als gevolg van ransomware-aanvallen
tussen begin 2019 en eind 2020 met 336% is gestegen. Bouman: “Bij zeven op de
tien ransomware-aanvallen in 2020 werd gedreigd om de gegevens te lekken
of te veilen op het Dark Web. Het draait dus niet alleen meer om het betalen om
je bestanden te ontsleutelen. Veel risico’s hangen onderling samen. Alleen door
continu te kijken naar de beheersing van cyberrisico’s zijn organisaties nog in
staat zich te wapenen tegen cyberdreigingen.”
Volgens Bouman beheersen ook in Nederland veel organisaties cyberrisico’s nog
onvoldoende: “Cyberrisico’s beperken zich niet tot landsgrenzen. Kijk naar het
voorbeeld van SolarWinds. Als één softwarebedrijf slachtoffer wordt van een
hack en die software door tal van organisaties wereldwijd wordt gebruikt,
ontstaat vroeg of laat een groot probleem. Ook Nederlandse organisaties, van
multinational tot eenmanszaak, maakten gebruik van de kwetsbare software en de
gevolgen hiervan worden nog steeds onderzocht.”