Cybersecurity Monitor 2022: Eerste resultaten

De laatste Cybersecurity Monitor dateert van alweer iets meer dan twee jaar geleden, december 2019. In de tussentijd is er veel gebeurd. We hebben een pandemie zien ontstaan en schudden deze nu, twee jaar later, eindelijk van ons af. Inmiddels zijn we alweer een nieuwe grote crisis ingerold, met de invasie van Rusland in de Oekraïne.

Is het toeval dat in de aanloop van deze oorlog een golf van ransomware over de wereld spoelde, of was dat eerder een gevolg van de ontwikkeling van coronaproof criminaliteit? Hoe dan ook kan het niemand ontgaan zijn dat het cyberdreigingsbeeld aanzienlijk is verslechterd. Tegelijkertijd is de afhankelijkheid van IT voor bedrijven versneld toegenomen en zijn er door al die thuiswerkers een enorme hoeveelheid te beveiligen toegangspoorten tot het bedrijfsnetwerk ontstaat. Naast alle ontwikkelingen op IT-gebied, gaan bedrijven investeren in IoT en neemt het bewustzijn toe dat de securityrisico’s op OT-vlak steeds groter worden.

In de cybersecuritymonitor proberen we, Pb7 Research in opdracht van Luteijnmedia, inzicht te geven in hoe Nederlandse bedrijven en instellingen deze uitdagingen ervaren en hoe ze erop reageren. Dit jaar is het onderzoek mogelijk gemaakt door sponsors Smile en Tesorion. Op dit moment zijn we bezig met het afronden van het onderzoek, maar we geven de lezers van InfoSecurity Magazine alvast een voorproefje.

Incidenten

Niet geheel onverwacht rapporteren de respondenten nu meer incidenten dan twee jaar geleden. We zien daarbij interessante verschuivingen. Het goede nieuws is dat sommige type incidenten in 2021 beduidend minder vaak voorkwamen dan in 2019. Vooral phishing, het verlies van informatiedragers als USB-sticks en laptops en social engineering kwamen minder voor. Op het gebied van phishing en social engineering is veel geïnvesteerd om het bewustzijn van medewerkers te verbeteren en dat lijkt zijn vruchten af te werpen. Tegelijkertijd moeten we waarschuwen voor de afnemende bereidheid die we in de waarnemen om in medewerkerstraining te blijven investeren. Dat zou de komende jaren nog wel eens tot een terugval kunnen gaan leiden.

Dat er minder informatiedragers worden verloren, is niet meer dan logisch: met corona is het aantal reisbewegingen immers sterk teruggebracht. De kans dat een laptop of USB-stick gestolen of verloren wordt, is zo vanzelf kleiner geworden.  Nu het aantal reisbewegingen zich gaat normaliseren, zal het aantal verloren informatiedragers naar verwachting weer toe gaan nemen. Het risico bestaat dat dit het aantal uit voorgaande jaren zelfs zal overtreffen, doordat veel meer werknemers over laptops beschikken om thuis mee te kunnen werken.

Tegenover deze “meevallers” staat een aantal type incidenten dat aanzienlijk vaker dan voorheen tot schade leidt. In absolute zin hadden bedrijven vooral veel vaker met DDOS-aanvallen en datalekken te maken. Maar de sterkste groei zien we in ransomware aanvallen. Twee jaar geleden gaf 2% van de ondervraagde bedrijven aan een ransomware incident met schade te hebben gehad. Nu gaat het inmiddels om 7% van alle organisaties. Zorgelijk daarbij is dat de schade van juist deze incidenten in steeds meer gevallen aanzienlijk is. Niet vreemd dat ransomware inmiddels het meest gevreesde incident is.

Drivers

Toch is het veranderende dreigingsbeeld niet een van de belangrijkste redenen om te investeren in IT-security. Twee jaar geleden gold de toenemende afhankelijkheid van IT als de belangrijkste drijfveer om te investeren in IT-security, gevolgd door cloud, het gebruik van mobiele apparaten en de AVG. De afhankelijkheid van IT heeft in pandemietijd het gezicht van veilig thuis kunnen werken gekregen. Cloud is in deze tijd alleen maar belangrijker geworden voor veel organisaties en is net achter thuiswerken drijfveer nummer 2.

Wetgeving, waaronder AVG, blijft een belangrijke drijfveer waar de afgelopen jaren niet veel aan is veranderd. Misschien zouden we mogen verwachten dat de AVG als drijfveer voor security-investeringen zo langzamerhand naar de achtergrond verdwijnt. Toch blijkt ook nu weer dan nog altijd veel organisaties de boel wat dat betreft nog niet op orde hebben. Voor een deel worden bedrijven door de schade en schande van datalekken wijs. Voor een ander deel ontbreekt de juiste aansturing om nieuwe oplossingen “private-by-design” te maken. Uit de survey blijkt dat de aandacht voor het laatste duidelijk is verslapt.

Investeringen

Onder invloed van onder meer het thuiswerken, de versnelling in het gebruik van de cloud en de dreiging van bijvoorbeeld ransomware, nemen de investeren in IT security versneld toe. Twee jaar geleden groeiden de uitgaven toch al met 11% per jaar. Nu zien we een groei van 19% over 2021 met een verwachting van nog eens 18% voor 2022. Onder invloed van de marktontwikkelingen, zien we dat ook de investeringsprioriteiten wat aan het verschuiven zijn. Voor het eerst zien dat databeveiliging & encryptie het meest genoemd wordt als een topprioriteit, zij het op de voet gevold door netwerkbeveiliging en veilige content en dreigingsbeveiliging. Ook deze laatste wordt nu vaker als topprioriteit beschouwd. Een stuk lager op de lijst vinden we DeSecOps, dat maar bij 8% een topprioriteit heeft, maar toch ook nog bij 33% een hoge prioriteit. Toch is dat een sterke toename ten opzichte van 2020.

Waar bovengenoemde gebieden steeds meer prioriteit krijgen, lijkt dat ten koste te gaan van medewerkersbewustzijn-training. In de afgelopen monitors zagen we dat dit steeds meer prioriteit kreeg. Maar nu zien we dat de aandacht duidelijk lijkt te verslappen. Dat kan betekenen dat de training redelijk goed op de rit staat en dat bedrijven naar de onderhoudsmodus kunnen schakelen door een sterke toename in het bewustzijn. Het risico bestaat echter dat dit onderhoud onvoldoende aandacht krijgt, terwijl dreigingen snel kunnen evolueren.

OT security

In de cybersecuritymonitor kijken we niet alleen naar IT-security, maar ook naar IoT-security en OT-security. Om alvast een tipje van de sluier op te lichten, zien we in de survey dat cyberdreigingen steeds serieuzer worden erkend als risicofactor. Zo geeft inmiddels 26% van de respondenten met OT aan dat cybersecurity innovatie op het gebied van OT belemmerd, beduidend meer dan twee jaar geleden. Twee jaar geleden legden veel respondenten de verantwoordelijkheid neer bij machineleveranciers die zo nodig online onderhoud wilden uitvoeren. Nu zien we dat bedrijven veel beter begrijpen waar de risico’s binnen de bestaande configuraties zich bevinden. De belangrijkste uitdaging op het gebied van OT-security is de lange levenscyclus van machines. Lang niet altijd wordt de software up-to-date gehouden en lang niet altijd wordt er lang genoeg voldoende gedaan aan software-onderhoud. Los daarvan geven de respondenten toe dat ze niet echt klaar zijn voor serieuze bedreigingen op het gebied van OT. Er is vaak een gebrek aan kennis op het gebied van OT-beveiliging en het ontbreekt nog altijd vaak aan bewustzijn omtrent de risico’s.

Tenslotte

De wereld is de laatste twee jaar snel veranderd en dat heeft zijn uitwerking op het gebied van IT-security. In de Nationale Cybersecuritymonitor 2022 zien we vooral de effecten van Covid goed terug. De noodzaak en acceptatie van thuiswerken en de versnelling in het gebruik van cloud zorgen ook voor een versnelling in de investeringen op het gebied van IT-beveiliging. Tegelijkertijd zien we dat het bewustzijn omtrent OT-beveiliging groter wordt, hoewel daar zeker nog wel wat stappen gemaakt zullen moeten worden in de komende jaren. We zien dat sterkere dreigingen met een grotere impact de risico’s steeds zichtbaarder maken. Tel daar de polarisering tussen het westen en Rusland, maar ook China, en de cyberdreigingen die daarbij versterkt worden bij op en het wordt duidelijk dat IT-security zich in een ongekend dynamische tijd bevindt. De komende weken gaan we de onderzoeksresultaten verder bestuderen. Hou Infosecurity Magazine dus in de gaten!