Basisbeveiliging voor beheersen cyberrisico’s ontbreekt bij veel organisaties

Organisaties hebben nog steeds hun basisbeveiliging niet op orde als het gaat om het beheersen van cyberrisico’s. Ongeacht hun grootte of sector waarin zij actief zijn, scoren veel organisaties niet goed op de vier belangrijkste thema’s in relatie tot cyberrisico’s in 2021: het verkennen van nieuwe risico’s, risico’s bij derde partijen/partners, de focus op maatregelen (ransomware) en het perfectioneren van de basis.

Dat blijkt uit het Risicorapport Cyberveiligheid 2021: Risico’s en kansen in balans brengen met betere beslissingen van Aon, wereldwijd dienstverlener op het gebied van risico-, pensioen- en gezondheidsoplossingen. Voor dit onderzoek analyseerde Aon data van 996 organisaties wereldwijd uit verschillende sectoren. Nieuw is het inzicht afgeleid van Aon’s Cyber Quotient Evaluation (CyQu), een uitgebreid cyberrisicoassessment dat de volwassenheid van cyberrisico’s evalueert in negen kritieke domeinen.

Digitale evolutie vraagt om continue cyberrisicobeheersing

Hoewel volgens het rapport de meeste cyberdreigingen niet nieuw zijn, veroorzaakt de coronapandemie een exponentiële stijging van cyberrisico’s. Om de pandemie te overleven, moeten organisaties in een hoog tempo de digitale evolutie in. Organisaties zijn kwetsbaarder voor incidenten als ransomware-aanvallen of ketenverstoringen doordat zij vooral digitaal zakendoen, medewerkers vanuit huis werken en de afhankelijkheid van de toeleveringsketen groter wordt. Zo is er een enorme toename op ransomware-aanvallen. Het risico hiervan steeg tussen 2018 en 2021 met 400%.

Uit het onderzoek blijkt dat veel organisaties nog achterlopen met beveiligingsmaatregelen die door COVID-19 versneld nodig zijn. Werken op afstand lijkt een blijvende trend, maar slechts 40% neemt de juiste maatregelen om de beveiligingsrisico’s van deze situatie te beheersen. Minder dan twee op de tien bedrijven (17%) heeft beveiligingsmaatregelen die passen bij het snelle tempo van de digitale evolutie. Mark Bouman, cyber risk consultant bij Aon’s Cyber Solutions, benadrukt dan ook het belang van continue cyberrisicobeheersing: “Tijdens de coronapandemie is onder tijdsdruk veel digitaal geïnnoveerd, maar de beveiligingsmaatregelen lopen hier nu op achter. Het is cruciaal dat er een balans wordt gevonden tussen de beheersing van cyberrisico’s en de voordelen en kansen van digitale evolutie.”

Aon’s Cyber Solutions noemt de toepassing van kunstmatige intelligentie, alternatieve manieren voor betalingen, pensioenregelingen, de afhankelijkheid van technologieleveranciers en de verdere groei van het Dark Web als opkomende risico’s voor cyberincidenten.    

Het rapport benoemt verder het inzicht hebben in de afhankelijkheden en maatregelen van partners/leveranciers, de focus op maatregelen in relatie tot ransomware en het perfectioneren van de basisbeveiliging als belangrijke aandachtspunten. Ook op deze punten zijn organisaties nog onvoldoende voorbereid. Zo beschikt slechts één op de vijf (21%) organisaties over voldoende beheersmaatregelen voor het houden van toezicht op kritieke leveranciers en verkopers. Ook de maatregelen om ransomware-aanvallen te voorkomen, kunnen beter: één op de drie organisaties (31%) beschikt over passende maatregelen. De toegangsbeheersmaatregelen (44%) en endpoint- en systeembeveiliging (49%) kunnen eveneens beter geregeld worden. Om het basisbeveiligingsniveau te overtreffen, is het volgens Aon belangrijk om verder te kijken dan alleen het naleven van bestaande wet- en regelgeving en ook te focussen op wat de organisatie zelf nodig heeft om de best passende beveiliging te bieden. De beste beveiligingsmaatregelen vereisen maatwerkoplossingen.

Ransomware steeds groter risico

Uit het rapport blijkt dat het aantal verzekeringsclaims als gevolg van ransomware-aanvallen tussen begin 2019 en eind 2020 met 336% is gestegen. Bouman: “Bij zeven op de tien ransomware-aanvallen in 2020 werd gedreigd om de gegevens te lekken of te veilen op het Dark Web. Het draait dus niet alleen meer om het betalen om je bestanden te ontsleutelen. Veel risico’s hangen onderling samen. Alleen door continu te kijken naar de beheersing van cyberrisico’s zijn organisaties nog in staat zich te wapenen tegen cyberdreigingen.”

Volgens Bouman beheersen ook in Nederland veel organisaties cyberrisico’s nog onvoldoende: “Cyberrisico’s beperken zich niet tot landsgrenzen. Kijk naar het voorbeeld van SolarWinds. Als één softwarebedrijf slachtoffer wordt van een hack en die software door tal van organisaties wereldwijd wordt gebruikt, ontstaat vroeg of laat een groot probleem. Ook Nederlandse organisaties, van multinational tot eenmanszaak, maakten gebruik van de kwetsbare software en de gevolgen hiervan worden nog steeds onderzocht.”