We leven momenteel in een wereld vol onzekerheden en uitdagingen. Eén van de uitdagingen waar het bedrijfsleven mee te maken heeft is de doorgaande groei van de cybercriminaliteit. Bedrijven, zowel groot als klein, hebben te maken met cyberdreigingen die op diverse manieren op hen afkomen. Proofpoint, een wereldwijd belangrijke speler op het gebied van cyber-security heeft in Mei 2022 een rapport gepubliceerd naar aanleiding van een onderzoek onder 1.400 CISO’s (Chief Information Security Officers) in diverse landen van de wereld, waaronder Nederland. In dit rapport is te lezen hoe de ondervraagde CISO’s de afgelopen 12 maanden hebben “beleefd” en wat hun visie is op de toekomst.
De resultaten van het rapport zijn interessant. En in sommige gevallen vind ik ze ook opvallend. Het complete Proofpoint rapport “2022 Voice of the CISO” is aan te vragen via het formulier op de Proofpoint pagina van mijn website: https://www.kochconsultancy.nl/proofpoint
Risico op een cyber-aanval in de komende 12 maanden
Er blijkt bij de ondervraagde CISO’s in de verschillende landen een erg groot verschil te bestaan in de inschatting van het risico dat hun bedrijf in de komende 12 maanden slachtoffer wordt van een cyber-aanval. Het percentage van de CISO’s die zich hier zorgen over maakt verschilt van 80% in Frankrijk tot 27% in Saudi Arabië. Het gemiddelde van alle landen is 48% en Nederland heeft het één na laagste percentage met 28%. Gemiddeld 50% van de CISO’s vinden dat hun organisatie niet voldoende is voorbereid op een gerichte aanval. Dit was in 2021 nog 66%.
Over welke aanvallen zijn de CISO’s bezorgd?
Uiteraard heeft Proofpoint tijdens het onderzoek de CISO’s ook gevraagd over welke aanval methodes ze bezorgd zijn. Het resultaat op deze vraag was een grote diversiteit aan antwoorden die allemaal ongeveer evenveel werden genoemd. Dit duidt erop dat er geen duidelijk inzicht is in de gevaren waaraan de organisaties blootstaan. Genoemd werden Interne dreigingen (31%), DDOS (30%), E-mail Fraude (30%), Cloud inbraak (30%), Malware (29%), Ransomware aanval (28%), Smishing/Vishing (28%), Leveranciersketen-aanval (27%). In Nederland werd de ransomware aanval als grootste zorg genoemd. Nederland eindigde met 19% als laagste percentage CISO-zorgen over aanvallen op cloud-accounts.
Mensen als de nieuwe “Perimeter”.
Gemiddeld 60% van alle CISO’s gelooft dat de medewerk(st)ers van hun organisatie een goed begrip hebben van hun rol bij de bescherming tegen cyber-dreigingen. Maar ook hier weer grote verschillen: het varieert van 87% in Canada tot 43% in Saudi Arabië. Nederland zit in dit lijstje met een percentage van 54%.
Ondanks dat 60% van de CISO’s gelooft dat hun medewerk(st)ers een goed begrip hebben van hun security-verantwoordelijkheden antwoordt 56% van de CISO’s dat de nummer-1 cyber-dreiging voor hun organisatie de mens is. Dit suggereert dat de CISO’s vinden dat de medewerk(st)ers niet beschikken over de juiste cyber-skills. Nederland zit met 56% exact op het gemiddelde van alle landen. En dat terwijl het World Economic Forum in hun “Global Risk Report 2022” aangeeft dat 95% van alle cyber incidenten te herleiden is naar menselijke fouten.
Ransomware
We lezen allemaal wel de berichten over bedrijven en organisaties die door een ransomware aanval zijn getroffen. Zo’n aanval heeft serieuze gevolgen met grote operationele-, financiële- en reputatie-schade. Een recent voorbeeld is het bericht van 20 mei 2022 over de 6 ziekenhuizen in België die operaties, consulten en onderzoeken moeten annuleren vanwege een ransomware aanval. Volledig herstel kan weken of zelfs maanden duren.
Proofpoint refereert in hun rapportage ook nog naar een rapport van ENISA uit oktober 2021 waarin valt te lezen dat het aantal ransomware aanvallen in 2021 met 150% is gestegen. Hierdoor is het de grootste cyber-dreiging van deze tijd. Ondanks deze grote dreiging geeft nog steeds 42% van de ondervraagde CISO’s aan dat ze géén Ransomware policy hebben.
Cyber verzekeringen
Grote verschillen zijn ook te zien als het gaat over cyberverzekeringen. Het percentage CISO’s dat aangeeft te vertrouwen op een afgesloten cyberverzekering bij een ransomware aanval loopt uiteen van 87% (Canada) tot 40% (Saudi Arabië). Het gemiddelde van alle landen ligt op 58% en Nederland scoort hier 65%. Voorzichtigheid is hier gepast. Vanwege de enorme schade die ransomware aanricht worden verzekeringsmaatschappijen kritischer als het gaat om ransomware. Uitbetaling van een losgeld is niet altijd gedekt.
De focus van veel CISO’s is de laatste tijd verschoven naar het voorkomen van ransomware in plaats van het detecteren/reageren op een aanval. Het gemiddelde van alle landen ligt op 59% en voor Nederland is dat 52%.
Zorgen om de gevolgen van cybercriminaliteit
De CISO’s is gevraagd om aan te geven over welke gevolgen van een cyber-aanval de grootste zorgen zijn. De CISO’s gaven de volgende 3 antwoorden als de belangrijkste zorgen voor de directie van de bedrijven: Lange downtime van de IT-systemen (37%), verstoring van de operationele capaciteit (36%) en gevolgen voor de waarde van het bedrijf (36%). Daarna werden reputatieschade genoemd, verlies van klanten en het wegvallen van omzet.
Conclusie
Omdat CISO's zich de afgelopen twee jaar hebben aangepast aan de veranderende situatie, voelen velen van hen zich meer op hun gemak bij het risiconiveau waarmee ze worden geconfronteerd. “Lapwerk” systemen en ad-hoc beleid zijn vervangen door meer strategische cyberdefensie. Tegelijkertijd zijn medewerkers nu gewend aan het werken buiten kantoor. Als gevolg hiervan geloven wereldwijd veel CISO's nu dat werknemers hun security verantwoordelijkheden kennen. Velen kunnen echter toch in een val terecht komen. Gerichte aanvallen, ransomware en bedreigingen van binnenuit komen steeds vaker voor.
De menselijke factor
Aangezien de meeste cyberaanvallen menselijke interactie vereisen, blijven mensen de grootste risicofactor. De mensen in elke organisatie zijn tegenwoordig het aanvalsdoel van de cybercriminelen. Helaas zijn er nog steeds relatief veel bedrijven waar géén maatregelen worden genomen om de mensen in de organisatie weerbaar te maken en te houden. Dat is een reden tot bezorgdheid. Dit zou veroorzaakt kunnen worden door een gebrek aan commitment van de directie op dit gebied. Uit het rapport blijkt ook dat veel CISO’s geen goede/directe communicatie ervaren met hun Management team.
Het blijkt dat CISO’s in de diverse landen weten waar de verbeteringen moeten worden aangebracht. Er wordt geïnvesteerd in beveiligingsoplossingen en training voor beveiligingsbewustzijn, beide van vitaal belang in hybride werkomgevingen. Er wordt ook erkend dat er een tekort aan mankracht en kennis is en veel CISO's zijn van plan om hier de komende tijd externe hulp voor te gaan inzetten.
Graag kom ik in contact om de mogelijkheden te bespreken voor het vergroten van de security awareness en het verlagen van de cyber-risico’s.
Bij interesse kunt u contact opnemen via rob.koch@kochconsultancy.nl of telefonisch via 06-53233269
Uiteraard is het ook mogelijk om via de website contact op te nemen: www.kochconsultancy.nl
Reactie plaatsen
Reacties