Bedrijfsleven wapent zich tegen cyberrisico’s (maar nog steeds niet voldoende)
Het internationale bedrijfsleven bereidt zich steeds beter voor op cyberaanvallen. Toch blijft er nog veel ruimte voor verbetering, zo is te lezen een rapport van Aon.
Voor de terugkerende studie namen de onderzoekers bijna 3.000 organisaties onder de loep uit onder meer Canada, de VS, het VK, Latijns-Amerika, de Azië-Pacific-regio en Nederland.
Sinds de vorige meting heeft het internationale bedrijfsleven meer maatregelen genomen om cyberrisico’s te minimaliseren. Zo hebben bedrijven hun toegangsbeheer en data beter beveiligd. Ook verbeterden ze hun eindpuntbeveiliging – een manier om een netwerk te beschermen als daarin externe of draadloze apparaten worden gebruikt, zoals laptops, tablets en mobiele telefoons.
Ralf Willems, Practice Leader Cyber Consulting bij Aon, geeft aan dat deze voortuitgang mede wordt aangejaagd door verzekeraars, die steeds kritischer zijn bij het toekennen van een cyberverzekering. “Ze eisen van bedrijven dat deze zelf maatregelen nemen om de kans op en de impact van cyberincidenten te verkleinen.”
Vastgoed voorop, onderwijs blijft achter
Bedrijven uit de vastgoedbranche boekten de grootste vooruitgang in het beheersen van cyberdreigingen. Ook organisaties uit de detailhandel, de transportsector, de bouwsector en de gezondheidszorg zetten flinke stappen voorwaarts.
De minste vooruitgang werd gerealiseerd door organisaties uit het onderwijs, terwijl deze best wel vaak met cybercriminaliteit te maken hebben. Zo betaalde de Universiteit Maastricht in 2019 een slordige €250.000 losgeld aan hackers. In diezelfde periode werd de Radboud Universiteit vijf keer getroffen door een cyberaanval.
Begin 2021 werden de servers gehackt van de NWO, het belangrijkste onderzoeksinstituut van ons land, dat beschikt over een jaarlijks subsidiebudget van zo’n €1 miljard. Cybercriminelen eisten destijds een deel van dit geld. In datzelfde jaar werd ook de Universiteit van Amsterdam getroffen door een cyberaanval.
Lees ook: Onderwijsinstellingen onderschatten risico van cybercriminaliteit.
Volgens BDO en onderwijsbranchevereniging SURF vormen docenten en wetenschappers vaak de zwakke schakel in de beveiliging tegen cybercriminaliteit binnen de onderwijs- en onderzoekswereld. Zij zouden daarom gebaat zijn bij extra cyberveiligheidskennis.
Menselijke fouten
In het rapport van Aon is een verwante conclusie te lezen. Volgens de onderzoekers zal tegen 2025 ongeveer de helft van alle cybercriminaliteit het gevolg zijn van menselijke fouten of kwaadwillige acties. Willems geeft aan dat het van belang is dat bedrijven rekening houden met deze ontwikkeling.
“Het aantal cyberaanvallen en de ernst ervan is toegenomen, terwijl de wereld steeds afhankelijker wordt van digitale technologieën”, waarschuwt hij. “Bedrijven ontkomen er niet aan om minstens één keer per jaar hun cyberveiligheidsbeleid te controleren. Alles verandert zo snel: AI zorgt bijvoorbeeld voor talloze nieuwe cyberdreigingen.”
Voorbereiden op het ergste
Volgens Willems doen bedrijven er goed aan zich voor te bereiden op de somberste scenario’s. “Bedrijven moeten bijvoorbeeld een plan hebben voor het scenario waarin het bedrijfsnetwerk volledig uitvalt. Met dit soort plannen kunnen ze de continuïteit van hun operaties waarborgen in ons digitale tijdperk.”
En zijn bedrijven reeds tot in de puntjes voorbereid? Niet echt. Zo geeft nog altijd zo’n 70% aan geen back-ups op een aparte, externe locatie te hebben of back-ups die onder geen beding verwijderd of aangepast kunnen worden. “Dat maakt je zéér kwetsbaar voor cyberaanvallen”, zegt Willems.