Als 2023 bedrijven iets heeft geleerd, is het dat cyberrisico’s moeten worden behandeld met hetzelfde niveau van zichtbaarheid, bestuur, planning en middelen als andere belangrijke bedrijfsrisico’s, zoals financiële omstandigheden, juridische aansprakelijkheden of operationele verstoringen.

De krantenkoppen zijn overspoeld met verhalen over datalekken en cyberaanvallen veroorzaakt door slechte, onduidelijke of zelfs een volledig gebrek aan informatie- en databeveiligingsbeheerprocessen. Het resultaat? Aanzienlijke financiële verliezen, reputatieschade en hoge boetes van regelgevende instanties voor de getroffen organisatie, hun leveranciers en, in sommige gevallen, zelfs individuen.

Als reactie op de toename van cyberdreigingen is de regelgeving met betrekking tot cyberbeveiliging en informatiebeveiligingspraktijken snel toegenomen. Alleen deze week, de EU heeft haar politiek akkoord over AI-regulering aangekondigd, met andere regelgeving zoals de Wet Cyberweerbaarheid en het wetsvoorstel Productbeveiliging en Telecommunicatie-infrastructuur (PSTI) dat zich aansluit bij gevestigde regelgeving zoals AVG en NIS. In de VS is een Executive Order uitgevaardigd over cyberbeveiliging en SEC-regelgeving ingevoerd over de openbaarmaking van inbreuken. Dit alles maakt duidelijk dat organisaties in staat moeten zijn om best practices op het gebied van informatie- en gegevensbeveiliging en een effectieve implementatie in alle aspecten van hun bedrijf aan te tonen.

Wat heeft 2024 precies in petto voor bedrijven, gegeven waar we nu staan? We hebben gekeken naar zes belangrijke trends waarvan we denken dat ze het informatie- en cyberbeveiligingslandschap in 2024 zullen domineren en hebben ze hieronder opgesplitst.

Trend 1: Toenemende regulering van AI en Machine Learning (ML)

AI en machine learning (ML) zijn snel essentieel geworden in het bedrijfsleven, waardoor de besluitvorming wordt geoptimaliseerd, taken worden geautomatiseerd en inzichten worden geboden die de menselijke capaciteiten te boven gaan. De prevalentie ervan heeft geleid tot wijdverbreide discussies over de gevolgen ervan voor bedrijven, individuen, privacy en digitale veiligheid.

Gezien het alomtegenwoordige en autonome karakter van deze systemen, die aanzienlijke gevolgen hebben voor het welzijn van consumenten, werknemers en infrastructuur, is er een cruciale behoefte aan doordachte regelgeving om gelijke tred te houden met hun evoluerende mogelijkheden. De vraag naar transparantie, verantwoording, maatregelen tegen vooringenomenheid en mechanismen voor foutcorrectie in de AI-besluitvorming is in 2023 gegroeid. Naarmate AI zich uitbreidt naar gebieden met een hoog risico, zal deze trend alleen maar sterker worden.

Bijgevolg zal 2024 een mijlpaaljaar zijn voor geformaliseerd AI-beheer, dat robuuste wetten, branchekaders en bedrijfsbeleid omvat. Wetgevers in Amerika, Europa en Azië stellen voorstellen op die morele en wettelijke verplichtingen opleggen aan AI-leveranciers, -ontwikkelaars en -bedrijven. De De EU heeft een politiek akkoord aangekondigd voor een AI-wet alleen deze week. 

Terwijl internationale groepen als IEEE en ISO al uitgebreide, uniforme normen opstellen voor het veilig creëren, evalueren en implementeren van ML-systemen in verschillende industrieën en toepassingen, die waarschijnlijk in het nieuwe jaar zullen worden gepubliceerd.

We verwachten ook dat het de norm zal worden om raden van bestuur op te richten om toezicht te houden op verantwoorde AI-praktijken, ontwikkelingsprocessen te auditen en modelrisico’s binnen organisaties te beheren. Naast andere activiteiten, zoals; 

  • Ethische checklists om datawetenschappers te helpen bij het creëren van representatieve datasets en onbevooroordeelde algoritmen 
  • Transparantieclausules voor uitwisselingen van AI-modellen en service-integraties opgenomen in partnercontracten

Het doel van het reguleren van AI is lovenswaardig: ervoor zorgen dat door AI beïnvloede beslissingen billijk zijn en dat bedrijven pas automatisering inzetten nadat ze de risico’s volledig hebben begrepen en beperkt, is essentieel. Deze regelgeving kan echter extra complexiteit en vertragingen met zich meebrengen voor AI-innovatoren en organisaties die dergelijke technologie willen gebruiken.

Terwijl beleidsmakers en marktleiders eraan werken om het productieve potentieel van AI te benutten en tegelijkertijd potentiële nadelen preventief aan te pakken, moeten bedrijven zich voorbereiden op het aantonen van compliance, zowel intern als aan hun klanten. Dit markeert de komst van een nieuwe fase in de AI-ontwikkeling: snel vooruitgang boeken, maar toch met een verhoogd verantwoordelijkheidsgevoel.

Trend 2: Toenemende complexiteit van ransomware

Ransomware-aanvallen zullen naar verwachting in 2024 nog vaker voorkomen en geavanceerder worden. Naarmate meer bedrijven hun activiteiten digitaliseren en gevoelige gegevens in de cloud opslaan, zullen ransomware-groepen hun focus waarschijnlijk verleggen naar cloudomgevingen en back-upgegevensopslag om de hefboomwerking voor afpersing te maximaliseren.

Een trend in opkomst zijn ransomware-aanvallen met ‘dubbele afpersing’. Bij deze plannen versleutelen de aanvallers gegevens en exfiltreren ze gevoelige informatie uit de systemen van het slachtoffer, die ze vervolgens dreigen te publiceren of online te verkopen als het losgeld niet wordt betaald. Deze extra druk zorgt ervoor dat slachtoffers eerder geneigd zijn te betalen. Aanvallers kunnen de gestolen gegevens zelfs veilen aan de hoogste bieder.

Daarnaast zijn ransomwaregroepen bezig met het opzetten van ransomware-as-a-service (RaaS)-activiteiten en malware-affiliatieprogramma's om hun impact te vergroten. Deze programma's bieden voor een deel van de winst gebruiksvriendelijke ransomware-toolkits voor cybercriminelen met beperkte technische vaardigheden. Hierdoor wordt het risico verder gedecentraliseerd en over meer aanvallen verspreid.

Gezien de toenemende dreigingen kunnen we in 2024 mogelijk een druk op de regelgeving zien op het gebied van de veerkracht van ransomware. Regelgeving kan organisaties verplichten om: 

  • Zorg voor incidentresponsplannen voor ransomwarescenario's
  • Onderhoud offline back-ups van gegevens 
  • Het verzorgen van bewustwordingstrainingen op het gebied van cybersecurity
  • Implementeer cyberverzekeringen

 

Degenen die er niet in slagen om te voldoen aan de aangewezen best practices rond het voorkomen van en voorbereiden op ransomware, kunnen boetes of andere maatregelen krijgen. Dergelijke regelgeving brengt echter ook uitdagingen met zich mee op het gebied van de implementatie en handhaving in verschillende sectoren.

We zullen waarschijnlijk ook meer aandacht zien voor internationale partnerschappen, zoals de Internationaal Counter Ransomware Initiative (CRI), om “het ransomware-bedrijfsmodel te doorbreken door beleids-, wetshandhavings- en operationele instanties wereldwijd samen te brengen om ransomware te ontwrichten en tegelijkertijd veerkracht op te bouwen tegen kwaadwillende cyberactoren”.

Trend 3: Uitbreiding van IoT en daarmee samenhangende risico's

De Internet of Things-revolutie is stevig op gang. Gartner voorspelt dat in 33 ruim 2024 miljard IoT-apparaten voor ondernemingen en auto’s actief zullen worden gebruikt.

Maar deze overvloed aan verbonden apparaten zorgt niet alleen voor efficiëntie, maar biedt hackers ook een overvloed aan nieuwe aanvalsvectoren om te exploiteren. Veel IoT-systemen ontberen nog steeds fundamentele beveiligingsvoorzieningen, zoals gegevensversleuteling, waarbij erop wordt vertrouwd dat de verdediging van de netwerkperimeter voldoende is. 

Bedrijfskritische operationele technologie (OT)-infrastructuur die voorheen geïsoleerd was binnen fabrieken, is nu gekoppeld aan IT-beheersystemen, waardoor kwetsbare industriële controles worden blootgesteld aan digitale bedreigingen. Er bestaan ​​maar weinig firmware-updates om kwetsbaarheden in gedistribueerde IoT-apparaten te verhelpen, van camera's tot infuuspompen voor ziekenhuizen.

Vooral de productiesector, nutsbedrijven en de gezondheidszorg moeten de IT-beveiliging nu heroriënteren rond het beschermen van een steeds groter wordend aanvalsoppervlak vol met onveilige apparaten. Activiteiten zoals: 

  • Netwerken segmenteren
  • Actief toezicht houden op het verkeer op afwijkingen
  • Toegangscontroles vereisen
  • Implementeren van veilige datatransmissieprotocollen 

 

Dit alles draagt ​​bij aan het beperken van de risico's die interconnectie met zich meebrengt.

We verwachten dat meer organisaties zich zullen aansluiten bij raamwerken zoals ISO 27001 bij het aanpakken van IoT-risico's, omdat dit een gestructureerde beoordeling van informatiebeveiligingsrisico's en beschermingscontroles vereist, afgestemd op de specifieke context van een organisatie. Deze zero-trust-aanpak past bij de uitdagingen van IoT.

In 2023 zijn er al pogingen ondernomen om de informatiebeveiliging en privacy voor IoT-apparaten aan te pakken met wetgeving zoals: 

  • De EU-cyberweerbaarheidswet
  • Amerikaanse Cybersecurity Maturity Model-certificering (CMMC) 
  • De Amerikaanse Consolidated Appropriations Act 
  • Britse wet op productbeveiliging en telecommunicatie-infrastructuur 

 

We verwachten dat gestandaardiseerde beveiligingsregels zoals deze in 2024 zullen toenemen en dat de handhaving strenger zal worden, in combinatie met brancheallianties om sterkere IoT-bescherming te bevorderen, vooral voor de nationale infrastructuur. 

Ongeacht de regelgeving en handhaving verwachten we dat bedrijven snel actie zullen ondernemen om de verdediging te moderniseren, omdat slimme infrastructuur de toegangspunten voor tegenstanders vergroot en het risico voor de bedrijfsvoering en het succes te groot wordt om te negeren.

Trend 4: Het belang van Zero Trust-architecturen

Industrieanalisten verwachten dat zero trust-frameworks in 2025 formele compliance-eisen zullen worden binnen de financiële, overheids- en gezondheidszorgsector, omdat aanvallen conventionele defensiezwakheden aan het licht brengen.

Het personeelsbestand decentraliseert, de infrastructuur verhuist naar de cloud en gebruikers hebben overal toegang nodig, waardoor de veronderstelling dat er überhaupt nog duidelijke veiligheidsgrenzen bestaan, op losse schroeven komt te staan. Toch vertrouwen veel bedrijven nog steeds op bekende maar poreuze verdedigingsmechanismen zoals VPN's, firewalls en geprivilegieerde netwerkrechten om kritieke gegevens te beschermen.

In plaats daarvan zijn er al volwassen cyberbeveiligingsprogramma's het adopteren van zero-trust-architecturen die het impliciete vertrouwen opschorten terwijl elke gebruiker en elk systeem dat probeert toegang te krijgen rigoureus worden gevalideerd, en we verwachten dat de adoptie van deze aanpak in 2024 aanzienlijk zal toenemen. 

In deze model verifieert identiteit door middel van strenge multi-factor authenticatie voordat u de minste rechten verleent. In plaats van algemene netwerktoegang beperkt het microsegmentatiebeleid de connectiviteit strikt tot geautoriseerde bronnen. Cruciaal is dat zero trust voortdurende monitoring van gebruikersactiviteiten en systeemlogboeken met analyses vereist om abnormaal gedrag te identificeren dat op bedreigingen wijst. 

Drijfveren die de zero trust-principes van best practices op het gebied van cyberbeveiliging naar essentieel pushen, zijn onder meer de adoptie van de hybride cloud, de groei van het personeelsbestand op afstand en verouderde perimeterbescherming die ontoereikend is gebleken tegen geavanceerde aanvallers. Operationele efficiëntie verbetert ook door de beveiligingshouding van een organisatie te verschuiven naar dynamische, contextuele toegangsbeslissingen in plaats van naar statische netwerkprivileges.

Door vroegtijdig de architectuur van beveiligingssystemen opnieuw te ontwerpen, kunnen organisaties hun verdediging versterken en innovatie bevorderen. Het implementeren van raamwerken zoals ISO 27001 kan een gestructureerde aanpak bieden voor het aannemen van zero-trust-principes, en biedt een uitgebreide reeks beleidslijnen en procedures die aansluiten bij de hoogste normen voor informatiebeveiligingsbeheer. Dit draagt ​​bij aan een systematische en consistente implementatie van zero-trust-architecturen, waardoor de beveiligingshouding van een organisatie tegen evoluerende bedreigingen verder wordt versterkt.

Trend 5: Een meer mondiale benadering van regelgeving en nalevingsvereisten

Naarmate de impact en frequentie van cyberaanvallen toeneemt, zullen kwetsbare hiaten op het gebied van databeheer tussen bedrijfstakken en geografische grenzen in 2024 in het vizier van toezichthouders komen voor sterkere vangrails. 

Naarmate cyberaanvallen met grensoverschrijdende gevolgen toenemen, beseffen overheden wereldwijd de beperkingen van gefragmenteerde regelgeving tussen rechtsgebieden. Hoewel veel landen lokaal privacywetten en sectorspecifiek cyberbeveiligingsbeleid hebben geïmplementeerd, veroorzaakt de divergentie hoofdpijn voor multinationale organisaties. Het stroomlijnen van de vereisten door middel van internationale samenwerking zal een prioriteit worden bij het wereldwijd afstemmen van het cyberveiligheidstoezicht, in plaats van via onsamenhangende regelgeving in 2024.

Overlappende regelgeving leidt tot redundantie rond praktijken als audits, training of beoordelingen van subverwerkers. De innovatie vertraagt ​​omdat technische teams de taak krijgen om vage juridische terminologie te interpreteren. En de budgetten stijgen naarmate technische middelen zich richten op nalevingsrapporten.

Als reactie hierop verwachten we dat samenwerkingsgroepen zoals de International Organization for Standardization (ISO) en Global Privacy Assembly (GPA) in 2024 nog nauwer zullen samenwerken met bedrijven en overheden om de basisverwachtingen op het gebied van cyberbeveiliging wereldwijd te harmoniseren. risicobeheer, gegevensethiek en reactie op incidenten. Stroomlijning komt ook voort uit uniforme assurance-frameworks zoals ISO 27001 en Het cyberbeveiligingsframework van NIST, waarvan honderden ondernemingen al gebruik hebben gemaakt om cyberprogramma’s te structureren.

We hebben in 2023 al stappen gezien in de richting van de mondialisering van de regelgeving databruggen zoals de EU-VS- en VS-VK-overeenkomsten, die integraal deel uitmaken van de bredere trend van het ontwikkelen van een meer gecoördineerde en geharmoniseerde aanpak van gegevensbescherming en privacy in een mondiale context. Ze helpen verschillende rechtssystemen op één lijn te brengen, internationale gegevensstromen te vergemakkelijken en normen vast te stellen die de mondiale gegevensbeschermingspraktijken kunnen beïnvloeden.

Door zich aan te sluiten bij brancheoverschrijdende leiderschapsgroepen, wereldwijd gestructureerde raamwerken te implementeren en wetgevingsvoorstellen te monitoren, kunnen bedrijven zich voorbereiden op het aantonen van vooruitgang. Niet-naleving is niet langer een optie voor het beheer van kritieke bedrijfsmiddelen, nu informatie de ‘business as usual’ opnieuw definieert.

Trend 6: Betere regulering van de beveiliging van de toeleveringsketen

In 2024 zullen strengere regelgeving en beveiligingsnormen voor externe leveranciers centraal staan, omdat organisaties inzien dat uitgebreide digitale toeleveringsketens een van de grootste cyberrisico's voor organisaties vormen.

Doorbraken op het gebied van kunstmatige intelligentie kunnen de krantenkoppen halen, maar minder glamoureuze bedreigingen Aanvallen op de softwaretoeleveringsketen blijven bedrijven van binnenuit uithollen. De ernstige schade als gevolg van incidenten als SolarWinds en Log4j zorgde ervoor dat managers zich bewuster werden van de risico's van derden, maar alomvattende zichtbaarheid en controle over leveranciersomgevingen blijven voor de meesten ongrijpbaar.

Tegen 2024 zullen leveranciers prioriteit geven aan tools en standaarden die helpen bij het beheersen van de risico's van leveranciers in partnerschappen. Uitgebreide software stuklijsten (SBOM’s) die de ingrediënten van componenten in gekochte platforms catalogiseren, zullen verplicht worden gesteld aan federale aannemers als onderdeel van het cyberexecutive order van president Biden. SBOM's vergroten de transparantie voor kopers over bekende kwetsbaarheden of onderhoudslacunes in hun tech-stack.

Meer industrieën zullen initiatieven uit de automobielsector navolgen die veilige ontwikkelingsstandaarden voor leveranciers certificeren op basis van testprocessen zoals OWASP-benchmarks. Rigoureuze codebeoordelingen, minst geprivilegieerde toegang en zelfbescherming van runtime-applicaties (RASP) zijn andere betrouwbaarheidsmaatregelen van leveranciers die steeds meer ingang vinden.

Naarmate partnerschappen tussen detailhandelaren, gezondheidszorgsystemen en financiële diensten zich ontwikkelen, zal de gedeelde verantwoordelijkheid voor cyberrisicobeheer in meer contracten worden vastgelegd. De voorwaarden zullen betrekking hebben op de vereisten voor zichtbaarheid van de aanvalsoppervlakken van partners, inbreukmeldingen en toegangsbeleid. Organisaties die niet klaar zijn voor cyberbeveiliging kunnen de vooruitzichten van leveranciers zien afnemen in een klimaat dat gericht is op veerkracht.

Uiteindelijk moeten leveranciers en kopers op één lijn komen: partnerschappen maken weliswaar digitale transformatie en efficiëntie mogelijk, maar verleggen ook de aanvalsgrenzen. Het proactief beveiligen van deze kruispunten via standaarden, zorgvuldigheid en contractuele garanties wordt noodzakelijk naarmate derde partijen steeds meer ingebed raken in de activiteiten. Er is geen perimeter als uw netwerk het netwerk van iedereen is.

Cyberweerbaarheid in kaart brengen voor een onzekere toekomst

Zoals 2023 heeft bewezen, maken de omvang en impact van cyberaanvallen proactieve beveiliging tot een niet-onderhandelbare investering voor organisaties in plaats van een geïsoleerde IT-kostenpost. 

De cybergereedheid in 2024 vereist op zijn minst een hernieuwde focus op het beheer van risicovolle AI-systemen, veerkrachtplannen voor onvermijdelijke inbraken en zichtbaarheid in de controles van leveranciers. Het vereist het beveiligen van exponentieel grotere aanvalsoppervlakken, aangezien computers de traditionele grenzen verlaten. Het vereist het monitoren van vroege beleidsstappen van toezichthouders die vermijdbare nalatigheid op het gebied van gegevensbescherming of incidentrespons niet meer tolereren.

Maar het allerbelangrijkste is dat bedrijfsbesturen het voortouw moeten nemen in een cultuur die zich inzet voor data-integriteit, ethische technologiepraktijken en collectieve verantwoordelijkheid. Het inperken van cyberrisico's is afhankelijk van het feit dat bedrijfsleiders het goede voorbeeld geven door personeel, budget en de aandacht te besteden die de veiligheid verdient als hen het welzijn en het levensonderhoud van klanten wordt toevertrouwd.

De bedreigingen zijn complex, maar overkomelijk voor degenen die beseffen dat cyberveerkracht afhankelijk is van coördinatie in plaats van isolatie. Slimme bedrijven zullen zich voorbereiden op turbulente tijden door proactief partnerschappen, interne capaciteit en betrouwbare systemen op te bouwen die klaar zijn om veilig de vruchten van digitale innovatie te plukken.