Klanten, besturen en toezichthouders zijn het er allemaal over eens. Als cyberaanvallen niet 100% te voorkomen zijn, moet de focus liggen op het verbeteren van de weerbaarheid, zodat organisaties beter in staat zijn om ze te doorstaan en ervan te herstellen. Maar het meten van de vooruitgang op dit gebied is geen eenvoudige opgave. De overheid Enquête naar cyberbeveiligingsinbreuken Het is behoorlijk gedetailleerd. Maar cruciaal is dat niet elk jaar precies dezelfde organisaties worden ondervraagd om te controleren hoe hun standpunt zich ontwikkelt.
Dit is waar de regering Longitudinaal onderzoek naar cyberbeveiliging Het onderzoek, dat nu voor het vijfde jaar (of "golf") wordt uitgevoerd, heeft als doel te laten zien hoe organisaties in de loop der tijd veranderen. De bevindingen zijn verhelderend. Hoewel er zeker positieve punten te halen zijn uit golf vijf, benadrukt het rapport een neiging tot reactieve beveiliging, wat haaks staat op de beste praktijken.
Wat gaat er goed (en fout)?
Het rapport onthult dat de meeste organisaties vorig jaar nog steeds te maken kregen met een of andere vorm van cyberincident: 82% tegenover 79% het jaar ervoor. Maar het goede nieuws is dat ze er wel iets aan doen. Sterker nog:
- Het percentage organisaties dat aangeeft te voldoen aan Cyber Essentials is gestegen van 23% naar 30% tussen de vierde en vijfde meetronde.
- Het percentage bedrijven met een cyberverzekering is gestegen van 29% naar 35%.
- Het percentage bedrijven dat aangaf niets van verzekeringen af te weten, daalde van 20% naar 13%.
- Bedrijven gaven vaker aan te investeren in dreigingsinformatie (44% versus 36%).
- Respondenten waren vaker geneigd een audit naar cyberbeveiligingslekken uit te voeren (60% versus 56%).
- Ruim een derde van de organisaties (37%) meldde een stijging van het budget voor cyberbeveiliging.
Er zijn echter ook redenen tot bezorgdheid. Hoewel het afgelopen jaar een toename te zien was in de naleving van best practices en standaarden, voldoet een groot deel (37%) van de bedrijven niet aan ISO 27001, Cyber Essentials of Cyber Essentials Plus.
Risicomanagement in de toeleveringsketen bleef voor velen een blinde vlek. Slechts 28% van de bedrijven gaf aan de afgelopen 12 maanden een formele beoordeling van leveranciers te hebben uitgevoerd. "Kwalitatief gezien hadden organisaties over het algemeen weinig kennis van cyberbeveiligingsincidenten in hun toeleveringsketens, hoewel ze erkenden dat deze waarschijnlijk plaatsvinden zonder dat ze het weten", aldus het rapport.
Het onderzoek onthult tevens dat, hoewel 90% van de bedrijven beweert cyberrisico's te integreren in het bredere bedrijfsrisicobeleid, "dit zich niet altijd vertaalt in effectieve budgetten of trainingen op bestuursniveau".
Het probleem met reactieve beveiliging
Het grootste probleem dat in het rapport naar voren komt, is niet zozeer dat Britse bedrijven geen inspanningen leveren om hun weerbaarheid te vergroten, want in veel gevallen doen ze dat wel. Het gaat erom hoe deze investeringen tot stand komen. De auteurs van het rapport volgen de respondenten gedurende twee verschillende interviewrondes ("tijdstip 1" en "tijdstip 2") – meestal verspreid over een jaar – om veranderingen op de lange termijn te meten.
Ze ontdekten dat ruim een derde (34%) van de organisaties die op tijdstip 1 een incident met impact en/of gevolgen hadden meegemaakt, op tijdstip 2 een incident zonder impact en/of gevolgen hadden ervaren. Dit suggereert dat de organisatie ofwel reactief haar veerkracht heeft verbeterd, ofwel dat het tweede incident minder ingrijpend was.
Er is meer. Organisaties die op tijdstip 1 geen incident hadden meegemaakt, leken geen proactieve veranderingen door te voeren om hun beveiligingsniveau te verbeteren. Dit suggereert mogelijk dat ze wachtten op een incident dat positieve veranderingen zou teweegbrengen. Aan de andere kant, als een organisatie wél een incident had meegemaakt, was de kans groter dat ze positieve veranderingen doorvoerden op acht gebieden, waaronder incidentrespons, risicomanagement in de toeleveringsketen en betrokkenheid van de directie.
"De onvoorspelbaarheid van cyberincidenten als katalysator voor verandering is zorgwekkend", waarschuwen de auteurs van het rapport.
Andere voorbeelden van een reactieve beveiligingsaanpak zijn de volgende bevindingen:
- Organisaties hebben een grotere kans om de ISO 27001/Cyber Essentials-accreditatie te behalen op tijdstip 2 als ze op tijdstip 1 een incident hebben meegemaakt met impact en/of gevolgen.
- Reputatieschade werd door de respondenten "vaak genoemd" als motivatie voor verandering, met name voor cybersecurityteams en het hoger management.
- "Externe invloeden" waren een belangrijke factor in het creëren van momentum voor verandering, zoals de ransomware-aanvallen op winkeliers in de winkelstraat vorig jaar. "Deelnemers gaven aan dat deze publieke incidenten hen ertoe aanzetten extra controles uit te voeren of financiering mogelijk maakten vanwege de reële potentiële impact op hun eigen organisatie", aldus het rapport.
Belemmeringen voor succes
“Reactieve beveiliging zorgt er altijd voor dat organisaties een stap achterlopen. Tegen de tijd dat een alarm afgaat, is de aanvaller al op de een of andere manier succesvol geweest”, vertelt Michael Downs, vicepresident van SecureEnvoy, aan IO (voorheen ISMS.online). “Het proactief opbouwen van weerbaarheid, met name op identiteitsniveau, is niet langer een optie; het is de enige manier om risico's te verminderen voordat ze zich voordoen.”
Als proactieve beveiliging echter zo eenvoudig was, zou iedereen het doen. Andy Ward, SVP International bij Absolute Security, wijst op een aantal belangrijke obstakels.
"Een van de uitdagingen is het verkrijgen van steun van de raad van bestuur en het cybermanagement om de weerbaarheid op het hoogste bestuursniveau te verheffen, met duidelijke strategieën voor een volledig operationeel herstel na een verstoring. Zonder deze betrokkenheid kunnen proactieve maatregelen worden uitgesteld of inconsistent worden toegepast", vertelt hij aan IO.
“Een andere belangrijke belemmering is de snelle toename van apparaten en softwareapplicaties, waardoor IT-systemen complexer en moeilijker te beheren worden. Deze wildgroei maakt het lastig om systemen up-to-date te houden en proactieve cyberbeveiligingsmaatregelen te implementeren op alle eindpunten.”
Ward wijst er ook op dat financiering en toegang tot talent bedrijven belemmeren in deze inspanningen – met name kleinere bedrijven. "Veel kleinere bedrijven denken ten onrechte dat ze te klein zijn om cybercriminelen aan te trekken, of dat het opslaan van gegevens in de cloud hen automatisch beschermt", voegt hij eraan toe.
De weg naar proactieve beveiliging
Maar met de juiste aanpak hoeven deze obstakels niet onoverkomelijk te zijn, betoogt James Mackay, CEO van MetaCompliance.
""Een proactievere aanpak begint met het herdefiniëren van het doel van beveiligingsbewustzijn: van het geven van trainingen naar het beheersen van menselijke risico's", vertelt hij aan IO. "Na verloop van tijd bouwt deze aanpak een op gedrag gebaseerde beveiligingscultuur op. Werknemers ervaren beveiliging niet langer als een incidentele oefening in een klaslokaal, maar als onderdeel van hun dagelijkse werk."
Best practice-normen zoals ISO 27001 kunnen "krachtige hulpmiddelen" zijn voor deze herdefiniëring, zolang ze maar niet als een checklist worden beschouwd, voegt Mackay eraan toe.
"ISO 27001 vereist dat je je informatiebeveiligingsrisico's begrijpt, passende beheersmaatregelen implementeert en ervoor zorgt dat mensen competent zijn en zich bewust zijn van hun beveiligingsverantwoordelijkheden", vervolgt hij. "Ze leggen de basis voor hoe beveiliging binnen een organisatie beheerd moet worden."
Als meer organisaties deze gestructureerde aanpak hanteren, zal het longitudinale onderzoek van volgend jaar wellicht een geruststellender beeld opleveren.
Breid je kennis uit
Blog: De veerkrachtfactor: een analyse van de BridgePay-ransomwareaanval
Download link: Het rapport Staat van de informatiebeveiliging 2025
