Cybersecurity-vooruitgang bij Britse bedrijven stagneert: zo lossen we het op

Elke dag lezen we over de schade en vernietiging die cyberaanvallen veroorzaken. Alleen al deze maand, onderzoek onthuld dat de helft van de Britse bedrijven gedwongen werd digitale transformatieprojecten stop te zetten of te onderbreken vanwege door de overheid gesponsorde bedreigingen. In een ideale wereld zouden dit soort verhalen doordringen tot het hogere management, met verdubbelde inspanningen om de cybersecurity te verbeteren. De nieuwste bevindingen van de overheid laten echter een ander beeld zien.

Helaas is de vooruitgang op verschillende fronten gestagneerd, zo blijkt uit de laatste cijfers. Onderzoek naar inbreuken op de cyberveiligheid. Een van de weinige positieve punten die we uit het jaarverslag kunnen meenemen, is de groeiende bekendheid met ISO 27001.

Grotere bedrijven in het vizier

De overheidsstudie, die sinds 2016 is gepubliceerd, is gebaseerd op een enquête onder 2,180 Britse bedrijven. Maar er is een wereld van verschil tussen een microbedrijf met maximaal negen werknemers en een middelgrote (50-249 medewerkers) of grote (250+ werknemers) onderneming.

Daarom kunnen we niet te veel waarde hechten aan het kerncijfer: een jaarlijkse daling van het aandeel bedrijven dat in het afgelopen jaar een cyberaanval of -inbreuk heeft gemeld (van 50% naar 43%). Zelfs de overheid geeft toe dat de daling waarschijnlijk te wijten is aan het feit dat minder micro- en kleine bedrijven phishingaanvallen herkennen. Het kan simpelweg zijn dat ze moeilijker te detecteren zijn dankzij het kwaadaardige gebruik van generatieve AI (GenAI).

Sterker nog, het aandeel middelgrote (67%) en grote (74%) bedrijven dat beveiligingsincidenten meldt, blijft hoog. Grote (29%) en middelgrote (20%) bedrijven hebben bovendien vaker last van een negatieve afloop dan bedrijven in het algemeen (16%). Dit kan variëren van verlies van toegang tot bestanden en diensten van derden tot corrupte systemen, tragere apps en diefstal van persoonlijke gegevens en geld. Daarnaast melden grote bedrijven vaker verstoringen van de bedrijfsvoering, zoals:

• Er is extra personeel nodig om inbreuken/aanvallen aan te pakken (32% versus 17% in totaal)
• Nieuwe veiligheidsmaatregelen invoeren (26% vs. 18%)
• Onderbreking van het dagelijkse werk van werknemers (19% vs. 9%)
• Verstoring van de levering van diensten/goederen (8% vs. 3%)
• Het ontvangen van klachten van klanten (6% vs. 2%)

Van alle bedrijven wordt geschat dat ze in de afgelopen 20 maanden slachtoffer zijn geworden van minimaal één cybercriminaliteit. Voor middelgrote bedrijven ligt dit percentage echter op 12% en voor grote bedrijven op 43%.

Het goede en het slechte

Het goede nieuws is dat de meeste middelgrote en grote bedrijven belangrijke acties hebben ondernomen in elk van de best practices van het NCSC. 10 stappen handleiding voor het verbeteren van de cybersecurity. En het percentage dat op vijf of meer gebieden actie heeft ondernomen, is het afgelopen jaar licht gestegen, van 80% naar 82% voor middelgrote bedrijven en van 91% naar 95% voor grotere bedrijven. Bovendien beschikt ongeveer 95-100% van deze organisaties over ten minste drie best practice technische regels of controles, zoals up-to-date malwarebescherming, netwerkfirewalls, beperkte IT-beheer-/toegangsrechten, apparaatbeveiliging en VPN's.

Maar dit verbergt een wellicht zorgwekkender groter plaatje. Bijvoorbeeld:

Opleidingsprogramma's voor personeel waren aanwezig in 54% van de middelgrote en 76% van de grote bedrijven – vergelijkbaar met de statistieken van vorig jaar.

Risicobeoordelingen van externe leveranciers werden uitgevoerd door slechts 32% van de middelgrote en 45% van de grote bedrijven – tegenover 28% en 48% vorig jaar.

Plannen voor reactie op incidenten waren slechts aanwezig in 53% van de middelgrote bedrijven en 75% van de grote bedrijven (tegenover 55% en 73%).

Er lijkt ook een gebrek te zijn aan strategische richting en verantwoording vanuit het senior management. Slechts 70% van de grote bedrijven (een stijging ten opzichte van 66%) en 57% van de middelgrote bedrijven (een daling ten opzichte van 58%) heeft überhaupt een cybersecuritystrategie. In te veel grote bedrijven wordt cybersecurity beheerd door de IT-directeur (19%) of een IT-manager, technicus of beheerder (20%).

"Bedrijven zouden altijd een proportionele reactie op hun risico moeten hebben; een zelfstandige bakker in een klein dorp hoeft bijvoorbeeld waarschijnlijk geen regelmatige pentests uit te voeren. Ze zouden echter wel moeten werken aan het begrijpen van hun risico, en het is vernietigend dat 30% van de grote bedrijven niet proactief is in het op zijn minst leren over hun risico", betoogt Tom Kidwell, medeoprichter van Ecliptic Dynamics.

Bedrijven kunnen echter altijd stappen ondernemen om de impact van inbreuken te verminderen en aanvallen in hun beginfase te stoppen. De eerste stap is het begrijpen van uw risico en het nemen van passende maatregelen.

Toch heeft slechts de helft (51%) van de raden van bestuur van middelgrote bedrijven iemand die verantwoordelijk is voor cybersecurity, tegen 66% bij grotere bedrijven. Deze cijfers zijn de afgelopen drie jaar vrijwel onveranderd gebleven. En slechts 39% van de bedrijfsleiders bij middelgrote bedrijven ontvangt maandelijkse updates over cybersecurity, tegen de helft (55%) bij grote bedrijven. Gezien de snelheid en dynamiek van het huidige dreigingslandschap is dat cijfer te laag.

Hoe gaan we verder?

Een voor de hand liggende manier om de cybersecurityvolwassenheid te verbeteren, is door te voldoen aan best practice-normen zoals ISO 27001. Het rapport levert op dit vlak gemengde signalen op. Enerzijds zegt het het volgende:

“Er leek een groeiende bekendheid te zijn met accreditaties zoals Cyber ​​Essentials en ISO 27001 en over het algemeen werden ze positief ontvangen.”

De druk van klanten en bestuursleden en de “gemoedsrust van belanghebbenden” zouden de vraag naar dergelijke benaderingen stimuleren, terwijl respondenten terecht van mening zijn dat ISO 27001 “robuuster” is dan Cyber ​​Essentials.

De bekendheid met 10 Steps en Cyber ​​Essentials neemt echter af. En veel minder grote bedrijven zoeken extern advies over cybersecurity dan vorig jaar (51% versus 67%).

Ed Russell, CISO-bedrijfsmanager van Google Cloud bij Qodea, beweert dat economische instabiliteit een factor zou kunnen zijn.

"In onzekere tijden zijn externe diensten vaak de eerste sectoren die te maken krijgen met bezuinigingen, ook al is het verlagen van de uitgaven aan cybersecurityrichtlijnen een riskante stap", vertelt hij aan ISMS.online.

Russell betoogt dat normen zoals ISO 27001 de cybervolwassenheid aanzienlijk vergroten, cyberrisico's verminderen en de naleving van regelgeving verbeteren.

"Deze normen helpen organisaties om een ​​sterke beveiligingsbasis te leggen voor het beheersen van risico's en om passende controles te implementeren om de bescherming van hun waardevolle informatiemiddelen te verbeteren", voegt hij toe.

ISO 27001 is ontworpen om continue verbetering te ondersteunen en organisaties te helpen hun algehele cybersecurity-houding en veerkracht te verbeteren naarmate bedreigingen evolueren en regelgeving verandert. Dit beschermt niet alleen de meest kritieke informatie, maar bouwt ook vertrouwen op bij stakeholders – wat een concurrentievoordeel oplevert.

Etay Maor, hoofdbeveiligingsstrateeg bij Cato Networks, is het daarmee eens, maar waarschuwt dat naleving niet per se gelijkstaat aan veiligheid.

"Deze strategische richtlijnen zouden deel moeten uitmaken van een holistische beveiligingspraktijk die meer operationele en tactische kaders omvat, constante evaluatie om deze te vergelijken met actuele bedreigingen en aanvallen, oefeningen in het reageren op inbreuken en meer", vertelt hij aan ISMS.online. "Ze vormen een goed beginpunt, maar organisaties moeten verder kijken."