Navigeren door cybercomplexiteit in een risicovolle wereld: lessen geleerd van WEF

Navigeren door cybercomplexiteit in een risicovolle wereld: lessen geleerd van het WEF

Door Phil Muncaster • 13 februari 2025

Cyberbedreigingen zijn mogelijk iets afgenomen lijst van mondiale risico's om de komende 2-10 jaar in de gaten te houden. Maar volgens het World Economic Forum (WEF) blijven ze een prominente zorg voor bedrijfsleiders. Als de nieuwste NGO Wereldwijde cyberbeveiligingsvooruitzichten waarschuwtHet opbouwen van effectieve veerkracht tegen dergelijke bedreigingen wordt steeds moeilijker naarmate de complexiteit toeneemt.

Vooruitkijkend is de sleutel voor security- en complianceprofessionals om het wiel niet opnieuw uit te vinden. De beste manier om te handelen is om het dreigingslandschap te begrijpen en wat het meeste risico loopt binnen de organisatie en best practice-stappen te nemen om dat risico continu en aantoonbaar te beperken.

Wat zegt het WEF?

van het WEF Wereldwijd risicorapport 2025 is gebaseerd op de meningen van 11,000 bedrijfsleiders en risico-experts in de academische wereld, het bedrijfsleven, de overheid, internationale organisaties en het maatschappelijk middenveld. Ze rangschikken 'cyberespionage en oorlogsvoering' (verwarrend genoeg ook inclusief aanvallen van niet-statelijke actoren) op de vijfde plaats op de lijst van kortetermijnrisico's. Dat is een daling ten opzichte van de vierde plaats vorig jaar, toen de categorie 'cyberonveiligheid' werd genoemd. En wat betreft langetermijnrisico's voor het komende decennium staat het op de negende plaats, een daling ten opzichte van de achtste plaats.

We moeten echter niet te veel waarde hechten aan deze lichte degradatie. Het is ook opvallend dat "nadelige uitkomsten van AI-technologieën" op de zesde plaats staan op de lijst met langetermijnrisico's. Deze "uitkomsten" kunnen zeker worden beïnvloed door kwaadaardige cyberactiviteiten zoals data-/modelvergiftiging.

Interessanter is het cybersecurity-specifieke rapport dat WEF in dezelfde week vorige maand uitbracht. Het waarschuwt voor een steeds complexer cybersecuritylandschap dat wordt aangestuurd door:

Toenemende geopolitieke spanningen

Bijna 60% van de organisaties die hebben gereageerd, kampt hiermee. Een derde van de CEO's noemt cyberespionage en het verlies van gevoelige informatie/IP als belangrijke zorgen.

Grotere integratie en afhankelijkheid van complexere toeleveringsketens

Meer dan de helft (54%) van de organisaties noemt dit de belangrijkste belemmering voor het bereiken van veerkracht.

Snelle adoptie van opkomende technologieën, waardoor het aanvalsoppervlak wordt vergroot

Twee derde (66%) van de respondenten is van mening dat AI in de komende 12 maanden een impact zal hebben op cyberbeveiliging, maar slechts 37% beschikt over processen om de beveiliging van AI-tools te beoordelen voordat ze worden gebruikt.

Een groeiende last van naleving van regelgeving

Ongeveer 78% van de leiders in de private sector zegt dat cyber- en privacyregelgeving de risico's effectief vermindert, maar twee derde van de respondenten geeft toe dat de complexiteit en het grote aantal vereisten een uitdaging vormen.

Deze uitdagingen worden verergerd door een groeiende cybervaardigheden kloof, waardoor risico's moeilijker te beheren zijn, naast meer geavanceerde cyberdreigingen. Ongeveer 72% van de respondenten zegt dat cyberrisico's het afgelopen jaar zijn toegenomen, waarbij ransomware-aanvallen, bedreigingen voor de toeleveringsketen en cyberfraude respectievelijk de top drie innemen.

Het probleem met cyberveerkracht

Er wordt vaak (terecht) gezegd dat zelfs de meest veilige organisatie uiteindelijk te maken krijgt met een beveiligingsinbreuk. Daarom ligt de focus voor CISO's vandaag de dag op cyberweerbaarheid: de mogelijkheid om te “anticiperen, te weerstaan, te herstellen en zich aan te passen” aan deze gebeurtenissen, zodat de bedrijfsvoering kan doorgaan, zelfs na een ernstige inbraak. Het zou dus zorgwekkend moeten zijn dat de cyberweerbaarheid in kleinere organisaties verslechtert.

Volgens het WEF is het percentage respondenten van het MKB dat beweert onvoldoende veerkracht te hebben gestegen van 5% in 2022 tot 35% in 2025. Daarentegen is het cijfer voor grote organisaties in dezelfde periode vrijwel gehalveerd van 13% naar 7%. Volgens het rapport beweerde 71% van de cyberleiders op de WEF Annual Meeting on Cybersecurity 2024 dat kleine organisaties een "kritiek omslagpunt" hebben bereikt waarop ze zichzelf niet langer effectief kunnen beveiligen tegen de toenemende complexiteit van cyberrisico's.

Dit is van belang voor organisaties van alle groottes, omdat zelfs de grootste onderneming een veelvoud aan kleine zakenpartners in haar toeleveringsketen kan hebben. Het WEF-rapport benadrukt een "gebrek aan zichtbaarheid en toezicht" op de beveiligingshouding van leveranciers als een leidend risico. Leveranciers kunnen in deze context alles betekenen, van een open-source-bijdrager tot een professional services partner of MSP.

Maar terwijl 63% van de respondenten van het rapport "een complex en evoluerend dreigingslandschap" noemde als hun belangrijkste uitdaging om cyberbestendig te worden, is de eerste - vaak onoverkomelijke - horde voor CISO's en hun besturen om een economische zaak op te bouwen voor meer investeringen in cyber. Of zoals WEF het stelt: "de noodzaak voor leiders om cyberrisico's en hun economische impact te kwantificeren om investeringen af te stemmen op de belangrijkste bedrijfsdoelstellingen."

Aan de slag

Regelgeving is hier de olifant in de kamer. Hoewel goed ontworpen wetgeving een waardevolle focus kan bieden voor beveiligingsteams in hun pogingen om risico's te beheren, is het huidige regelgevingslandschap extreem lastig geworden om te navigeren. Driekwart (76%) van de CISO's op de eerder genoemde WEF Annual Meeting meldde blijkbaar dat "fragmentatie van regelgeving over jurisdicties de mogelijkheid van hun organisaties om naleving te handhaven, enorm beïnvloedt". Dit komt overeen met ISMS.online Rapport Staat van Informatiebeveiliging 2024Hieruit blijkt dat 65% van de respondenten vindt dat het snelle tempo van de veranderingen in de regelgeving het moeilijker maakt om te voldoen aan de beste praktijken op het gebied van informatiebeveiliging.

Dit is waar standaarden en certificeringen kunnen helpen door de basis te leveren waarop programma's voor naleving van regelgeving kunnen worden gebouwd. Omdat veel van deze regelgevingen vragen om het implementeren van dezelfde onderliggende best practices, kan het ook tijd, geld en moeite besparen. Daarom beweert 59% van de respondenten van de ISMS.online-studie dat ze van plan zijn om de uitgaven aan deze programma's het komende jaar te verhogen.

Malachi Walker, beveiligingsadviseur bij DomainTools, stelt dat deze aanpak niet alleen bijdraagt aan naleving van regelgeving, maar ook kan leiden tot een concurrentievoordeel in de vorm van meer contracten, efficiëntere beveiligingsteams en meer vertrouwen bij de klant.

"Best practice-normen zoals NIST CSF, SOC 2 en ISO 27001 dichten deze kloof door uitvoerbare en specifieke stappen te bieden die organisaties kunnen volgen om hun cyberveerkracht te vergroten", vertelt hij aan ISMS.online.

“Elke organisatie, ongeacht de omvang, kan toegangscontroles tot gevoelige gegevens beperken, een incidentresponsplan ontwikkelen en in de praktijk brengen en aangeven op welke gebieden binnen hun organisatie het kwetsbaarst zijn. Als ze compliance benaderen met deze drie stappen in gedachten, worden compliance en cybersecurity-veerkracht haalbaarder.”

Zoals het WEF in zijn rapport opmerkt: “Het is nu tijd om te handelen”.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster