NCSC-rapport 2024: Waarom cyberveerkracht uw topprioriteit moet zijn

Door Rebecca Harper • 6 December 2024

Het dreigingslandschap in cybersecurity is nog nooit zo dynamisch of ernstig geweest. De laatste NCSC Jaaroverzicht 2024 schetst een grimmig beeld van de toenemende frequentie, verfijning en impact van cyberincidenten. Voor bedrijven is de boodschap duidelijk: de kosten van inactiviteit zijn te hoog.

Van toenemende ransomware-aanvallen tot kwetsbaarheden in toeleveringsketens en de opkomst van AI-enabled threats, robuuste cyber resilience-strategieën zijn niet langer optioneel, maar essentieel. Hier onderzoeken we de belangrijkste conclusies uit de bevindingen van het NCSC en wat ze betekenen voor bedrijven die streven naar veiligheid en naleving.

Ransomware: een hardnekkige en alomtegenwoordige bedreiging

Ransomware blijft de meest directe en verstorende bedreiging voor organisaties in het Verenigd Koninkrijk. In 2024 rapporteerde het NCSC dat het meer dan 1,957 cyberincidenten had beheerd, met 317 ransomware-gerelateerde gevallen, een stijging ten opzichte van het voorgaande jaar. Deze aanvallen zijn niet alleen gericht op data, ze verlammen kritieke systemen.

Eén opvallend incident betrof Synnovis, leverancier van pathologielaboratoria voor de NHSDe ransomware-aanval vertraagde duizenden poliklinische afspraken en procedures, wat aantoont hoe één zwakke schakel in de toeleveringsketen hele bedrijfstakken kan beïnvloeden.

De zakelijke les is duidelijk: ransomware is niet alleen een IT-probleem, het is een organisatorisch risico die gevolgen hebben voor de bedrijfsvoering, reputatie en het vertrouwen van de klant.

Dit is waar raamwerken zoals ISO 27001, die een wereldwijd erkende structuur bieden voor het opzetten, implementeren en onderhouden van systemen voor informatiebeveiligingsbeheer, zijn essentiële hulpmiddelen in de strijd tegen dergelijke bedreigingen. Door ISO 27001 te implementeren, kunnen organisaties hun veerkracht tegen ransomware versterken, consistentie in incidentrespons garanderen en hun meest kritieke activa beschermen.

Beveiliging van de toeleveringsketen: een kritieke kwetsbaarheid

Moderne toeleveringsketens zijn ingewikkeld en onderling afhankelijk. Hoewel deze connectiviteit innovatie en efficiëntie stimuleert, creëert het ook een vruchtbare bodem voor cyberaanvallen. Het NCSC-onderzoek benadrukt dat aanvallen op de toeleveringsketen, zoals die uit Noord-Korea, komen steeds vaker voor. Kwaadwillende actoren misbruiken kwetsbaarheden bij kleinere leveranciers om grotere organisaties te infiltreren.

De NCSC heeft bijgewerkte richtlijnen voor de beveiliging van de toeleveringsketen gepubliceerd om dit groeiende risico aan te pakken. Deze richtlijnen bieden organisaties praktische tools en middelen om deze bedreigingen beter te begrijpen en te beperken. Ze benadrukken proactieve maatregelen om de veerkracht van de toeleveringsketen te versterken en het risico op compromissen te verminderen.

Om dit tegen te gaan, moeten bedrijven proactieve strategieën hanteren:

Voer strenge risicobeoordelingen uit voor alle externe leveranciers.
Neem cyberbeveiligingsclausules op in leverancierscontracten.
Omarm kaders zoals Cyberbenodigdheden en ISO 27001 om basisbeveiligingsmaatregelen af te dwingen.

Cyberveerkracht is slechts zo sterk als de zwakste schakel in de keten. Door uw supply chain-beveiligingspraktijken af te stemmen op de controles die zijn uiteengezet in ISO 27001 en de nieuwste NCSC-richtlijnen, zorgt u voor naleving en een uniforme aanpak voor het beheren van risico's in complexe ecosystemen. Door deze strategieën te hanteren, kunnen organisaties hun eigen systemen en de bredere netwerken waarop ze vertrouwen, beschermen.

Het AI-dilemma: vriend en vijand

Kunstmatige intelligentie is een tweesnijdend zwaard geworden in cybersecurity. Hoewel het bedrijven geavanceerde tools biedt voor het detecteren en reageren op bedreigingen, geeft het ook tegenstanders macht. De NCSC waarschuwt voor het potentieel van AI om:

Automatiseer bewaking en social engineering-aanvallen.
Versnel data-exfiltratie en -analyse.
Verkort de tijd tussen het ontdekken en misbruiken van kwetsbaarheden.

Bedrijven moeten zich aanpassen door te investeren in AI-gestuurde verdedigingsmechanismen en door werknemers te trainen, zodat ze AI-versterkte bedreigingen kunnen herkennen.

Generatieve AI in het bijzonder brengt uitdagingen met zich mee door overtuigende phishingaanvallen en valse identiteiten op grote schaal te creëren. Om deze opkomende risico's aan te pakken, moeten bedrijven overwegen om ISO 42001, de nieuwe AI-norm ontworpen om organisaties te begeleiden bij het veilig ontwikkelen, implementeren en beheren van AI-technologieën. Deze norm vult ISO 27001 aan door zich te richten op de unieke risico's en kansen van AI, waardoor bedrijven hun activiteiten toekomstbestendig kunnen maken en tegelijkertijd op verantwoorde wijze innovatie kunnen omarmen.

De groeiende veerkrachtkloof

Ondanks de groeiende risico's benadrukt het NCSC-rapport een verontrustende realiteit: organisaties onderschatten vaak de ernst van het dreigingslandschap. Terwijl aanvallers innoveren en zich aanpassen, slagen veel bedrijven er niet in om basismaatregelen voor cyberbeveiliging te implementeren. Deze 'veerkrachtkloof' stelt hen bloot aan aanvallen die fundamentele praktijken hadden kunnen voorkomen.

Het Cyber Essentials-framework van het NCSC heeft zijn effectiviteit bewezen, waarbij gecertificeerde organisaties 92% minder kans hebben om slachtoffer te worden van cyberincidenten. Toch blijft de adoptie ver onder het niveau dat het zou moeten zijn.

Voor bedrijven is de oproep tot actie eenvoudig maar dringend:

Implementeer basisbeveiligingsmaatregelen. Cyber Essentials is een goed startpunt.
Pas normen toe zoals ISO 27001 en ISO 42001. Deze raamwerken vergroten uw veerkracht en tonen uw toewijding aan robuuste informatie- en AI-beveiliging.
Investeer in bewustwording en training van uw medewerkers. Mensen vormen vaak de eerste verdedigingslinie. Als ze goed getraind en ondersteund worden, kunnen ze uw sterkste verdedigingslinie zijn.

Verder dan compliance: cyberveerkracht opbouwen

Naleving van standaarden zoals ISO 27001 en ISO 42001 gaat niet alleen over het afvinken van vakjes, maar over het bevorderen van een beveiligingscultuur. Deze standaarden stellen organisaties in staat om:

Bouw robuuste systemen voor informatiebeveiligingsbeheer.
Pak de risico's aan die gepaard gaan met opkomende technologieën zoals AI.
Zorg voor een consistente aanpak voor het beheer van cyberbeveiligingsuitdagingen in wereldwijde activiteiten.

Bij ISMS.online geloven we dat compliance een katalysator voor veerkracht moet zijn, geen last. Ons platform stelt bedrijven in staat om hun inspanningen te stroomlijnen voor deze kritieke standaarden, beveiliging te integreren in hun organisatorische DNA en audit-ready te blijven terwijl ze proactief risico's beheren.

Een gedeelde verantwoordelijkheid

Cybersecurity is geen eenmalige taak, maar een voortdurende inspanning die samenwerking vereist tussen industrieën, overheden en wereldwijde partners. Initiatieven zoals het Counter Ransomware Initiative en het Pall Mall Process die in het NCSC-rapport worden benadrukt, benadrukken het belang van collectieve actie bij het aanpakken van wereldwijde cyberdreigingen.

Zoals de NCSC-review ons eraan herinnert, is geen enkele organisatie een eiland. Of u nu deel uitmaakt van een multinational of een MKB, uw beveiligingshouding heeft invloed op het bredere ecosysteem.

Het pad vooruit

De statistieken in het NCSC-rapport zijn ontnuchterend, maar benadrukken ook een pad vooruit. Bedrijven kunnen cybersecurity omzetten van een reactieve last in een strategisch voordeel door proactieve stappen te ondernemen om de veerkrachtkloof te dichten.

Begin bij de basis. Implementeer Cyber Essentials om een sterke basis te creëren.
Denk verder dan je muren. Evalueer en beveilig uw toeleveringsketen.
Pas wereldwijde normen toe, zoals ISO 27001 en ISO 42001. Deze kaders vormen een blauwdruk voor het aanpakken van de uitdagingen van vandaag en het voorbereiden op de kansen van morgen.
Blijf wendbaar. Houd nieuwe bedreigingen, zoals AI-aanvallen, in de gaten en pas uw verdediging hierop aan.

In de woorden van de NCSC: "Cyberveerkracht is een gedeelde verantwoordelijkheid, en we moeten allemaal onze rol spelen." Bij ISMS.online, wij zijn er om u te ondersteunen op uw reis, waarmee we u de tools en expertise bieden om u te helpen navigeren door de complexiteit van cyberbeveiliging en naleving.

Rebecca Harper

Rebecca is het hoofd contentmarketing van ISMS.online. Met meer dan 12 jaar ervaring in de informatie- en cyberbeveiligingsindustrie, is Rebecca toegewijd aan het opleiden, vergroten van bewustzijn en het empoweren van bedrijven om doelstellingen op het gebied van compliance, informatie en cyberbeveiligingsbeheer te bereiken.