Nadenken over trends op het gebied van cyberbeveiliging voor 2023: een jaaroverzicht

Vorig jaar hebben we voorspellingen gedaan over de cyberveiligheidstrends die 2023 zouden bepalen. Nu het jaar ten einde loopt, is het tijd om terug te kijken op die voorspellingen en te zien waar we gelijk hadden en waar we misschien de plank mis hebben geslagen.

Wat heel duidelijk is, is dat sommige trends weliswaar stand hielden, maar dat andere onverwachte wendingen namen. Onze voorspelling dat aanvallen op de toeleveringsketen zouden aanhouden, bleek vooral waar belangrijke incidenten bij Capita, de Britse politie en 3CX gedemonstreerd. Zoals verwacht nam ook de opkomst van IoT-apparaten en de regulering van deze apparaten toe.

Sommige trends, zoals de drang naar mondiale harmonisatie van dataregelgeving, ontwikkelden zich echter niet zo snel als voorspeld. En wachtwoordloze authenticatie wint weliswaar steeds meer terrein, maar moet wachtwoorden nog steeds volledig vervangen.

In deze blogpost wordt elke trend die we voorspellen opnieuw onderzocht en wordt geanalyseerd waar de zaken er vandaag voor staan. Door onze treffers en missers te beoordelen, streven we ernaar een eerlijke beoordeling te geven van de cybersecuritytrends die er nu toe doen en organisaties te voorzien van de inzichten die nodig zijn om zich voor te bereiden op het komende jaar.

Trend 1: Een privacygerichte benadering van informatiebeveiliging

Vorig jaar voorspelden we dat 2023 een privacygerichte benadering van cyberbeveiliging zou inluiden, voornamelijk gedreven door het versterken van de regelgeving op het gebied van gegevensprivacy wereldwijd. Deze voorspelling bleek accuraat, aangezien privacy een centrale overweging werd voor beleidsmakers en technologieleiders.

Grote platforms zoals Google zijn inderdaad overgestapt op privacygerichte modellen – de afschaffing van cookies van derden in Chrome en de lancering van het Privacy Sandbox-initiatief benadrukte de privacy van gebruikers. Hoewel onvolmaakt, vertegenwoordigen deze veranderingen een seismische verschuiving voor de advertentietechnologie-industrie. Apple breidde op dezelfde manier zijn privacypush uit met verdere upgrades Transparantie van app-tracking.

De groeiende lappendeken van dataprivacywetten dwong organisaties ook om prioriteit te geven aan privacy. 

Europa

GDPR bleef de maatstaf voor digitale rechten. 

Zelfs jurisdicties zonder specifieke wetten voelden de druk om zich aan te passen aan de AVG om datastromen mogelijk te maken, waarbij aanzienlijke inspanningen en tijd werden besteed aan het creëren van databruggen om ervoor te zorgen dat gegevens conform de geografische grenzen konden worden overgedragen. 

Californië leidde de aanklacht met een gewijzigde California Consumer Privacy Act die in 2023 van kracht werd. Andere staten, waaronder Virginia, Colorado, Utah en Connecticut, hebben ook hun eigen privacywetten aangenomen. 

Op federaal niveau Congreswetten zoals de Data Care Act en de Online Privacy Act signaleren een bredere impuls om een ​​nationaal privacykader op te zetten.

APAC

In China is stap voor stap meer gedetailleerde inhoud uitgerold onder de Wet Bescherming Persoonsgegevens (PIPL) met een focus op exportveiligheidsbeoordelingsprocedures en standaardcontractbepalingen (SCC's) voor gegevensexport. En India's voorgestelde Digital Personal Data Protection Act verplaatste de naald in Azië. In Australië was de regering van plan de Privacy Act te herzien, waarbij verschillende wijzigingen werden voorgesteld om deze te moderniseren en relevanter te maken in het digitale tijdperk

Deze uitbreiding van de privacywetgeving wereldwijd maakte de naleving complexer, maar versterkte de privacy-eerste informatiebeveiliging.

Onze voorspelling rond privacyframeworks bleek ook waar. Adoptie van standaarden zoals ISO 27001 en ISO 27701 versnelde naarmate organisaties hun privacyprogramma's probeerden te systematiseren. Deze raamwerken bieden nuttige routekaarten voor het instellen van gegevensbeschermingscontroles en het formaliseren van privacybeheer.

Hoewel er vooruitgang is geboekt, is het privacylandschap nog steeds in ontwikkeling. Sommige wetten, zoals de PIPL, evolueren weliswaar langzaam, maar veel bedrijven ontberen nog steeds volwassen privacyprogramma's. De groei van de privacyregelgeving en de toenemende verwachtingen van gebruikers rond gegevensbeveiliging hebben privacy echter stevig gevestigd als een van de belangrijkste zorgen voor cyberbeveiliging en bedrijfsleiders. Degenen die hier in 2024 geen prioriteit aan geven, lopen het risico achterop te raken bij collega's, toezichthouders en consumenten. Een privacy-first-aanpak is niet langer optioneel, maar fundamenteel voor vertrouwen en succes in de digitale economie.

Trend 2: Mondiale harmonisatie van informatie, privacy en dataregulering

Vorig jaar verwachtten we een groeiend momentum in de richting van het harmoniseren van privacy- en dataregelgeving over de grenzen heen. De bedoeling was om de naleving te stroomlijnen voor bedrijven die wereldwijd actief zijn en de interoperabiliteit te verbeteren. De complexiteit van het met elkaar verzoenen van diverse juridische kaders zorgde er echter voor dat de vooruitgang op dit front gematigder bleef dan verwacht.

Er zijn enkele voorzichtige stappen gezet om de regelgeving internationaal op één lijn te brengen. Initiatieven zoals het EU-VS Data Privacy Framework gericht op het mogelijk maken van transatlantische gegevensstromen via gedeelde standaarden. APEC ging door met de ontwikkeling van zijn Cross-Border Privacy Rules-systeem om de jurisdicties in Azië en de Stille Oceaan te overbruggen. Er blijven echter aanzienlijke verschillen bestaan ​​tussen de belangrijkste privacyregimes.

De AVG van de Europese Unie blijft de meest uitgebreide gegevensbeschermingswet ter wereld. Pogingen om andere rechtsgebieden te beïnvloeden in de richting van afstemming op de AVG hebben gemengde resultaten opgeleverd. Wetten zoals de LGPD in Brazilië zijn gebaseerd op de AVG, maar andere regio's kozen voor regelgeving op maat. En landen als India en China hebben internetsoevereiniteitswetten aangenomen die een grotere digitale controle garanderen.

Uiteenlopende nationale belangen vormen een cruciale uitdaging voor harmonisatie. Overheden beschouwen privacywetten vaak als het handhaven van de soevereiniteit en het beperken van invloeden van buitenaf. Dit maakt convergentie rond een standaardset regels politiek moeilijk. Concurrerende prioriteiten rond privacy versus economische groei belemmeren ook de consensus.

Hoewel substantiële wereldwijde harmonisatie ongrijpbaar blijft, kunnen organisaties zich nog steeds voorbereiden op dit complexe landschap. Het volgen van erkende internationale normen en raamwerken draagt ​​bij aan het garanderen van basisconformiteit in alle rechtsgebieden. Investeren in aanpasbare data governance-programma’s maakt aanpassing aan nieuwe eisen mogelijk. En het monitoren van de juridische ontwikkelingen in de doelmarkten is essentieel om het zich ontwikkelende regime voor te blijven.

Hoewel de weg naar harmonisatie lang is, kan er in de loop van de tijd overeenstemming komen over de belangrijkste beginselen van gegevensbescherming. Maar het beheren van de naleving van uiteenlopende regelgeving zal in 2024 waarschijnlijk de realiteit blijven.

Trend 3: Een toekomst zonder wachtwoord

Vorig jaar voorspelden we dat er in 2023 een grotere adoptie van wachtwoordloze authenticatie zou plaatsvinden, omdat bedrijven de beveiliging en gebruikerservaring wilden verbeteren. Deze trend verliep grotendeels zoals verwacht.

Grote technologiebedrijven hielpen de wachtwoordloze toekomst te versnellen door middel van spraakmakende implementaties. Microsoft heeft wachtwoordloze aanmelding aangekondigd voor commerciële Azure Active Directory-gebruikers, gebruik te maken van FIDO-standaarden voor multi-factor authenticatie. Apple heeft in iOS 16 en macOS Ventura wachtwoordsleutels geïmplementeerd als een veilig alternatief voor wachtwoorden. Google, Facebook en anderen hebben ook de uitrol zonder wachtwoord uitgebreid.

De reacties van consumenten waren overwegend positief, omdat systemen zonder wachtwoord de wrijving bij het onthouden van inloggegevens wegnemen. Voor een bredere zakelijke acceptatie worden deze systemen echter vaak gecombineerd met strengere vereisten voor identiteitsverificatie die een balans bieden tussen beveiliging en bruikbaarheid.

Onze voorspelling over het integreren van wachtwoordloze authenticatie met zero trust-architectuur en identiteitstoegangsbeheer waar gehouden. Terwijl organisaties gebruikersidentiteiten in netwerken, apparaten en omgevingen willen valideren, helpen zero trust-principes de toegang te beschermen. Tools zoals eenmalige aanmelding en adaptieve meervoudige authenticatie helpen bij het beheren van logins en voorkomen hergebruik van inloggegevens.

Wachtwoorden blijven echter in veel systemen bestaan. Oudere applicaties en diensten die geen moderne authenticatiemogelijkheden hebben, vormen barrières om volledig wachtwoordloos te worden. En de kosten voor het reviseren van de bestaande infrastructuur kunnen de adoptie vertragen. Dus hoewel het momentum richting wachtwoordloos voortduurt, is de dood van het wachtwoord misschien nog niet helemaal aangebroken.

In het komende jaar verwachten we een verdere integratie van wachtwoordloze systemen met gelaagde identiteitsbeheerbescherming. Organisaties die zich zorgen maken over phishing-risico's kunnen eerst een pilot uitvoeren zonder wachtwoord in gebieden met een laag risico. En gebruikerseducatie zal essentieel zijn, aangezien wachtwoordloos een verschuiving vertegenwoordigt in het decennia-oude inloggedrag. Maar bij verstandig gebruik kunnen wachtwoordloze en zero trust-strategieën identiteitsbeheer naar een hoger niveau tillen.

Trend 4: Het supply chain-probleem blijft bestaan

Vorig jaar voorspelden we dat de cyberaanvallen in de toeleveringsketen zouden toenemen naarmate bedreigingsactoren nieuwe infiltratiepunten zochten. Helaas is deze voorspelling volledig uitgekomen, met aanzienlijke incidenten die de aanhoudende kwetsbaarheid van de toeleveringsketen aantonen.

Verschillende spraakmakende bedrijven werden in 2023 het slachtoffer van geavanceerde supply chain-aanvallen, waaronder BA, Boots en de BBC, waarbij inbreuk werd gemaakt via het gebruik door hun loonbedrijven van een tool voor bestandsoverdracht met de naam MOVEit. Techgigant Okta kreeg ook te maken met een inbreuk op de gegevens van meer dan 5,000 werknemers via een externe zorgaanbieder. En ransomwarebendes richtten zich steeds vaker op managed service providers om toegang te krijgen tot hun klanten verderop in de keten.

Deze incidenten onderstrepen de risico's van over het hoofd geziene zwakke schakels en te veel vertrouwen in partners. Als reactie daarop hebben bedrijven hun cyberstrategieën voor de toeleveringsketen nog verder uitgebreid en kaders als ISO 27001 en NIST overgenomen om uitgebreide informatiebeveiligingscontroles en -processen op te zetten die rekening houden met interacties met derden; dit omvat het implementeren van regelmatige beveiligingsbeoordelingen voor leveranciers, het prioriteren van cloudbeveiliging om provideromgevingen af ​​te sluiten, en het onder druk zetten van managed service providers om cybergereedheid aan klanten aan te tonen.

Hoewel het positieve stappen zijn, blijft de beveiliging van de toeleveringsketen voor veel organisaties een werk in uitvoering. Cultuurveranderingen vergen tijd, omdat het diepgewortelde vertrouwen tussen partners niet van de ene op de andere dag kan worden ontmanteld. Maar de bedreigingen zullen zich blijven ontwikkelen, wat betekent dat de waakzaamheid in de toeleveringsketen niet mag afnemen.

Vooruitkijkend verwachten we dat Third Party Risk Management (TPRM)-programma’s alomtegenwoordig zullen worden in alle sectoren. Cyberbeveiliging zal steeds meer een rol spelen bij aanbestedingsbeslissingen. En het toezicht op leveranciers zal worden aangescherpt door middel van audits en verplichte openbaarmakingen. Hoewel het supply chain-probleem in 2024 niet zal verdwijnen, hebben bedrijven de noodzaak om deze aanhoudende bedreigingen aan te pakken hernieuwd.

Trend 5: Risicolandschap van het Internet of Things (IoT).

Vorig jaar verwachtten we dat de proliferatie van IoT-apparaten het aanvalsoppervlak voor organisaties zou vergroten. Deze voorspelling kwam uit, aangezien onbeveiligde IoT naar voren kwam als een achilleshiel bij cyberincidenten in 2023.

Aanvallers richtten zich consequent op kwetsbare IoT-apparaten om netwerktoegang te verkrijgen. De Log4j-kwetsbaarheden in IoT-systemen werden uitgebuit om cryptominers in te zetten. Onbeschermde IoT-apparaten in de gezondheidszorg werden gecompromitteerd om patiëntgegevens te stelen. DDoS-aanvallen maakten gebruik van slecht beveiligde IoT-camera's en routers om slachtoffers te overweldigen.

Als reactie daarop wonnen de langverwachte IoT-beveiligingsregels dit jaar wereldwijd terrein. De Cyber ​​Resilience Act van de EU zal basis-IoT-beveiligingsnormen verplicht stellen vanaf 2024. De VS, Groot-Brittannië en anderen streven soortgelijke regels na om IoT-kwetsbaarheden te dichten. Deze wetten zijn bedoeld om de verspreiding van niet-conforme apparaten tegen te gaan.

Aan de zakelijke kant haastten IT-teams zich om verbonden assets te inventariseren, de firmware van IoT-apparaten bij te werken en het verkeer in IoT-omgevingen te monitoren. Het segmenteren van IoT-netwerken hielp de zijdelingse beweging na infiltratie te beperken. Maar voor velen maakte de onbekende en onbeheerde IoT-schaal tijdige herstel lastig.

Terwijl toezichthouders en bedrijven hun best doen om de risico’s aan te pakken, blijft de IoT-integratie zich snel verspreiden. Gartner voorspelt dat er in 30 ruim 2025 miljard IoT-apparaten zullen zijn, tegen 11.4 miljard in 2021. Deze enorme uitbreiding van het IoT-landschap zal zelfs de meest robuuste apparaatbeveiligingsregimes op de proef stellen.

In 2024 verwachten we dat IoT-beveiligingsbeheer een speciaal aandachtsgebied zal worden. Organisaties zullen IoT-zichtbaarheid en toegang tot tools omarmen om de wildgroei van apparaten te beheersen. En steeds meer bedrijven zullen kijken naar platforms die het activabeheer en de detectie van bedreigingen in complexe IoT-ecosystemen vereenvoudigen. Maar het inperken van dit steeds groter wordende aanvalsoppervlak zal krachtige en gecoördineerde inspanningen vergen.

Trend 6: Creatief omgaan met de kloof in cyberbeveiligingsvaardigheden

Vorig jaar voorspelden we dat er creatieve benaderingen zouden ontstaan ​​om het tekort aan cybersecurityvaardigheden te helpen beheersen, waardoor beveiligingsteams beperkt worden. 

Omdat cyberfuncties chronisch onderbezet bleven, werden bedrijven inderdaad creatief met het vinden van talent en rekruteerden ze uit aangrenzende vakgebieden zoals IT, compliance en engineering om toegang te krijgen tot onaangeboorde talentenpools. Leerlingprogramma's hielpen geïnteresseerde kandidaten te vormen die geen directe ervaring hadden. En het onder de aandacht brengen van zachtere vaardigheden voor cyberrollen stimuleerde een bredere sollicitantenpool.

Outsourcing groeide ook om processen te optimaliseren en interne cyberbronnen vrij te maken. MSSP's hebben de monitoring en respons voor onder druk staande veiligheidsoperatiecentra op zich genomen. Cloudproviders leverden beheerde beveiligingsdiensten om de infrastructuurlasten te verminderen. En consultants zorgden voor gespecialiseerde expertise om kennislacunes op te vullen.

Outsourcing brengt echter potentiële risico's met zich mee, zoals blijkt uit grote inbreuken door derden, als het niet zorgvuldig wordt beheerd. En bedrijven hadden nog steeds hulp nodig om senior leiderschap op het gebied van cyberbeveiliging binnen te halen; een leemte die outsourcing niet kon opvullen.

In 2024 zal het beheer van cyberpersoneel absoluut noodzakelijk blijven. Opleidingsprogramma's, creatieve rekrutering en een beter gebruik van hulpbronnen door middel van outsourcing zullen waarschijnlijk toenemen. Er blijft echter een acuut tekort aan geavanceerde cybervaardigheden bestaan. De afhankelijkheid van de sector van overbelast maar essentieel veiligheidspersoneel zal in de nabije toekomst blijven bestaan. Voortdurende creativiteit en investeringen zullen van cruciaal belang zijn voor succes.

Belangrijkste punten: de weg naar sterkere cyberbeveiliging

Als 2023 bedrijven iets heeft geleerd, zijn effectieve informatie- en cyberbeveiliging nu essentieel voor zakelijk succes. 

Bepaalde trends, zoals aanvallen op de toeleveringsketen en de wildgroei van het IoT, zijn duidelijk versneld zoals voorspeld. Maar op andere terreinen, zoals adoptie zonder wachtwoorden en mondiale regulering, verliepen de ontwikkelingen geleidelijker dan verwacht. Dit alles onderstreept dat cyberbeveiliging flexibiliteit en waakzaamheid vereist. Zelfgenoegzaamheid is gevaarlijk als bedreigingen zo gemakkelijk veranderen. 

Om voorop te blijven moeten organisaties de trends voortdurend monitoren, en niet alleen jaarlijks. Ze moeten opkomende oplossingen voorzichtig testen, zelfs als de belofte groot is. Door te investeren in aanpasbare fundamenten zoals beveiligingsframeworks, op risico gebaseerde beveiliging en de ontwikkeling van het personeelsbestand kunnen we nieuwe uitdagingen aangaan.

Als we vooruitkijken naar 2024, kunnen we meer volatiliteit verwachten, van geopolitieke spanningen die door de staat gesponsorde aanvallen aandrijven tot kwantumcomputing en AI die nieuwe technologische risico's met zich meebrengen. Samenwerking zal van cruciaal belang zijn, van publiek-private partnerschappen tot partnerecosystemen van leveranciers om de basisveerkracht in onderling verbonden toeleveringsketens te vergroten. Cyberrisico's zijn niet meer weg te denken, maar onze collectieve inspanningen kunnen een betrouwbaarder digitaal ecosysteem creëren dat vooruitgang en bescherming in evenwicht houdt.