Verizons DBIR 2025 versus uw bestuur: wat ze missen

Door Phil Muncaster • 24 juni 2025

CISO's worden steeds vaker uitgenodigd voor bestuursvergaderingen. Splunk-enquête Uit een onderzoek uit januari bleek dat 83% vrij vaak of meestal deelneemt, terwijl een vergelijkbaar percentage direct contact heeft met de CEO. Toch zegt minder dan een derde van de respondenten dat de raad van bestuur een of meer leden met cyberexpertise omvat. Dat betekent dat CISO's mogelijk praten zonder echt gehoord te worden.

Het Verizon Data Breach Investigations Report (DBIR) is een uitstekende gelegenheid om de feiten op een rij te zetten. Het staat boordevol waardevolle inzichten in het dreigingslandschap die kunnen dienen als springplank voor strategische gesprekken. CISO's die deze trends in datalekken niet bespreken tijdens managementvergaderingen, riskeren dat hun organisatie kwetsbaar wordt.

Een communicatiestoornis?

Uit onderzoek blijkt dat CISO's in veel organisaties óf de taal van het bestuur/de onderneming niet spreken, óf dat het bestuur niet wil luisteren, óf allebei. FTI Consulting onderzoek Uit onderzoek blijkt dat bijna een derde (31%) van de leidinggevenden de technische concepten die de CISO gebruikt niet volledig begrijpt en dat meer dan de helft (58%) van de CISO's moeite heeft om deze taal op een begrijpelijke manier over te brengen aan het senior management. Een derde van de leidinggevenden geeft aan dat hun CISO's aarzelen om potentiële beveiligingsproblemen onder hun aandacht te brengen.

Maar het probleem slaat beide kanten op. Trend Micro-studie Uit 2024 blijkt dat vier vijfde (79%) van de wereldwijde CISO's druk vanuit de bestuurskamer heeft ervaren om de ernst van cyberrisico's te bagatelliseren – vaak omdat ze als "zeurend" of "te negatief" worden gezien. Een derde zegt dat ze zonder pardon zijn ontslagen. Dit kan worden gekoppeld aan een veelgehoorde beschuldiging: dat besturen cyber nog steeds beschouwen als een zaak van de IT-afdeling en niet van de business. Slechts de helft (54%) van de CISO's met wie Trend sprak, gaf aan er vertrouwen in te hebben dat hun bestuur de cyberrisico's van de organisatie volledig begrijpt – een cijfer dat in drie jaar tijd nauwelijks is veranderd.

"De raad van bestuur luistert wanneer cyberrisico's klinken als bedrijfsrisico's – zo kom je van de serverruimte naar de boardroom. CISO's moeten technische complexiteit vertalen naar zakelijke relevantie", adviseert Mick Baccio, wereldwijd beveiligingsadviseur bij Splunk SURGe.

Om gehoord te worden, moeten ze die kloof overbruggen en cybersecurity profileren als een business enabler: beveiligingsmaatstaven afstemmen op omzetbescherming, naleving van regelgeving en klantvertrouwen. Even belangrijk is het opbouwen van informele relaties met bestuursleden om een vertrouwde adviseur te worden, niet slechts een boodschapper van compliance.

DBIR-inbreuktrends om in de gaten te houden

Als we ervan uitgaan dat CISO's de aandacht van hun bestuur kunnen trekken, waar zouden ze zich dan zorgen over moeten maken? laatste DBIR is gebaseerd op een analyse van meer dan 22,000 beveiligingsincidenten, waaronder 12,195 bevestigde datalekken. Het rapport benadrukt verschillende zorgwekkende trends, waaronder:

Een jaarlijkse stijging van het aantal gevallen van "systeeminbraak" van 36% naar 53% van de datalekken. Dit zijn geavanceerdere aanvallen die worden gekenmerkt door malware en hacking.
Bovenstaande bevinding wordt veroorzaakt door een toename van ransomware-aanvallen, die sinds vorig jaar met 37% in aantal zijn gestegen en nu in 44% van de inbreuken voorkomen, ondanks een daling van het mediane losgeldbedrag. Het MKB wordt onevenredig hard getroffen.
Bij 40% van de slachtoffers van ransomware werden bedrijfs-e-mailadressen gestolen door infostealers.
Misbruik van inloggegevens (22%), misbruik van kwetsbaarheden (20%) en phishing (19%) waren de belangrijkste aanvalsvectoren voor datalekken.
Generatieve AI vormt een groeiend risico op twee fronten: synthetisch gegenereerde tekst in kwaadaardige e-mails (d.w.z. phishing) is de afgelopen twee jaar verdubbeld, terwijl 14% van de werknemers routinematig GenAI-systemen op hun bedrijfsapparaten raadpleegt. Een meerderheid (72%) gebruikte een niet-zakelijk e-mailadres als account-ID, wat wijst op het gebruik van schaduw-AI.
Menselijke betrokkenheid bij inbreuken blijft hoog, zo'n 60%. De meest voorkomende inbreuken zijn misbruik van inloggegevens en social engineering.
Er was een toename van 34% in het misbruiken van kwetsbaarheden als aanvalsvector, met name zero-day exploits gericht op perimeterapparaten en VPN's. Slechts de helft (54%) van de kwetsbaarheden in perimeterapparaten werd volledig verholpen, en gemiddeld duurde dit 32 dagen.
Het percentage inbreuken waarbij derden betrokken zijn, verdubbelde naar 30%.
BYOD blijft een bedreiging: 46% van de systemen die door infostealers met gestolen bedrijfslogins werden gecompromitteerd, waren persoonlijke apparaten.

CISO's zouden naar aanleiding van deze bevindingen gesprekken over 'risicorealisme' moeten voeren met hun besturen, zegt Baccio.

"Als je crisisplan stopt bij je eigen firewall, heb je geen crisisplan. Het rapport van Verizon is duidelijk: het aanvalsoppervlak is uitgebreid en aanvallers maken tegelijkertijd misbruik van de menselijke, technische en toeleveringsketen. Directeuren moeten verder kijken dan alleen maar afvinken en zich afvragen: waar zijn we echt het kwetsbaarst?', vertelt hij aan ISMS.online.

Risico's van derden en blootstellingen aan edge-apparaten moeten worden behandeld als bedreigingen voor de bedrijfscontinuïteit, niet alleen als IT-problemen. De raad van bestuur zou regelmatige scenarioplanning moeten eisen rond misbruik van inloggegevens, afpersing met ransomware en datalekken door insiders.

Jonathan Lee, directeur cyberstrategie bij Trend Micro, stelt dat het rapport een nieuwe 'wake-upcall' moet zijn voor besturen over de noodzaak om de beveiligingsstrategie af te stemmen op de operationele veerkracht.

"We hoeven alleen maar te kijken naar de recente, spraakmakende incidenten met Britse retailers om te zien hoeveel omzetverlies, winstverlies en reputatieschade een aanval met zich mee kan brengen. In sommige gevallen kan een inbreuk een existentiële bedreiging vormen voor een organisatie. In de publieke sector kan dit ook fysieke gevolgen hebben, zoals de klinische schade die werd veroorzaakt na de aanval op Synnovis binnen de NHS-toeleveringsketen", vertelt hij aan ISMS.online.

"Het simpelweg erkennen dat deze risico's bestaan en ze toevoegen aan een risicoregister is niet voldoende. Waarom wachten tot een inbreuk uw organisatie treft? Is het niet beter om proactief en voorbereid te zijn, in plaats van reactief en onvoorbereid voor het geval het ergste gebeurt?"

De kloof overbruggen met complianceprogramma's

Best practice-normen zoals ISO 27001 kunnen hierbij helpen door directies en beveiligingsleiders te voorzien van een gemeenschappelijke taal en een op risico's gebaseerde aanpak waarmee ze de cyberweerbaarheid kunnen verbeteren.

"Compliancekaders zullen niet elke aanvaller tegenhouden, maar ze zullen wel chaos in uw reactie voorkomen. Kaders zoals ISO 27001 en SOC 2 bieden een gemeenschappelijke taal en structuur om cybersecuritymaatregelen af te stemmen op bedrijfsdoelstellingen", aldus Baccio van Splunk.

"Ze bieden herhaalbaar, controleerbaar bewijs van risicomanagement zonder zo voorschrijvend of traag te zijn als regelgeving zoals NIS2. De waarde zit niet alleen in de certificering, maar ook in de discipline en duidelijkheid die het biedt voor cybersecuritystrategie en -rapportage."

Lee van Trend Micro zegt dat deze normen zelfs een handige opstap kunnen vormen naar naleving van regelgeving zoals NIS2 en de aanstaande Britse Cyber Security & Resilience Bill.

"Naast het versterken van de verdediging tegen aanvallers, toont een dergelijke aanpak ook aan dat u zich inzet voor het handhaven van hoge beveiligingsnormen voor uw toeleveringsketen en digitaal verbonden partners", concludeert hij.

Door gebruik te maken van deze complianceprogramma's kunnen CISO's de kloof tussen cyberbeveiliging en hun organisaties dichten en ervoor zorgen dat beveiligingsmaatregelen worden gezien als een essentieel onderdeel van het succes en de veerkracht van hun organisatie.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster