Met genoegen presenteer ik de bevindingen van ons laatste onderzoek Rapport over de staat van de informatiebeveiliging, uitgevoerd in samenwerking met het onafhankelijke marktonderzoeksbureau Censuswide. Dit jaar hebben we ons onderzoek uitgebreid met respondenten uit Groot-Brittannië, de VS en Australië, waardoor we een werkelijk uitgebreid beeld kregen van het huidige landschap op het gebied van informatiebeveiliging en compliance.
Voor mij onderstreept het rapport een cruciale evolutie op het gebied van informatiebeveiliging. Te midden van de snelle technologische vooruitgang en verschuivingen in de mondiale zakelijke omgeving benadrukken onze bevindingen de diepgaande impact van informatiebeveiliging op de veerkracht en het succes van bedrijven.
De rol van robuuste informatiebeveiligingspraktijken is veranderd van een preventieve maatregel naar een fundamentele motor voor bedrijfsgroei. Uit het rapport blijkt dat organisaties die informatiebeveiliging diepgaand in hun operationele ethos integreren, hun verdediging tegen cyberdreigingen verbeteren en hun marktpositie versterken, waardoor ze uiteindelijk aanzienlijke concurrentie- en financiële voordelen behalen.
Het huidige risicolandschap in kaart brengen
Als ik nadenk over de uitdagingen van de sector, wordt het duidelijk dat de IT-leiders van vandaag de dag onbekende wateren betreden. De pandemie en de daaropvolgende economische onzekerheden hebben de digitale transformatie versneld, maar elke nieuwe investering en samenwerking vergroot ons digitale aanvalsoppervlak.
Nu toeleveringsketens steeds meer de levensader van de mondiale handel worden, neemt hun kwetsbaarheid voor cyberaanvallen toe, waarbij cybercriminelen zich vaak richten op kleinere leveranciers om grotere organisaties te infiltreren. Uit ons onderzoek blijkt dat 64% van de respondenten vaker risico's voor de veiligheid van de toeleveringsketen ziet, waarbij 79% het afgelopen jaar minstens één incident heeft meegemaakt.
Deze realiteit onderstreept waarom 38% van de respondenten het beheer van de risico's van leveranciers en derden als de belangrijkste uitdaging voor hun bedrijf bestempelde en daarmee de eerste plaats innam. Bovendien behoort het beheer en de beveiliging van IoT- en BYOD-apparaten (30%) ook tot de top vijf van zorgen. Deze investeringen hebben een aanzienlijke bedrijfswaarde, maar die waarde kan alleen worden gerealiseerd als de risico's op de juiste manier worden beheerd.
Naleving van een complex web van internationale en binnenlandse regelgeving was de op een na grootste uitdaging, genoemd door 33% van de leiders op het gebied van informatiebeveiliging.
Effectief risicobeheer en compliance gaan niet alleen over het vermijden van boetes. Ze zijn van cruciaal belang voor het waarborgen van de integriteit en betrouwbaarheid van de bedrijfsvoering, het vergroten van het concurrentievoordeel en het stimuleren van de bedrijfswaarde. Het stroomlijnen van complianceprocessen is essentieel om voorop te blijven lopen.
De meedogenloze dreiging van cyberacteurs
Naarmate het risicolandschap steeds intensiever wordt, herinnert de meedogenloze innovatie van cybercriminelen ons voortdurend aan de kwetsbaarheden waartegen we moeten waken. Het afgelopen jaar waren malware-infecties de meest gemelde incidenten, vooral in de tech-sector. De opkomst van ‘as-a-service’-malwarepakketten heeft het voor aanvallers gemakkelijker gemaakt om complexe aanvallen uit te voeren, wat heeft geleid tot datalekken en ransomware-aanvallen. De uitkomsten variëren van cryptocurrency-mining en netwerktoegang tot volledige systeemversleuteling en gevoelige gegevens of diefstal van inloggegevens.
Naast deze groeiende risico's blijft social engineering een kritieke bedreiging: 32% van de respondenten meldt incidenten. De verfijning van door AI aangedreven deepfakes is ook bijzonder zorgwekkend omdat ze steeds vaker voorkomen in zakelijke e-mailcompromissen, en meer dan 40% van de bedrijven aangeeft getroffen te zijn door deepfakes, een stijging ten opzichte van 0% in het rapport van 2023.
Naarmate cyberdreigingen steeds geavanceerder worden, is het essentieel dat u waakzaam blijft en uw beveiligingsstrategieën voortdurend bijwerkt. Als u deze bedreigingen niet aanpakt, kan dit ernstige gevolgen hebben, waaronder aanzienlijk gegevensverlies, servicestoringen en financiële schade en merkschade.
De cruciale rol van gegevensbescherming
Data blijven misschien wel het meest waardevolle goed van een organisatie. Deze waarde is de reden Regelgeving zoals de AVG heeft zulke hoge normen gesteld voor het veilig beschermen en verwerken van informatie. Dit is ook de reden waarom bedreigingsactoren zeer gemotiveerd zijn om toegang te krijgen tot deze gegevens, of het nu voor fraude, afpersing of strategische doeleinden is.
Datalekken bij partners worden het meest gemeld: 41% van de respondenten noemt dergelijke incidenten in de afgelopen twaalf maanden. Dit onderstreept de aanhoudende risico’s die leveranciers met zich meebrengen, omdat deze gegevens vaak minder goed beveiligd zijn. Deze inbreuken komen met name vaker voor in de technologiesector (12%) dan in de detailhandel (55%).
Financiële gegevens waren het op een na meest gecompromitteerde type, 39%, gevolgd door activa, 34%, klant, 33) en productgegevens, 32%. Verrassend genoeg meldde slechts 27% van de respondenten dat persoonlijk identificeerbare informatie (PII) was aangetast, ondanks dat dit een veelvoorkomend doelwit is bij ransomware-aanvallen. Dit datatype loopt vooral gevaar in de energie- en nutssector (38%) en 35% in de detailhandel.
Het rapport benadrukte wel dat een betere opleiding en bewustwording van medewerkers een positieve impact heeft. Het aanhoudende gebruik van persoonlijke apparaten voor het werk zonder de juiste beveiligingsmaatregelen blijft echter een aanzienlijk risico. Organisaties moeten doorgaan met het opleiden van werknemers en het handhaven van strenge beveiligingsprotocollen om deze bedreigingen te beperken.
De dubbele rol van AI in cyberbeveiliging
AI is zowel een uitdaging als een kans op het gebied van cyberbeveiliging. 76% van de beveiligingsprofessionals is van mening dat AI en machine learning (ML)-technologie de informatiebeveiliging zullen verbeteren, en 64% is van plan hun budgetten dienovereenkomstig te verhogen. Deze tools kunnen helpen om lacunes in de vaardigheden te overbruggen, de detectie van bedreigingen te automatiseren en de reactietijden te verbeteren, om maar een paar voordelen te noemen.
Ondanks de hype rond generatieve AI (GenAI), meldde slechts 26% van de respondenten dat ze het afgelopen jaar nieuwe technologieën zoals AI, ML en blockchain voor beveiliging hebben geïmplementeerd. Dit is verrassend gezien het feit dat AI-toepassingen in cyberbeveiliging veel verder reiken dan GenAI, waarbij ML al jaren wordt gebruikt in spamfilters en andere gebieden. De terughoudendheid om nieuwe projecten aan te gaan zou kunnen verklaren waarom slechts 11% het beheer en de beveiliging van opkomende technologieën als een grote uitdaging beschouwt.
Nog minder respondenten, 7%, maken zich zorgen over inbreuken op de privacy van AI, wat een opkomend probleem aan het worden is nu organisaties GenAI in hun activiteiten integreren. Spraakmakende incidenten, zoals Samsung-werknemers die per ongeluk gevoelige informatie delen via GenAI-prompts, benadrukken de risico's. Forrester voorspelt aanzienlijke datalekken en boetes voor GenAI-gebruikers in 2024, waarbij de nadruk wordt gelegd op de dreiging van onveilige code die door deze tools wordt gegenereerd. Die van Groot-Brittannië Het National Cyber Security Center (NCSC) heeft ook gewaarschuwd dat GenAI ransomware-bedreigingen kan verergeren door surveillance en social engineering te faciliteren.
Het regelgevingslandschap evolueert echter. De De AI-wet van de EU houdt alle AI-aanbieders verantwoordelijk, waarbij conformiteitsbeoordelingen worden ingevoerd voor AI-systemen met een hoog risico. De VS vertrouwen op presidentiële uitvoerende bevelen, en er komen mogelijk federale wetten aan. Groot-Brittannië geeft ook blijk van de intentie om het gebruik van AI te reguleren. Normen als ISO 42001 zullen cruciaal zijn voor organisaties om toezichthouders zekerheid te bieden.
Hoewel slechts 13% van de respondenten momenteel informatiebeveiliging en compliance gebruikt om de veilige acceptatie van nieuwe technologieën te stimuleren, zal dit cijfer naar verwachting stijgen naarmate de regelgeving toeneemt en het gebruik van technologie wijdverbreider wordt.
De zakelijke waarde van compliance
Historisch gezien hebben directiekamers compliance gezien als een noodzakelijk kwaad: een middel om boetes en slechte publiciteit te vermijden. Ons onderzoek laat echter een significante verschuiving in deze perceptie zien. In Groot-Brittannië is er sprake van een stijging van de boetes: 26% van de respondenten krijgt een boete tussen £250 en 500 (ten opzichte van 21% in 2023) en 35% krijgt een boete van £100 tot 250 (was 18%). Hoewel boetes een factor zijn, vormen ze slechts een deel van het nalevingsverhaal.
Motivaties voor naleving reiken veel verder dan het vermijden van boetes. 34% van de respondenten beschouwt compliance als cruciaal voor het behouden van een concurrentievoordeel, en een gelijk percentage wordt gedreven door de toenemende vraag van klanten naar robuuste beveiligingsmaatregelen. Het beschermen van bedrijfs- (30%) en klantinformatie (29%) is ook een belangrijke motivator, terwijl 27% compliance als essentieel beschouwt voor het betreden van nieuwe markten en toeleveringsketens.
Investeren in complianceprogramma's levert tastbare voordelen op: 34% van de respondenten rapporteert een verbeterde reputatie als veilige en betrouwbare entiteit. 30% heeft kostenbesparingen gerealiseerd door het terugdringen van cybersecurity-incidenten, en 29% heeft tijdbesparing gerealiseerd door efficiëntere beveiligingsprocessen. Compliance trekt ook investeerders aan die op zoek zijn naar bedrijven met een laag risico (28%) en helpt de beveiligingsinfrastructuur te stroomlijnen (28%), waardoor het beheer ervan eenvoudiger en goedkoper wordt. Bovendien heeft 26% de zakelijke besluitvorming verbeterd door middel van veilige en betrouwbare gegevens, terwijl slechts 19% prioriteit geeft aan naleving om boetes te voorkomen.
Ondanks de voordelen blijven er uitdagingen bestaan. Bijna de helft (46%) van de respondenten meldde dat het voldoen aan ISO 27001 tussen de zes en twaalf maanden kostte. Nog eens 12% zegt dat het twaalf tot achttien maanden duurde, en 11% beweert dat het meer dan anderhalf jaar duurde.
Deze tijdlijn geeft aan dat er behoefte is aan meer gestroomlijnde processen en vertrouwde compliancepartners. Door gebruik te maken van ervaren partners kunnen organisaties de compliance-inspanningen versnellen, de bijbehorende kosten verlagen en robuuste beveiligingsmaatregelen handhaven.
Wat is de toekomst voor informatiebeveiliging?
Wat wel duidelijk is, is dat organisaties het hoofd blijven bieden aan talloze bedreigingen en regelgevingsvereisten en tegelijkertijd belangrijke veranderingsinitiatieven aandrijven, niet in de laatste plaats de opkomende rol van AI. Naleving van de kaders en normen voor beste praktijken gaat niet alleen over het voldoen aan de eisen van de regelgeving, maar ook over het opbouwen van een veerkrachtig en betrouwbaar bedrijf.
Op ISMS.online, het is ons doel om onze klanten op dit traject te ondersteunen, hen te helpen de nalevingsprocessen te stroomlijnen en hun digitale toekomst veilig te stellen. Vooruitkijkend heb ik er vertrouwen in dat de integratie van robuuste informatiebeveiligingspraktijken van cruciaal belang zal zijn voor duurzame groei en succes.
Ik wil alle respondenten bedanken die hebben bijgedragen aan dit waardevolle onderzoek. Als u het volledige rapport wilt lezen, kunt u dat hier doen: https://nl.isms.online/state-of-infosec-24/
