Hier is alles wat er mis is met cyberbeveiliging in het VK vandaag ISMS.online

Hier is alles wat er vandaag de dag mis is met cyberbeveiliging in Groot-Brittannië

Door Phil Muncaster • 23 May 2024

Voor een nuttige jaarlijkse momentopname van de veiligheidspositie van Britse bedrijven hoeft u niet verder te zoeken dan die van de overheid Onderzoek naar inbreuken op de cyberveiligheid. Het biedt een relatief gedetailleerd inzicht in wat werkt en, vaker, wat niet. In totaal zegt driekwart van de bedrijven (oplopend tot 93% van de middelgrote en 98% van de grote bedrijven) dat hun bestuur cyberbeveiliging als een “hoge prioriteit” beschouwt. Maar zeggen is niet doen.

Er is duidelijk ruimte voor verbetering op meerdere gebieden, waaronder incidentrespons, beveiliging van de toeleveringsketen, verantwoordelijkheid van het bestuur en risicobeheer. Misschien wel het meest zorgwekkend is het gebrek aan bewustzijn van door de overheid geleide veiligheidskaders en -initiatieven. Naast best practice-normen zoals ISO 27001 kunnen deze een grote bijdrage leveren aan het verbeteren van de cyberweerbaarheid van UK PLC.

Ruimte voor verbetering

Het belangrijkste cijfer is dat de helft (50%) van de reagerende bedrijven aangeeft in de afgelopen twaalf maanden een of andere vorm van inbreuk op de beveiliging of aanval te hebben ervaren – oplopend tot 12% van de middelgrote bedrijven (en 70% van de grote bedrijven). Dit is aanzienlijk hoger dan de respectievelijke cijfers van 74%, 32% en 59% vorig jaar, maar betekent niet noodzakelijkerwijs meer inbreuken; het kan zijn dat er meer worden gedetecteerd. Het rapport begint zelfs met goed nieuws.

Volgens het onderzoek, dat is samengesteld op basis van een onderzoek onder 2,000 Britse bedrijven en vervolggesprekken met 44 bedrijven, wordt de cyberhygiëne steeds beter. Het rapport benadrukt een jaarlijkse toename van het aantal bedrijven dat zich bezighoudt met:

Up-to-date bescherming tegen malware (van 76% in 2023 naar 83% in 2024)
Beheerdersrechten beperken (67% tot 73%)
Netwerkfirewalls (66% tot 75%)
Overeengekomen processen voor phishing-e-mails (48% tot 54%)

Volgens het rapport is dit een omkering van een patroon dat we in de voorgaande drie jaar van het onderzoek zagen, toen sommige gebieden een consistente daling hadden gekend. Er zijn echter nog steeds zorgen over het volgende:

Risicomanagement: Minder dan een derde (31%) van de bedrijven heeft het afgelopen jaar cyberrisicobeoordelingen uitgevoerd (oplopend tot 63% van de middelgrote en 72% van de grote bedrijven). Bovendien heeft slechts een derde (33%) beveiligingsmonitoring ingezet (63%, 71%).

Leveranciersrisico: Slechts 11% van de bedrijven houdt rekening met de risico's in de toeleveringsketen – oplopend tot slechts 28% van de middelgrote bedrijven en minder dan de helft (48%) van de grote bedrijven.

Bestuursbetrokkenheid: Slechts 30% van de respondenten heeft bestuursleden die rechtstreeks verantwoordelijk zijn voor cyber als onderdeel van hun rol, oplopend tot de helft (51%) van de middelgrote bedrijven en 63% van de grote bedrijven. Dit is onveranderd ten opzichte van vorig jaar.

Strategie: Slechts 58% van de middelgrote bedrijven en 66% van de grote bedrijven beschikt zelfs over een formele cyberbeveiligingsstrategie.

Reactie op incidenten: Slechts een vijfde (22%) beschikt over incidentresponsplannen, oplopend tot 55% en 73% van de middelgrote en grote bedrijven.

Externe hulp: Slechts 41% van de respondenten zegt dat ze informatie of advies over cyberbeveiliging van buiten de organisatie zoeken, minder dan in 2023 (49%). Slechts 13% kent de activiteiten van het Nationaal Cyber Security Centrum Begeleiding in 10 stappen (37%, 44%) en slechts 12% zei hetzelfde Cyberbenodigdheden (43%, 59%).

Wat de deskundigen denken

Marie Wilcox, veiligheidsevangelist bij Panaseer, stelt dat zelfs verbeteringen in de cyberhygiëne de slechte veiligheidspositie van veel Britse bedrijven niet kunnen maskeren.

“Organisaties slagen er nog steeds niet in om essentiële veiligheidscontroles in te voeren. In het beste geval zitten organisaties nog steeds onder de normen van 2021. Zelfs grote bedrijven die de risico's begrijpen, slagen er vaak niet in om de controles op de juiste manier te implementeren. Minstens 29% beschikt niet over controles voor patchbeheer of het beperken van de toegang tot apparaten die eigendom zijn van de organisatie”, betoogt ze.

“Omdat aanvallers de neiging hebben om het laagst hangende fruit te plukken, zou 98% van de inbreuken kunnen worden voorkomen door zich te concentreren op de fundamentele beveiligingsprincipes en een betere cyberhygiëne. Als we naar het midden van het peloton gaan, door over de juiste controles en beleidsmaatregelen te beschikken, kunnen we de overgrote meerderheid van de aanvallen afwenden.”

Richard Staynings, hoofdveiligheidsstrateeg van Cylera, noemt risicobeheer door derden een kritieke tekortkoming voor veel Britse bedrijven. Hij stelt dat leveranciers nooit contracten voor kritieke infrastructuursectoren zoals de gezondheidszorg mogen binnenhalen louter op basis van het laagste bod.

“Het probleem is dat maar weinig bedrijven [beste praktijken op het gebied van beveiliging] afdwingen in hun contracten met derde partijen, waardoor het een voorwaarde is om ervoor te zorgen dat ze beleid en procedures hebben die aan onze eigen normen voldoen, dat ze beschikken over kwaliteitsborging, opleiding van personeel en toegangscontroles. opgezet en dat ze ISO/IEC 27001-certificering bieden – de bekendste standaard ter wereld voor informatiebeveiligingsbeheersystemen (ISMS)”, voegt hij eraan toe.

De CEO van Socura, Andy Kays, is vooral ontzet over het relatief kleine aantal bedrijven dat incidentresponsplannen heeft geformaliseerd – een feit dat hij omschrijft als ‘verbazingwekkend’.

“Bedrijven zullen altijd een plan hebben in geval van brand, maar zullen niet dezelfde zorgvuldigheid betrachten bij een datalek – wat statistisch gezien veel waarschijnlijker is. Het druist in tegen het gezond verstand”, vervolgt hij.

“In het geval van een inbreuk houden bedrijven geen gegevens bij, informeren ze de politie of toezichthouders niet en beoordelen ze de omvang en impact van het incident niet. Ze slagen er niet in om het absolute minimum te doen. Het is ook belangrijk op te merken dat bedrijven in de eerste plaats heel weinig doen om inbreuken te voorkomen of op te sporen.”

Bouwen aan een veerkrachtiger toekomst

Een van de meest teleurstellende bevindingen van het rapport is het gebrek aan bewustzijn rond beveiligingsinitiatieven van de overheid, zoals de 10 Steps en Cyber Essentials, die zijn ontworpen om de basisbeveiliging voor reguliere bedrijven te verbeteren. Hetzelfde geldt voor wereldwijd bekende best practice-beveiligingsnormen zoals ISO 27001, ondanks dat sommige respondenten dit in positieve termen beschouwen. Matt Thomas, hoofd Britse markten bij NCC Group, stelt dat dit voor veel grotere organisaties op de to-do-lijst zou moeten staan.

“Hoewel ISO 27001-certificering vooral de weg vrijmaakt voor bedrijven om hun cyberweerbaarheid te vergroten, reiken de voordelen veel verder. Vanuit geloofwaardigheidsoogpunt kan het helpen bij de bescherming van de reputatie. En als wereldwijd erkend raamwerk kan het helpen bij audits en het aanpassen van strategieën, terwijl het er ook voor zorgt dat bedrijven zich aan de wetgeving houden en dure boetes vermijden”, vertelt hij aan ISMS.online.

“Als ISO 27001 breder wordt toegepast, kunnen we een heel ander beeld te zien krijgen wanneer toekomstige onderzoeken naar cyberlekken worden vrijgegeven. Bedrijven die hun cyberhygiëne proactief benaderen, lopen ongetwijfeld minder risico om het slachtoffer te worden van een cyberaanval.”

Keith Fenner, algemeen directeur EMEA en Diligent, concludeert dat EU-wetgeving zoals NIS 2 en DORA veel organisaties zal dwingen hun risicobeheer en rapportage te verbeteren.

“Om zich voor te bereiden hebben organisaties een robuust IT-complianceprogramma nodig, dat in toenemende mate wordt ondersteund door AI- en automatiseringsmogelijkheden, zodat ze controles kunnen toewijzen aan meerdere regelgevingen en voortdurend controles kunnen monitoren om de kans op datalekken te verkleinen”, vertelt hij aan ISMS.online.

“Dit programma moet deel uitmaken van een geïntegreerd GRC-platform om zowel interne als externe audits te faciliteren, meerdere belanghebbenden uit de organisatie in staat te stellen mee te kijken en samen te werken, en gestroomlijnde rapportage aan het bestuur mogelijk te maken, zodat cyberrisico’s worden geïntegreerd in de algemene strategie van de organisatie . Ten slotte moeten het bestuur en het management gebruik maken van trainingsprogramma’s en certificeringen – en een beroep doen op hun CISO’s – om hun cybergeletterdheid op te bouwen, zodat ze de cyberrisico’s in de hele onderneming effectief kunnen beheersen.”

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster