IO's nieuwste Rapport over de staat van de informatiebeveiliging Dit benadrukt een sector die structureel kwetsbaar is en zich daar terdege van bewust is. Transport- en reisorganisaties bevinden zich op het snijvlak van fysieke infrastructuur, digitale platforms en nauw met elkaar verbonden toeleveringsketens. Wanneer er iets misgaat, zijn de gevolgen direct en zeer zichtbaar, van stilstaande voertuigen en productiestops tot gestrande klanten en een domino-effect van verstoringen bij leveranciers.

Uit de bevindingen van dit jaar blijkt dat leiders op het gebied van beveiliging in de transport- en reisbranche zich inspannen om gelijke tred te houden met door AI aangedreven dreigingen, versnelde regelgeving en de kwetsbaarheid van de toeleveringsketen, terwijl ze tegelijkertijd te maken hebben met budgetbeperkingen, tekorten aan gekwalificeerd personeel en een ongelijke betrokkenheid van de raad van bestuur.

Onze respondenten bestonden uit senior leiders op het gebied van cyber- en informatiebeveiliging binnen de Britse en Amerikaanse transport- en reisbranche. Hun antwoorden laten zien waar de druk het grootst is, hoe incidenten zich in de praktijk ontvouwen en waar de sector zich op richt om de weerbaarheid te vergroten.

Hieronder bespreken we 11 belangrijke statistieken uit het rapport van dit jaar die elke leider in de transport- en reisbranche zou moeten begrijpen.

Belangrijke statistieken over informatiebeveiliging voor de transport- en reisbranche

  1. 57% zegt dat de aard van de transport- en reisbranche het bijzonder moeilijk maakt om effectieve informatiebeveiligingsmaatregelen te implementeren.
  2. 46% zegt dat het senior management informatiebeveiligingsnaleving nog steeds als een bijzaak beschouwt – ondanks dat 86% een duidelijke beveiligingsstrategie heeft en 89% de verantwoordelijkheid op bestuursniveau steunt.
  3. Budgetbeperkingen worden het meest genoemd als uitdaging (48%), terwijl 34% kampt met een tekort aan vaardigheden op het gebied van informatiebeveiliging en 33% met personeelsverloop en het behoud van personeel.
  4. 44% geeft aan dat een gebrek aan bewustzijn bij werknemers een belangrijke uitdaging vormt, waarbij veelvoorkomende fouten onder meer phishing-klikken (29%), schaduw-IT (26%) en onveilig gebruik van persoonlijke apparaten (23%) zijn.
  5. Ruim 74% van de transport- en reisorganisaties meldde de afgelopen 12 maanden te hebben geleden onder veiligheidsincidenten.
  6. 54% geeft aan het afgelopen jaar minstens één boete te hebben ontvangen voor een datalek of schending van de gegevensbescherming, waarbij de meeste boetes tussen de £101,000 en £250,000 bedroegen.
  7. 37% heeft de afgelopen 12 maanden te maken gehad met een incident veroorzaakt door een derde partij of leverancier – 17% meerdere keren en 20% één keer.
  8. 77% heeft nieuwe technologieën zoals AI, machine learning of blockchain omarmd, maar 54% zegt dat ze AI te snel hebben ingevoerd en 33% meldt dat taken door AI worden vervangen zonder menselijke controle.
  9. 94% voelt zich voorbereid op door AI gegenereerde phishing en spoofing, en 89% op deepfakes en door AI aangedreven malware – toch meldt 20% nog steeds ongeoorloofd gebruik van GenAI-tools door werknemers.
  10. 40% geeft aan moeite te hebben met het bepalen welke beveiligingsprocessen veilig geautomatiseerd kunnen worden.
  11. 46% noemt een gestroomlijnde beveiligingsinfrastructuur als de belangrijkste bron van rendement op hun investeringen in informatiebeveiliging, gevolgd door betere zakelijke beslissingen (43%), een grotere aantrekkingskracht voor investeerders (40%) en hogere verkoopcijfers of nieuwe kansen (37%).

Beveiliging van derden en de toeleveringsketen

Weinig sectoren ondervinden de gevolgen van verstoringen in de toeleveringsketen zo sterk als de transport- en reisbranche. Jaguar Landrover (JLR) De cyberaanval maakte dat duidelijk: één enkel incident legde de productie stil, schakelde IT-systemen uit en veroorzaakte een schokgolf die duizenden leveranciers en lokale economieën trof.

Onze gegevens tonen aan dat dit geen uitzondering is. Meer dan een derde van de organisaties is het afgelopen jaar getroffen door incidenten met externe partijen. Wanneer deze incidenten zich voordoen, reiken de gevolgen verder dan het oorspronkelijke incident: datadiefstal die klanten, medewerkers of partners treft, komt vaak voor, evenals onvoorziene financiële kosten, vertragingen in de toeleveringsketen, tijdelijke storingen en in sommige gevallen het verlies van belangrijke partnerschappen of contracten.

Als gevolg hiervan worden de eisen aan leveranciers steeds strenger. Veel organisaties eisen nu... ISO 27001 , ISO 27701 en / of ISO 42001 van partners, in combinatie met raamwerken zoals Cyber ​​Essentials, SOC 2, NIST en regelgeving zoals NIS 2 en TISAX. Slechts een kleine minderheid heeft helemaal geen beveiligingsnormen nodig.

Uit de uitgavenplannen blijkt deze verschuiving. Bijna de helft is van plan de investeringen in de toeleveringsketen en de beveiliging van derden de komende 12 maanden te verhogen, terwijl niemand bezuinigingen plant. De trend gaat weg van eenmalige vragenlijsten en momentopnames naar continu, gestructureerd en op bewijs gebaseerd toezicht op leveranciers, afgestemd op dezelfde kaders en rapportagemethoden die intern worden gebruikt.

Het veranderende dreigingslandschap

Het incidentenbeeld voor transport en reizen is breed en aanhoudend. Traditionele bedreigingen, zoals phishing, malware en netwerkinbraken, blijven hardnekkig aanwezig. Ongeveer een derde van de organisaties meldt phishing- of vishing-incidenten en bijna evenveel organisaties melden malware-infecties. Een kleiner, maar significant deel meldt ransomware, DDoS-aanvallen, inbreuken op IoT/mobiele systemen, AI-datavergiftiging, deepfakes en compromittering van de toeleveringsketen.

Datalekken zijn geen abstract begrip. Klant-, werknemers-, financiële, onderzoeks-, product- en intellectuele-eigendomsgegevens zijn allemaal in aanzienlijke aantallen gecompromitteerd. Vooral voor persoonsgegevens zijn de gevolgen ernstig: de meeste getroffen organisaties melden boetes van de toezichthouder en de helft geeft aan dat datalekken hebben bijgedragen aan bedrijfsbeëindiging of een strategische koerswijziging.

Hier bovenop komt een evoluerend, door AI gedreven dreigingslandschap. Door AI gegenereerde phishing is nu de grootste opkomende zorg, gevolgd door misinformatie en desinformatie, deepfake-imitatie in virtuele vergaderingen en schaduw-AI. Aanvallen op de toeleveringsketen en ransomware blijven een bedreiging vormen, maar het zwaartepunt is verschoven naar aanvallen die AI gebruiken om traditionele technieken op te schalen en te personaliseren.

Het risico schuilt niet alleen in de geavanceerdheid van deze aanvallen, maar ook in de operationele realiteit dat kleine fouten bij een aannemer, logistieke partner of gespecialiseerde softwareleverancier zich snel kunnen verspreiden via onderling verbonden netwerken.

Vaardigheden, burn-out en operationele overbelasting

Het rapport benadrukt tevens een sector die onder aanhoudende operationele druk staat. Budgettaire beperkingen gaan hand in hand met een chronisch tekort aan gekwalificeerd personeel en de moeilijkheid om medewerkers te behouden. Zelfs waar burn-out niet expliciet wordt gemeld, zorgen toenemende verantwoordelijkheden, nieuwe technologieën, nieuwe regelgeving en complexe toeleveringsketens ervoor dat capaciteit een constante zorg blijft.

Deze druk reikt verder dan specialistische rollen. Teams worstelen met een wildgroei aan tools, overlappende dashboards en inconsistente workflows. Velen zijn van plan om consolidatie prioriteit te geven, en een aanzienlijk deel worstelt met de vraag welke processen veilig geautomatiseerd kunnen worden. Te veel tools, onvoldoende integratie en onzekerheid over de grenzen van automatisering maken het moeilijker om een ​​eenduidig ​​en betrouwbaar beeld van risico's en compliance te behouden.

In een omgeving waar tijd en veiligheid cruciaal zijn, kan dit gebrek aan samenhang leiden tot hiaten in de monitoring, onvolledig bewijsmateriaal en een grote afhankelijkheid van individuele expertise. Op de lange termijn is dat geen duurzaam bedrijfsmodel.

Regelgevingsdruk en complexiteit van naleving

De regelgeving rondom gegevensbescherming, AI-governance, operationele veerkracht en beveiliging van de toeleveringsketen wordt steeds strenger. Zes op de tien leiders in de transport- en reisbranche geven aan dat het tempo en de omvang van de veranderingen het moeilijk maken om aan de regelgeving te blijven voldoen.

De capaciteit is echter ongelijk verdeeld. Ongeveer een derde voelt zich volledig toegerust om kaders en regelgeving zoals GDPR, NIS 2 en DORA intern te beheren, en een ander derde voelt zich grotendeels toegerust maar is nog steeds afhankelijk van externe hulp. De rest meldt tekorten aan tijd, specialistische vaardigheden of steun van de raad van bestuur.

De resultaten bevestigen dit: meer dan de helft van de organisaties in de sector heeft het afgelopen jaar boetes ontvangen voor schending van de gegevensbescherming, vaak van bedragen in de zescijferige lijn.

Wanneer compliance goed wordt uitgevoerd, zijn de voordelen duidelijk. Leiders wijzen op een gestroomlijnde infrastructuur, betere besluitvorming, een grotere aantrekkingskracht voor investeerders, een verbeterde reputatie en nieuwe commerciële kansen als tastbare resultaten. De gegevens ondersteunen een verandering in denkwijze: voor veel organisaties wordt compliance een weg naar gedisciplineerde groei en veerkracht in plaats van een reactieve reactie op regelgeving.

Werknemersgedrag en interne risico's

De beveiligingscultuur blijft een terugkerend zwak punt. Hoewel sommige organisaties geen veelvoorkomende fouten van werknemers melden, zien veel andere organisaties een consistent patroon: klikken op phishinglinks, gebruik van openbare wifi voor werkdoeleinden, schaduw-IT, onbeheerde persoonlijke apparaten en onbeveiligde bestandsdeling. Ook het niet naleven van regelgeving en zwakke wachtwoordpraktijken komen vaak voor.

Dit gedrag is met name riskant in de transport- en reisbranche, waar medewerkers toegang kunnen hebben tot operationele systemen, klantgegevens, logistieke platforms of leveranciersportalen. Wanneer processen onduidelijk, omslachtig of gefragmenteerd zijn over meerdere tools, neigen medewerkers vanzelfsprekend naar omwegen die sneller lijken, zelfs als dat nieuwe risico's met zich meebrengt.

De uitdaging voor beveiligingsmanagers is niet alleen het trainen van het bewustzijn, maar ook het ontwerpen en afdwingen van processen die de veilige route als standaard instellen en integreren in de systemen die mensen al gebruiken.

Leiderschap en strategische richting

Er zijn bemoedigende tekenen dat beveiliging hoger op de agenda komt te staan. De meeste organisaties geven aan een duidelijke, goed gecommuniceerde beveiligingsstrategie te hebben, en bijna negen op de tien zijn het ermee eens dat elk bedrijf iemand op bestuursniveau verantwoordelijk moet hebben voor informatiebeveiliging.

Bijna de helft van de respondenten is echter van mening dat hun hogere leidinggevenden compliance als een bijzaak beschouwen. Deze discrepantie is belangrijk. Wanneer de signalen van de leiding tegenstrijdig zijn, moeten teams ambitieuze beveiligings- en compliance-doelen zien te verzoenen met een beperkt budget en beperkte capaciteit.

In een sector waar operationeel risico nauw verbonden is met veiligheid, servicecontinuïteit en merkvertrouwen, zullen de organisaties die het meest kans van slagen hebben, organisaties zijn waarvan de raden van bestuur informatiebeveiliging beschouwen als een essentiële bedrijfsbehoefte en niet als een loutere formaliteit.

Voorop blijven door gestructureerde veerkracht

De transport- en reisbranche worstelt met wereldwijde toeleveringsketens, door AI mogelijk gemaakte dreigingen, strengere regelgeving en beperkte interne capaciteit. Toch is de richting duidelijk. Organisaties investeren steeds meer in AI-beveiliging, incidentrespons, beveiliging van de toeleveringsketen en compliance. Ze plannen de consolidatie van tools, versterken de eisen aan leveranciers en formaliseren de governance.

De rode draad in de bevindingen van dit jaar is dat handmatige, gefragmenteerde en persoonsgebonden benaderingen hun grenzen bereiken. De organisaties die het best gepositioneerd zijn voor de komende 12 maanden, zijn de organisaties die geïntegreerde, herhaalbare systemen implementeren voor het beheer van beveiliging en compliance, waarbij mensen, processen, controles en leveranciersgegevens worden samengebracht in één operationeel model.

Op die manier kunnen transport- en reisorganisaties risico's verminderen, hun vermogen om incidenten op te vangen en ervan te herstellen verbeteren en een stabielere basis leggen voor de innovatie en connectiviteit die hun klanten tegenwoordig als standaard verwachten.

Lees het volledige rapport over de stand van zaken op het gebied van informatiebeveiliging.