WEF-rapport: Fraude is nu de grootste cyberzorg van CEO's, maar het is niet de enige.

Vijf jaar is een lange tijd in de cybersecuritywereld. Toch peilt het World Economic Forum (WEF) al zo lang de mening van CEO's over hun cybersecurity-expertise. Wereldwijde cyberbeveiligingsvooruitzichten rapporten. De hoop is dat de inzichten die hieruit voortkomen bedrijfsleiders in staat zullen stellen hun strategie aan te passen en zich een weg te banen door een snel veranderend dreigingslandschap. Fraude, AI en geopolitiek staan ​​dit jaar bovenaan een groeiende lijst van aandachtspunten. En net als vorig jaar is cyberweerbaarheid het doel waar iedereen naar streeft.

Maar zoals we besproken hebben in de IO (voorheen ISMS.online) Rapport Staat van Informatiebeveiliging 2025Er is vaak een behoorlijke kloof tussen het vaststellen van het probleem en het daadwerkelijk oplossen ervan.

Wat het WEF heeft ontdekt

WEF peilde Voor het rapport van dit jaar zijn iets meer dan 800 C-level executives geïnterviewd. Enkele belangrijke bevindingen zijn de volgende:

Fraude staat bovenaan de lijst.

CEO's en CISO's verschilden enigszins van mening over hun twee grootste zorgen. Terwijl CISO's, net als vorig jaar, ransomware en verstoringen in de toeleveringsketen als belangrijkste prioriteiten noemden, plaatsten CEO's cyberfraude bovenaan, gevolgd door kwetsbaarheden in AI. Met fraude bedoelen ze bedrijfsgerichte bedreigingen zoals phishing/smishing/vishing, factuurfraude (zoals BEC) en fraude door medewerkers, maar ook misdrijven die vaker gepaard gaan met verliezen voor consumenten, zoals identiteitsdiefstal en zelfs beleggingsfraude/crypto-oplichting.

Het IO-rapport lijkt dit te bevestigen. Het toonde aan dat 30% van de respondenten de afgelopen 12 maanden te maken heeft gehad met phishing, tegenover slechts 12% in 2024.

Als recent verslag Uit de belangrijkste punten van Microsoft blijkt dat er een geavanceerde en robuuste wereldwijde infrastructuur bestaat om bepaalde vormen van fraude, zoals BEC (Business Email Compromise), die bedrijven treffen, mogelijk te maken. Maar zelfs ogenschijnlijk op consumenten gerichte campagnes, zoals identiteitsdiefstal, kunnen de zakelijke wereld raken.

As Check Point betoogde In een recent artikel werd gesteld dat oplichters, wanneer ze persoonlijke en apparaatinformatie, waaronder 'liveness'-selfies, van individuen kunnen bemachtigen, deze informatie voor meer dan alleen identiteitsfraude kunnen gebruiken. Concreet zou het ingezet kunnen worden om bedrijfsauthenticatiesystemen te omzeilen en zich voor te doen als medewerkers bij het resetten van wachtwoorden van de IT-helpdesk. En als mensen grote sommen geld verliezen door beleggingsfraude, zijn ze mogelijk kwetsbaarder voor dwang/chantage als kwaadwillende insiders.

AI vergroot het cyberrisico aanzienlijk.

AI werd door de respondenten van het WEF ook aangewezen als een belangrijke drijfveer achter cyberrisico's. Interessant genoeg ging het daarbij minder om de mogelijkheid om phishing, deepfakes en malware te verspreiden (waar 28% zich zorgen over maakte), en meer om datalekken die kunnen ontstaan ​​door misbruik van GenAI (30%). Dit wijst op de zorg dat het toenemende gebruik van AI door bedrijven het cyberaanvalsoppervlak vergroot. Sterker nog, 87% van de respondenten is van mening dat AI-kwetsbaarheden toenemen (tegenover 77% die hetzelfde zegt over fraude en 65% over verstoringen in de toeleveringsketen).

IO-gegevens werpen meer licht op de kwestie. Een derde (34%) van de respondenten gaf aan zich zorgen te maken over schaduw-AI, waarbij 54% toegaf GenAI te snel te hebben omarmd en nu moeite heeft om het op een meer verantwoorde manier te implementeren. Risico's gedijen vaak in de schaduw: wat organisaties niet kunnen zien, kunnen ze niet beheersen.

Geopolitiek is een belangrijke factor die de veiligheidsstrategie beïnvloedt.

Bijna twee derde van de respondenten gaf aan dat geopolitiek gemotiveerde cyberaanvallen een belangrijke factor zijn bij het ontwikkelen van hun cyberrisicobeheerstrategieën. De volatiliteit op dit gebied heeft bijna alle (91%) grote organisaties gedwongen hun beveiligingsaanpak aan te passen, zo blijkt uit het rapport. Dit komt overeen met de bevindingen van IO, dat vaststelde dat 88% van de Amerikaanse en Britse bedrijven vreest voor door de staat gesponsorde aanvallen, en bijna een kwart (23%) zegt dat hun grootste zorg voor het komende jaar een gebrek aan voorbereiding op "geopolitieke escalatie of cyberoperaties in oorlogstijd" is. Een derde (32%) stelt dat het beheersen van geopolitieke risico's hun belangrijkste drijfveer is voor een sterke informatiebeveiliging en compliance.

Nog zorgwekkender is dat 31% van de respondenten van het WEF-onderzoek weinig vertrouwen heeft in het vermogen van hun land om te reageren op grote cyberincidenten, een stijging ten opzichte van 26% vorig jaar. In Europa loopt dit percentage op tot 40%. De regering moet de uitvoering van de maatregelen in haar wetsvoorstel inzake cyberbeveiliging en -veerkracht en haar actieplan inzake cyberveiligheid versnellen.

Toeleveringsketens blijven een belemmering voor veerkracht.

Toeleveringsketens blijven een belangrijke bron van cyberrisico's, en een die moeilijk te beheersen is. Twee derde (65%) van de respondenten gaf aan dat dit hun grootste uitdaging is om cyberweerbaar te worden, een stijging ten opzichte van 54% vorig jaar en net boven het snel veranderende dreigingslandschap (63%) en verouderde systemen (49%).

Hun bezorgdheid is terecht. Zo'n 61% van de organisaties in het VK en de VS gaf aan dat hun bedrijf het afgelopen jaar te maken heeft gehad met een beveiligingsincident veroorzaakt door een externe leverancier. Veel organisaties gaven aan dat dit leidde tot datalekken met klant- en werknemersgegevens (38%), financieel verlies (35%), operationele verstoringen (33%), klantverlies/verlies van vertrouwen (36%) en strengere controle op partners (24%).

Op weg naar veerkracht

Tegen deze achtergrond weten bedrijfs- en beveiligingsleiders dat ze niet 100% inbreukbestendig kunnen blijven. De focus moet daarom verschuiven naar veerkracht: hoe incidenten te anticiperen, te weerstaan ​​en er snel van te herstellen, terwijl de bedrijfsvoering zoveel mogelijk wordt voortgezet. JLR en M&S Uit datalekken is gebleken dat dit makkelijker gezegd dan gedaan is.

Volgens het WEF zijn de grootste belemmeringen voor cyberweerbaarheid een snel veranderend dreigingslandschap en opkomende technologieën (61%); kwetsbaarheden van derden (46%); en een tekort aan cybervaardigheden en -expertise (45%). Ook verouderde systemen en financiering werden als belangrijke factoren genoemd. Hoe kunnen organisaties deze uitdagingen overwinnen?

Opvallend genoeg bleek uit het rapport dat veerkrachtigere organisaties vaker:

• Stel bestuursleden persoonlijk aansprakelijk in geval van overtredingen.
• Houd een positieve houding aan ten opzichte van regelgeving op het gebied van cyberbeveiliging.
• Beschikken over de nodige vaardigheden om hun cyberdoelstellingen te bereiken.
• Beoordeel de beveiliging van AI-tools vóór de implementatie.
• Betrek beveiliging bij inkoop
• Simuleer incidenten en plan hersteloefeningen met partners.
• Beoordeel de beveiligingsvolwassenheid van leveranciers.

Veel van deze zaken worden voorgeschreven door best practice-normen zoals ISO 27001 en ISO 42001. Laatstgenoemde norm is met name geschikt om organisaties te helpen. Het bestuurskloof dichten en het beheersen van risico's (waaronder datalekken) binnen een steeds groter wordend aanvalsoppervlak voor AI.

Volgens IO heeft 80% van de organisaties in het VK en de VS zich aangesloten bij dergelijke standaarden om op een gestructureerde, risicogebaseerde manier weerbaarheid op te bouwen. Tegen de achtergrond van een volatiel zakelijk en dreigingslandschap lopen organisaties die dit niet doen een steeds groter risico.