Cyberaanvallen: een zeer reële existentiële bedreiging voor organisaties

We weten allemaal dat cyberbeveiliging een cruciaal onderdeel is van bedrijfsrisico's. Maar hoe kritisch? Sommige directiekamers lijken weinig meer dan lippendienst te bewijzen aan de beveiliging en slagen er toch in om ernstige gevolgen te vermijden. Daarom een ​​nieuwe rapport van wereldwijde verzekeraar Hiscox zorgt voor interessante lectuur. Het beweert zelfs dat veel Europese en Amerikaanse organisaties bijna failliet zijn gegaan na inbreuken op de beveiliging. En terwijl de uitgaven stijgen, worden minder wereldwijde bedrijven dan ooit beschreven als 'experts op het gebied van cybergereedheid'.

Het is duidelijk dat weten waar u moet investeren in cyberbeveiliging nog nooit zo belangrijk is geweest. Dus wat doen de experts om faillissement te voorkomen? Volgens het rapport is het grotendeels een mix van best practices en de bereidheid om te leren van eerdere incidenten.

Een existentiële bedreiging

Het rapport is samengesteld uit interviews met 5,000 bedrijven in de VS, het VK, België, Frankrijk, Duitsland, Spanje, Nederland en Ierland. Enkele van de bevindingen wisten we al. Maar er zijn enkele interessante nuances. Bijvoorbeeld:

• Zeven van de acht landen beschouwen een cyberaanval als de grootste bedreiging voor hun bedrijf
• De helft (48%) van de respondenten meldde een cyberaanval in de afgelopen 12 maanden, tegenover 43% vorig jaar
• Een vijfde (19%) van de respondenten meldde een ransomware-aanval, tegenover 16%. Tweederde van de slachtoffers betaalde hun aanvallers

Tot nu toe, zo gebruikelijk. Er is echter een grote kloof in perceptie tussen degenen die een aanval hebben gehad en degenen die dat niet hebben gedaan. Meer dan de helft (55%) van de slachtoffers van cyberaanvallen beschouwt cyberbeveiliging als een gebied met een hoog risico, maar dit cijfer daalt tot slechts 36% voor degenen die geen compromis hebben ervaren. Evenzo zegt 41% van de aangevallen personen dat hun risicoblootstelling is toegenomen, maar voor de andere groep is dit minder dan een kwart (23%)

Nog een interessante nugget: cybercriminelen lijken te zijn richt zich steeds meer op kleinere bedrijven. Degenen met een omzet van $ 100,000 tot $ 500,000 kunnen nu evenveel aanvallen verwachten als degenen die jaarlijks $ 1 miljoen - $ 9 miljoen verdienen.

Kostbare bedrijven schat

Dit is belangrijk, aangezien een vijfde van de bedrijven die werden aangevallen, zegt dat hun solvabiliteit werd bedreigd, een stijging van 24% ten opzichte van vorig jaar. Hoewel niet uitgesplitst in het rapport, kunnen de kosten van een inbreuk het volgende omvatten:

• Operationele storingen
• Legale kosten
• IT-overuren en forensische kosten van derden
• Regelgevende boetes
• Klantverloop
• Verloren output en omzet
• Lange termijn reputatieschade

Dit kan gedeeltelijk verklaren waarom de uitgaven stijgen. De gemiddelde uitgaven voor cyberbeveiliging van respondenten zijn het afgelopen jaar met 60% gestegen tot US $ 5.3 miljoen, en zijn sinds 250 met 2019% gestegen, volgens het rapport

Hoe brengen aanvallers organisaties in gevaar?

Om beter te begrijpen hoe uw organisatie faillissement kan voorkomen, moeten we eerst weten hoe dreigingsactoren zoveel schade aanrichten. Volgens het rapport zijn de belangrijkste vectoren voor aanvallen:

• Cloudservers (41%)
• Zakelijke e-mail (40%)
• Bedrijfsservers (37%)
• Externe toegangsservers (31%)
• Mobiele apparaten die eigendom zijn van werknemers (29%)
• DDoS (26%)

Dit sluit aan bij de bevindingen van andere rapporten en het verhaal dat werken op afstand, pandemiegerelateerde investeringen in cloudinfrastructuur en beveiligingsuitdagingen voor werken op afstand enkele van de grootste risico's zijn waarmee organisaties tegenwoordig worden geconfronteerd. Deze hebben in combinatie met menselijke fouten een groot aanvalsoppervlak gecreëerd waarop dreigingsactoren kunnen mikken.

Wat nu te doen

Enige zorg is het feit dat de door Hiscox geschatte cybergereedheidsscores op jaarbasis met 2.6% zijn gedaald, wat heeft geleid tot een scherpe daling van het aantal bedrijven dat als 'expert' wordt aangemerkt - van 20% naar slechts 4.5%. Het aandeel dat als nieuwelingen werd gerangschikt, nam ook aanzienlijk af, waardoor de meeste als 'tussenpersonen' achterbleven. Cyber-readiness is belangrijk omdat de mediane aanvalskosten, als percentage van de inkomsten, tweeënhalf keer hoger zijn voor bedrijven die als 'cyber-beginners' worden gerangschikt, aldus het rapport.

Dus hoe ziet een volwassen cyber-ready organisatie eruit? Gelukkig is het niet allemaal afhankelijk van hoeveel geld er beschikbaar is om uit te geven. Verschillende best practices worden belicht, waaronder de volgende:

• Formaliseer cyberbeveiliging met duidelijk gedefinieerde rollen en buy-in van de raad van bestuur of het senior management
• Zorg ervoor dat topmanagers duidelijk zicht hebben op en betrokken zijn bij cyberbeveiliging
• Volg best practice-normen zoals de US National Institute of Standards and Technology (NIST) kader
• Verspreid de investering over de vijf belangrijkste functies van NIST - identificeren, beschermen, detecteren, reageren en herstellen
• Focus op incidentresponsplanning en aanvalssimulaties in het licht van: huidige geopolitieke onzekerheid
• Evalueer regelmatig de bedrijfsgegevens en technologie-infrastructuur
• Effectief bieden training voor cyberbeveiligingsbewustzijn
• Zorg ervoor dat zakelijke leveranciers en partners zich houden aan de beveiligingsvereisten
• Focus op "laaghangend fruit"-processen zoals patchen, pentesten en regelmatige back-ups

Alles bij elkaar genomen, helpen deze stappen de kans te verkleinen dat een aanval de organisatie uiteindelijk failliet maakt.