Home Security CISO’s blijven kalm terwijl ransomware- en BEC-incidenten naar recordhoogte stijgen

CISO’s blijven kalm terwijl ransomware- en BEC-incidenten naar recordhoogte stijgen

150

Jaarlijks doet Proofpoint onderzoek naar de opvattingen en zorgen van CISO’s wereldwijd. Dit jaar heeft ons 2022 Voice of the CISO-rapport verrassende resultaten opgeleverd van meer dan 1.400 bedrijfsleiders.

Uit het onderzoek van vorig jaar bleek dat een groot aantal bedrijfsleiders zich zorgen maakte over het dreigingslandschap. Bovendien was het voor hen onduidelijk aan welke risico’s prioriteit moest worden gegeven. CISO’s voelden zich onder druk gezet en overweldigd.

In 2022 is het aantal bedreigingen nauwelijks afgenomen. Sterker nog: het aantal ransomware- en BEC-incidenten is tot een recordhoogte gestegen. Ik verwachtte dit jaar dezelfde bezorgdheid in de resultaten terug te zien. Maar tot mijn grote verbazing voelden de CISO’s in 2022 zich ontspannen en in hun element. En dan vraag je je af: waardoor komt dat, en wat betekent dat voor onze functie?

Het goede nieuws

Cybersecurityteams hebben het al jaren moeilijk – de veranderingen als gevolg van COVID waren slechts de volgende in de rij van bedreigingen, risico’s en gevaren. CISO’s moesten zich aanpassen aan het toenemende aantal zaken waarvoor zij verantwoordelijk werden, zoals operationele weerbaarheid, applicatie- en productontwikkeling, bedrijfscontinuïteit, compliance, privacy, risicobeheer en, in toenemende mate, fysieke beveiliging. We werden steeds zwaarder belast door het toenemende aantal aanvallen en het risico op enorme financiële schade. Het was geen makkelijke opgave, en dat was zelfs nog voordat COVID toesloeg met de daarbij horende inperkingen van budgetten, gedwongen bedrijfsflexibiliteit en werken op afstand.

Een interessante bevinding is dan ook dat CISO’s het gevoel hebben dat zij deze bewogen tijd met succes hebben doorstaan. Ze zouden er goed aan doen vertrouwen te putten uit het feit dat zij de afgelopen jaren hebben overleefd. Het bewijst dat zij de juiste controles hebben ingevoerd en dat hun managementvaardigheden en strategische visie op orde waren. CISO’s zagen minder aanvallen dan aan het begin van COVID. En slechts 28% van de Nederlandse CISO’s voelt zich bedreigd door een materiele cyberaanval, flink minder dan het wereldwijde gemiddelde van 48%.  

Het minder goede nieuws

Sommige statistieken over cyberdreigingen en schade zijn gelijk gebleven of afgenomen. En het is interessant om daar ook eens naar te kijken.

Het besef dat mensen het grootste risico vormen voor hun bedrijf blijft bestaan – waarschijnlijk versterkt door de bevindingen van het Verizon DBIR en het World Economic Forum – maar slechts 52% van de ondervraagde Nederlandse CISO’s heeft de frequentie van cybersecurity-trainingen voor werknemers verhoogd. Er is dus nog een lange weg te gaan.

Interessant genoeg was een van de grootste teleurstellingen de relatie tussen de CISO en hun raad van bestuur. Slechts 55% van de Nederlandse CISO’s is het ermee eens dat de bestuursraad achter hen staat als het gaat om cybersecurity-kwesties. Toch geeft 43% van de Nederlandse CISO’s toe dat ze geen beleid hebben voor het betalen van losgeld.

Waarom die kalmte?

We moeten ons afvragen wat er in 2021 is gebeurd om deze cijfers te verklaren. Het lijkt erop dat de moeilijke beslissingen op het gebied van cybersecurity niet altijd in overeenstemming waren met de aanbevelingen of risicobereidheid van de CISO’s. We zijn allemaal gemakzuchtig en schuiven zaken omwille van bedrijfsefficiëntie al snel aan de kant. Dit heeft CISO’s doen beseffen dat, na een periode van focus, ondersteuning en empowerment, het bestuur ook echt andere zaken te regelen heeft, en cybersecurity slechts één stukje van de puzzel is.

CISO’s slaagden erin risico’s te beperken en zagen de voordelen van hun nieuwe aanpak die zij in andere omstandigheden misschien niet zouden hebben gekozen. Zelfs zonder de nodige erkenning kunnen zij tevreden zijn dat hun tactiek heeft gewerkt.

Vooruitblikkend

Het menselijke element wordt nog steeds gezien als een van de grootste risico’s voor de organisatie en is waarschijnlijk ook de grootste oorzaak van inbreuken. Er bestaat echter een aanzienlijke kloof tussen de gewenste situatie en de huidige stand van zaken. Nederlandse CISO’s zijn het namelijk niet eens over de belangrijkste bedreigingen voor hun organisatie. Zo stonden stonden ransomware-aanvallen met 35% dit jaar bovenaan de lijst, op de voet gevolgd door insider threats (30%), aanvallen op de supply chain (27%) en 22% Business Email Compromise (22%).

Uit nieuw onderzoek blijkt dat de belangrijkste strategische prioriteiten zijn:

  • Een cyberverzekering afsluiiten (65%)
  • Een strategie gericht op preventive in plaats van detective en respons (52%)

Over het algemeen lijken CISO’s 2022 te hebben omarmd als de “kalmte na de storm”. We moeten ons er echter van bewust blijven dat de storm nooit echt is gaan liggen – we zijn er gewoon aan gewend geraakt. Naarmate de geopolitieke spanningen toenemen en door de mens veroorzaakte aanvallen escaleren, staan dezelfde tekortkomingen op het gebied van gebruikersbewustzijn, paraatheid en preventie klaar om de emmer te doen overlopen.

Andrew Rose, Resident CISO, EMEA at Proofpoint

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in