De omzet in de Nederlandse retailsector is de afgelopen jaren alleen maar verder toegenomen. In webwinkels wordt jaarlijks meer dan 30 miljard euro uitgegeven. Dit maakt de sector een aantrekkelijk doelwit voor cybercriminelen die geld willen verdienen aan het stelen en verkopen van klantdata of het uitvoeren van ransomware-aanvallen. In deze context zou het vanzelfsprekend moeten zijn dat zakelijke leiders achter een uitgebreide risico-gebaseerde cybersecurity-strategie staan. De realiteit is echter anders.
Onderzoek van Trend Micro toont aan dat leiders in de retailsector cybersecurity niet altijd als een toegevoegde waarde zien. Veel (40%) zien het zelfs als een barrière, ondanks dat ze wel een sterke verbinding zien tussen beveiliging en innovatie (51%), productiviteit (56%) en klant acquisitie (56%).
Waarom zijn retailers een aantrekkelijk doelwit?
Zakelijke leiders weten wat zij moeten doen om succesvol te zijn in hun sector. Datagedreven innovatie staat daarbij hoog op de agenda. Ook de directie ziet dat het nodig is om de klantervaring te evolueren en verder te bouwen aan digitale verbeteringen die zijn geïntroduceerd tijdens de pandemie. De helft (45%) van de zakelijke leiders zegt dat een hoog digitaliseringsniveau nodig is om succesvol te zijn, terwijl 70% erkent dat het noodzakelijk is om te innoveren om concurrerend te blijven. Het uitbreiden van de digitale infrastructuur zorgt echter ook voor een groter aanvalsoppervlak, wat meer accounts, applicaties, API’s en andere assets blootstelt aan cybercriminelen.
Bijna 45% van de retailers rapporteert een toename van het aantal cyberaanvallen en de intensiteit daarvan. Ongeveer een derde (32%) zegt dat ze een beveiligingslek hebben meegemaakt in de afgelopen 12 maanden en de helft (52%) ziet ransomware als de grootste oorzaak van de toename in het aantal aanvallen. Volgens Verizon hebben social engineering en aanvallen op webapplicaties hier vooral een grote bijdrage aan. Zij zijn goed voor 88% van het totale aantal inbraken in de retailsector in het afgelopen jaar. Retailers hebben ook veel te maken met skimming, waarbij criminelen een kwaadaardige code direct injecteren in de betaalpagina’s van de winkel of dit doen via gecompromitteerde derde partijen.
Tegenstrijdige opvattingen
Ondanks de risico’s lijken veel zakelijke leiders onbeslist over de rol die cyber speelt in hun organisatie. Dit schommelt tussen het zien van beveiliging als een IT-functie met weinig zakelijke waarde en een meer progressieve kijk. Het onderzoek van Trend Micro vindt bijvoorbeeld dat meer dan de helft van de respondenten (54%) gelooft dat beveiliging een noodzakelijke kostenpost is, maar dat het niet bijdraagt aan de omzet. 52% ziet zelfs een gelimiteerde waarde als het gaat om het voorkomen van dreigingen. Tegelijkertijd zegt 62% echter ook dat beveiliging de snelheid van digitalisering binnen hun organisatie vergroot.
Deze tegenstrijdigheid wordt ook elders duidelijk. Neem de rol die beveiliging speelt in het aantrekken en behouden van nieuw talent. Driekwart van de retail executives erkennen dat ‘work from anywhere’ essentieel is voor het winnen van de war on talent. Maar slechts twee vijfde ziet een sterke verbinding tussen beveiliging en het aantrekken (43%) en behouden (39%) van nieuw talent. Dit ondanks het feit dat veel respondenten erkennen dat beveiligingschecks frictie veroorzaken (44%) en kan beperken welke apparaten en platforms medewerkers kunnen gebruiken (48%). Op een vergelijkbare tegenstrijdige manier ziet slechts 56% een sterke verbinding tussen cybersecurity en klant acquisitie. Dit ondanks het feit dat 60% zegt dat er gevraagd wordt naar de security posture door prospects en 78% zich zorgen maakt over hun vermogen om nieuwe klanten binnen te halen.
Tijd voor verandering
Het kan zijn dat de perceptie van cybersecurity beïnvloed wordt door hun huidige ervaring: beveiliging beperkt en stimuleert niet. Het is lastig om de potentiële zakelijke waarde van effectief risicobeheer te zien wanneer overdreven afgedwongen en slecht doordacht beleid de dagelijkse werkzaamheden domineren. 70% claimt bijvoorbeeld dat toegang tot data essentieel is om nieuwe inkomstenstromen te genereren, maar slechts de helft (48%) vindt dat beveiligingsbeleid en -processen data opsluiten in informatie-silo’s.
Dus wat is het antwoord? We moeten de perceptie van beveiliging onder senior retail leiders veranderen: van cyber als een barrière naar een functie die kan helpen innovatie en groei te stimuleren. Hierin ligt een belangrijke taak weggelegd voor de CISO. Zij moeten de directie betrokken houden met op risico’s-gebaseerde statistieken en uitleggen wat de impact is van hun strategische keuzes en waarom beveiliging ertoe doet. De C-suite moet echter ook begrijpen dat het beheren van cyberrisico niet altijd een ‘nice to have’ is. Het is een essentiële basis voor alle activiteiten. En door dit te doen vanaf een gecentraliseerd platform, in tegenstelling tot meerdere point solutions, kunnen organisaties de visibility gaps sluiten, kosten verlagen en meer uit hun onderbemande beveiligingsteams halen.
De retailers die dit als eerste begrijpen, zullen op de lange termijn een aanzienlijk marktvoordeel hebben.