Doordat medewerkers, organisatieprocessen en toeleveranciers steeds afhankelijker worden van technologie, ontstaan compleet nieuwe cyberrisico’s. Ook de risico’s op het overtreden van wet- en regelgeving op het gebied van cyberveiligheid nemen toe. Waakzaamheid op alle fronten is daarom van belang, zo blijkt uit het risicorapport Cyberveiligheid 2019 van Aon.
Het risicorapport Cyberveiligheid 2019 ‘De zeven risicogebieden voor ondernemend Nederland’ richt zich op zeven specifieke risicogebieden waar organisaties in 2019 mogelijk mee te maken krijgen. Het rapport beschrijft de grootste bedreigingen voor de cyberveiligheid en de 
uitdagingen waar organisaties mee worden geconfronteerd. Naarmate organisaties steeds meer technologie gebruiken om de overdracht van informatie te versnellen, leidt dit tot innovatiekansen maar ook grotere cyberrisico’s.
Eigen medewerkers groot risico
Een van de belangrijkste risico’s voor cyberveiligheid zijn eigen medewerkers. Meer dan de helft (53%) van de organisaties heeft in het afgelopen jaar te maken gehad met een cyberaanval door bewuste acties of onopzettelijke fouten die binnen de organisatie zijn ontstaan, zo blijkt uit onderzoek onder 472 cybersecurity professionals van Crowd Research Partners. Desondanks zijn medewerkers zich vaak niet bewust van de dreiging die ze vormen. De stijgende invloed van technologie op de functies en werkzaamheden van medewerkers, zorgt daarbij voor een nog groter cyberrisico.
Operationele gegevens
Tegelijkertijd is er een toename van de hoeveelheid operationele gegevens op mobiele- en randapparaten (onder andere ‘the Internet of Things’; IoT). Elk apparaat op de werkplek vormt daardoor een potentieel veiligheidsrisico. Het aantal IoT-apparaten binnen organisaties neemt de komende jaren sterk toe terwijl de beveiliging van deze apparaten bij veel organisaties onvoldoende is. Een groot probleem ligt bij het gebrek aan inzicht in het gebruik van IoT-apparaten en het aantal daarvan. Veel organisaties hebben geen weet van alle apparaten die hun personeel gebruiken – een groeiend aantal heeft deze apparaten dankzij externe partners. Dit leidt nu al tot beveiligingslekken. Effectieve inventarisatie van IoT-apparaten en duidelijkere communicatie en training op het gebied van cyberveiligheid voor medewerkers wordt daarom het komende jaar van essentieel belang.
Veel meer macht
“Veel medewerkers hebben dankzij technologische ontwikkelingen onbedoeld veel meer macht in handen gekregen dan organisaties achteraf gezien misschien hadden bedoeld. Daardoor kunnen zij onbedoeld door manipulatie van criminelen (of door fouten) veel meer schade aanrichten dan wenselijk is. Het zou goed zijn om de rechten, mogelijkheden en training van medewerkers daarom structureel onder de loep te nemen,” aldus Maarten van Wieren, managing director van Aon’s Cyber Solutions. “Bij veel organisaties is het bijvoorbeeld nog steeds mogelijk dat werknemers per ongeluk of opzettelijk een bestandsfolder van de server kunnen verwijderen. Ook komt het nog regelmatig voor dat medewerkers toegang hebben tot informatie die niet voor hen is bestemd, zoals privacygevoelige informatie. De uitdaging is om technologie op een dusdanige manier beschikbaar te maken voor medewerkers dat zij met minimale risico’s optimaal hun werk kunnen doen.”
Striktere handhaving
Naast de (interne) cyberrisico’s neemt het aantal wetten, regels, richtlijnen en normen op het gebied van cyberveiligheid voor organisaties toe. Vorig jaar werd de wet- en regelgeving bovendien strikter gehandhaafd; het risico op niet-naleving stijgt in 2019 verder.
“Organisaties richten zich nu vooral op het minimaliseren van risico’s door het nemen van beheersmaatregelen om zo overtreden van regels en boetes te vermijden. Een gevolg daarvan is dat organisaties onderling zo min mogelijk data met elkaar delen, terwijl dat soms juist ook voordeel oplevert voor de bescherming van data,” zegt Van Wieren. Hij roept overheden en beleidsmakers daarom op om deze afwegingen beter te faciliteren. ‘’In aanvulling op juridische kaders is er ook behoefte aan coördinatie vanuit toezichthouders over informatieketens heen. De vraag zou moeten zijn: hoe kunnen we de uitwisseling van data en ketenintegratie zo inrichten dat we er als samenleving beter van worden?”
