Ruim de helft (52%) van 300 ondervraagde IT- en cybersecurityprofessionals maakt zich zorgen over phishing en identiteitsdiefstal. Verder krijgt ruim een derde (38%) te maken met ongeautoriseerde apparatuur en toegang tot applicaties en data. Dat zijn twee resultaten uit de door Pulse Secure en de CyberRisk Alliance gepubliceerde Cybersecurity Resource Allocation & Efficacy Index (CRAE) over het derde kwartaal van 2020.
De CyberRisk Alliance (CRA) is een business intelligence bedrijf voor de cybersecurity community. Het is onze missie de benodigde kennis en inzichten te bieden voor het huidige complexe securitylandschap en bedrijven die zich daarop richten te ondersteunen. CRA’s services voegen waardevolle marketingoplossingen toe aan de marktleidende leveranciers en serviceproviders in deze sector.
De door Pulse Secure gesponsorde CRAE-index van de CyberRisk Alliance, is een onderzoek waarin elk kwartaal de focus en investeringen van organisaties op het gebied van cybersecurity worden geregistreerd. Daarvoor worden 300 professionals in cybersecurity en IT ondervraagd van bedrijven met meer dan 500 medewerkers in Europa en de Verenigde Staten, over de vijf pijlers van het Cybersecurity Framework van NIST (National Institute of Standards & Technology). Dat zijn respectievelijk Identifying, Protecting, Detecting, Responding en Recovering. Scores boven de 50 representeren een toename van de effectiviteit of kosten, terwijl lagere scores een daling betekenen.
Stijgende kosten, dalende effectiviteit
In vergelijking met het voorgaande kwartaal zijn de benodigde resources en kosten licht gestegen (66,7 in Q3 versus 66,5 in Q2). Tegelijkertijd daalde de effectiviteit (74,2 in Q3 versus 75,8 in Q2), zodat de gestegen uitgaven niet tot een betere security hebben geleid. De Europese CRAE-index presteerde slechter met een grotere toename van de kosten (68,4 in Q3 versus 66,5 in Q2), terwijl ook hier de effectiviteit daalde (74,4 in Q3 versus 74,9 in Q2). De grotere kostenstijging in Europa is mogelijk het gevolg van organisaties die willen voldoen aan de Europese General Data Protection Regulation (GDPR) richtlijnen.
Zorgsector investeert meer in cybersecurity
In de zorgsector stegen de uitgaven aan cybersecurity in Q3 wereldwijd met 5,8 punten naar een indexscore van 69,6. Deze stijging is het gevolg van investeringen in beschermingsmaatregelen, waarvan de index met 8,7 punten steeg naar 75,2. Daaronder vallen tevens cybersecurity-training, programma’s om mensen bewuster te maken van de risico’s, het ontwikkelen van processen om digitale en fysieke assets beter te beschermen en de aanschaf van cybersecurity-oplossingen. Binnen deze sector steeg de index voor effectiviteit van ‘protecting’ met 7,6 punten naar 80,6.
Ondervraagden in de zorgsector ervaren net als in Q2 budgetbeperkingen als de grootste uitdaging om de toenemende cyberdreigingen en daaraan gerelateerde risico’s het hoofd te kunnen bieden. Andere aandachtspunten zijn de mogelijke gevolgen van onzorgvuldige omgang met gevoelige data en de risico’s van onvoldoende getraind personeel. Wat cyberdreigingen betreft hebben volgens de respondenten phishing en identiteitsdiefstal de grootste impact gehad (54%), gevolgd door externe compliance en audits (33%) en security issues gerelateerd aan endpoints en IoT(32%).
Financiële sector legt focus op herstel
In de financiële sector daalde de kostenindex naar 67,4 in vergelijking met 68,2 in Q2, terwijl de effectiviteit eveneens daalde naar 74,1 versus 77,3 in Q2. Het enige effectiviteitsonderdeel dat toenam was ‘recovery’. Daaronder valt de ontwikkeling en implementatie van herstelplannen en -procedures, alle communicatie tijdens herstelactiviteiten en de implementatie van verbeteringen op basis van geleerde lessen. Het optimisme over de herstelplannen en toekomstige verbeteringen steeg in lijn daarmee met 2,9 punten.
Belangrijke uitdagingen voor deze sector waren in Q3 het toenemend aantal externe dreigingen, mogelijke uitval van de business, datadiefstal en corruptie, lekken en te weinig systeeminnovaties. Phishing was volgens de respondenten hun grootste cyberdreiging (59%), gevolgd door web- en cloudaanvallen (48%) en interne compliance en audits (41%).
Productiebedrijven vertrouwen in strategie en richtlijnen
Bij productiebedrijven steeg de kostenindex met 1,2 punten naar 67,8, terwijl tevens de effectiviteit met 2,3 punten steeg naar 75,1. De component ‘responding’ steeg met 3,8 punten het meest, wat indiceert dat bedrijven focussen op de ontwikkeling van reactiestrategieën, policies en controles om toekomstige cyberaanvallen te voorkomen. De met 3,7 punten toegenomen index voor ‘identifying’ ligt in lijn met het toegenomen vertrouwen in plannen voor assetmanagement, strategieën voor risicomanagement en beheerprogramma’s.
Productiebedrijven hebben vooral te maken gehad met aanpassingen voor thuiswerken als gevolg van de pandemie, die volgens veel respondenten hebben geleid tot verbeterde securitypolicies. Desondanks bleef phishing en identiteitsdiefstal de grootste cyberdreiging (52%), gevolgd door interne compliance en audits (45%) en dreigingen gerelateerd aan endpoints en IoT (42%).
Hightech en dienstverlening zien kostengroei dalen
In de hightech en dienstensector daalde de kostenindex met 3,8 punten naar 64,1 en de index voor effectiviteit met 7,3 punten naar 72,4. Alle vijf de NIST-componenten die respondenten beoordelen daalden met betrekking tot de kosten en effectiviteit in Q3. De grootste afname van 12,3 punten in effectiviteit deed zich voor bij ‘protecting’. Daartoe behoren cybersecurity training/bewustzijn, het ontwikkelen van processen om digitale en fysieke assets te beschermen en de aanschaf en implementatie van oplossingen voor cybersecurity.
Hoewel het aantal, de complexiteit en de omvang van aanvallen in deze sector toenam, groeide elke subcategorie minder. Dit duidt op een langzamere uitbreiding van het aantal resources. Opvallend in vergelijking met andere sectoren scoorde phishing hier het laagst (42%), terwijl de top 3 bestaat uit: dreigingen gerelateerd aan endpoints en IoT(46%), aanvallen op web of cloudapplicaties (45%) en interne dreigingen en ongeoorloofde gebruikers (44%).