Ransomware blijft het grootste cyberrisico voor organisaties wereldwijd, terwijl incidenten met het compromitteren van zakelijke e-mailadressen in het ‘deep fake’-tijdperk verder zullen toenemen. Tegelijkertijd zijn de oorlog in Oekraïne en de meer algemene geopolitieke spanningen een grote zorg, omdat de vijandelijkheden kunnen overslaan naar de cyberruimte en gerichte aanvallen kunnen veroorzaken tegen bedrijven, infrastructuur of toeleveringsketens, aldus een nieuw rapport van Allianz Global Corporate & Specialty (AGCS).
Het jaarlijkse overzicht van het cyberrisicolandschap van de verzekeraar benadrukt ook de opkomende bedreigingen door de toenemende afhankelijkheid van clouddiensten, een zich ontwikkelend aansprakelijkheidslandschap voor derden dat tot hogere vergoedingen en boetes leidt, evenals de impact van het tekort aan professionals in cyberbeveiliging. Dergelijke mogelijke kwetsbaarheden betekenen dat de veerkracht van bedrijven op het gebied van cyberbeveiliging momenteel door meer partijen dan ooit tevoren wordt onderzocht, waaronder wereldwijde investeerders, wat betekent dat veel bedrijven het nu beschouwen als hun grootste zorg voor milieu-, sociale en governancerisico’s (ESG), aldus het rapport.
“Het cyberrisicolandschap laat geen ruimte om op zijn lauweren te rusten. Ransomware en phishingaanvallen zijn onverminderd actief en bovendien is er het vooruitzicht van een hybride cyberoorlog,” zegt Scott Sayce, Global Head of Cyber bij AGCS en Group Head van het Cyber Center of Competence. “De meeste bedrijven zullen een cyberdreiging niet weten te ontkomen. Het is echter duidelijk dat organisaties met een goede cybervolwassenheid beter zijn opgewassen tegen incidenten. Zelfs wanneer ze worden aangevallen, zijn de verliezen doorgaans minder ernstig dankzij gevestigde identificatie- en responsmechanismen.
“Hoewel wij goede vooruitgang zien, blijkt uit onze ervaring ook dat veel bedrijven hun cybercontroles nog moeten versterken, met name rond IT-beveiligingstrainingen, een betere netwerksegmentatie voor kritieke omgevingen en plannen voor de reactie op cyberincidenten en beveiligingsgovernance. Als cyberverzekeraar zijn wij bereid om verder te gaan dan pure risico-overdracht door klanten te helpen zich aan te passen aan een veranderend risicolandschap en het verhogen van hun beschermingsniveau.”
Over de hele wereld blijft de frequentie van ransomware-aanvallen hoog, evenals de daarmee samenhangende schadekosten. In 2021 was er een recordaantal van 623 miljoen aanvallen, het dubbele van 2020. Hoewel in de eerste helft van 2022 de frequentie met 23% wereldwijd verminderde, overtreft het totaal tot nu toe nog steeds dat van heel 2017, 2018 en 2019, terwijl Europa in deze periode het aantal aanvallen zag toenemen. Ransomware zal in 2023 wereldwijd naar verwachting $ 30 miljard schade veroorzaken in organisaties. Vanuit het perspectief van AGCS, was de waarde van ransomware-claims waarbij het bedrijf samen met andere verzekeraars betrokken was, goed voor ruim 50% van alle cyberclaimkosten in 2020 en 2021.
Dubbele en driedubbele afpersing nu de norm
“De kosten van ransomwareaanvallen zijn gestegen, omdat criminelen zich op grotere bedrijven, kritieke infrastructuur en toeleveringsketens hebben gericht. Criminelen hebben hun tactiek aangescherpt om meer geld af te persen,” legt Sayce uit. “Dubbele en driedubbele afpersingsaanvallen zijn nu de norm. Naast de versleuteling van systemen, worden gevoelige gegevens steeds vaker gestolen en gebruikt als chantagemiddel voor de afpersing van zakenpartners, leveranciers of klanten.” Ransomware zal waarschijnlijk een belangrijke dreiging blijven voor bedrijven, als gevolg van de toenemende verfijning van criminelen en de stijgende inflatie, die tot hogere kosten van IT- en cyberbeveiligingsspecialisten leidt.
Steeds vaker zijn kleinere en middelgrote bedrijven, die vaak niet over de nodige controlemogelijkheden en middelen beschikken om in cyberbeveiliging te investeren, het doelwit van criminelen, terwijl grotere bedrijven meer in beveiliging investeren. Daarnaast gebruiken criminelen een breed scala aan intimidatietechnieken, passen ze hun losgeldeisen aan specifieke bedrijven aan en maken ze gebruik van deskundige onderhandelaars om de opbrengst te maximaliseren.
Geavanceerde oplichting
Het aantal BEC-aanvallen (Business Email Compromitting) blijft toenemen, mede dankzij de toenemende digitalisering en beschikbaarheid van gegevens, de verschuiving naar thuiswerken en, in toenemende mate, ‘deep fake’-technologie en virtuele conferenties. BEC-aanvalllen brachten tussen 2016 en 2021 wereldwijd in totaal $ 43 miljard schade aan volgens de FBI, met een piek van 65% in oplichting tussen juli 2019 en december 2021. Aanvallen worden steeds geavanceerder en gerichter, doordat criminelen nu virtuele vergaderplatforms gebruiken om werknemers te misleiden om geld over te maken of gevoelige informatie te delen. Deze aanvallen worden steeds vaker mogelijk gemaakt door kunstmatige intelligentie die ‘deep fake’-audio of -video’s mogelijk maakt die senior leidinggevenden nabootsen. Vorig jaar deed een bankmedewerker uit de Verenigde Arabische Emiraten een overboeking van $ 35 miljoen nadat hij was misleid door de gekloonde stem van een bedrijfsleider.
De dreiging van cyberoorlog
De oorlog in Oekraïne en de bredere geopolitieke spanningen vormen een belangrijke factor die het landschap van cyberdreigingen verandert, aangezien hierdoor het risico toeneemt op spionage, sabotage en schadelijke cyberaanvallen tegen bedrijven die banden hebben met Rusland en Oekraïne, maar ook tegen bondgenoten en bedrijven in buurlanden. Door de staat gesponsorde cyberacties kunnen mogelijk gericht zijn op kritieke infrastructuur, toeleveringsketens of bedrijven. “Vooralsnog heeft de oorlog tussen Rusland en Oekraïne niet geleid tot een opvallende toename van cyberverzekeringsclaims, maar het wijst wel op een mogelijk verhoogd risico van natiestaten,” legt Sayce uit. Hoewel oorlogsdaden doorgaans zijn uitgesloten van traditionele verzekeringsproducten, heeft het risico op een hybride cyberoorlog de inspanningen op de verzekeringsmarkt versneld om de kwestie van oorlog en door staten gesteunde cyberaanvallen in formuleringen op te nemen en klanten duidelijkheid over de dekking te verschaffen.
AGCS-experts identificeren een aantal andere trends in het Cyber: The changing threat landscape rapport, zoals:
- Hackers richten zich op kwetsbare toeleveringsketens: Aanvallen in de toeleveringsketen, of het nu gaat om kritieke infrastructuur zoals de Colonial Pipeline of op cloudservices, zijn een aanzienlijk risico gebleken. Ransomwarecriminelen gebruiken in toenemende mate de dreiging van verstoring om bedrijven onder druk te zetten om losgeld te betalen, waarbij met name productiebedrijven kwetsbaar zijn.
- Cloud-outsourcing Bedrijven blijven hun diensten en gegevensopslag naar de cloud verplaatsen, ondanks de groeiende bezorgdheid over beveiliging en risicoaggregatie. Door te vertrouwen op een klein aantal providers voor clouddiensten of cybersecurity creëert de samenleving grote concentraties rond een paar single points of failure. Het is een veelvoorkomende misvatting dat de outsourcing- of cloudleverancier bij een incident de volledige verantwoordelijkheid op zich neemt.
- Aansprakelijkheid van derden, inclusief boetes en sancties, wordt steeds relevanter door de technologische vooruitgang, organisaties die meer informatie verzamelen en de regulering van gegevensprivacy. Vrijwel elk cyberincident – inclusief ransomware met dubbele afpersing – kan leiden tot rechtszaken en schadevergoedingseisen van betrokken partijen.
- Een tekort aan professionals belemmert inspanningen om de cyberbeveiliging te verbeteren. Hoewel er een groeiend bewustzijn is bij directies, is het aantal onvervulde vacatures voor cyberbeveiliging wereldwijd de afgelopen acht jaar met 350% gestegen tot 3,5 miljoen, aldus de schattingen, wat betekent dat veel bedrijven moeite hebben om personeel aan te nemen om hun cyberbeveiliging te verbeteren.
- Cybersecurity wordt steeds meer gezien vanuit een ESG-perspectief. De veerkracht van bedrijven op het gebied van cyberbeveiliging wordt tegenwoordig door veel meer groepen belanghebbenden onder de loep genomen dan in het verleden. In toenemende mate worden cyberbeveiligingsoverwegingen opgenomen in de ESG-risicoanalysekaders van gegevensaanbieders, die de praktijken van bedrijven onderzoeken om hun paraatheid voor cybercriminaliteit te evalueren. Ervoor zorgen dat de cyberprocessen en het cyberbeleid van een bedrijf op directieniveau worden begrepen en dat processen voor risicobewaking aanwezig zijn, is nog nooit zo belangrijk geweest.
In reactie op een complexere risico-omgeving en toenemende cyberclaims beoordeelt de verzekeringssector het cyberrisicoprofiel van bedrijven zorgvuldiger in een poging bedrijven te stimuleren hun beveiliging en risicobeheer te verbeteren.
“Het goede nieuws is dat we nu een heel ander gesprek zien over de kwaliteit van cyberrisico’s dan een paar jaar geleden,” zegt Sayce. “Wij krijgen veel betere inzichten en waarderen het dat klanten die extra moeite doen om ons uitgebreide gegevens te verstrekken. Dit helpt ons ook om meer waarde te bieden en nuttige informatie en advies te geven aan klanten, zoals welke controles het meest effectief zijn of waar het risicobeheer en de responsaanpak verder kunnen worden verbeterd. Het nettoresultaat zou minder of minder ernstige cybergebeurtenissen voor onze klanten en minder schadeclaims voor ons moeten zijn. Een dergelijke samenwerking zal ook bijdragen tot het creëren van een duurzame cyberverzekeringsmarkt op lange termijn, die niet alleen steunt op traditionele dekkingen maar ook, in toenemende mate, op de integratie van cyberrisico’s in captive programma’s en andere alternatieve concepten voor risico-overdracht.”
