Een groot cyberincident bij een bedrijf leidt gemiddeld tot een daling van 9% van de aandeelhouderswaarde. Het besef dat deze vorm van criminaliteit de bedrijfsvoering volledig kan ontwrichten en de reputatie mogelijk schaadt, dringt steeds verder door. De helft van alle cybercriminaliteit wordt in 2025 naar verwachting veroorzaakt door menselijke fouten of kwaadwillige acties. Het bedrijfsleven neemt in vergelijking met eerdere uitkomsten uit 2020 meer maatregelen en is beter voorbereid op de toegenomen cyberdreiging. Bedrijven die een aanval succesvol doorkomen zien hun waarde gemiddeld met 18 procent stijgen.
Dat blijkt uit het Cyber Resilience Report 2023 van Aon, wereldwijd dienstverlener op het gebied van risico‑, pensioen- en gezondheidsoplossingen. Het rapport, gebaseerd op onderzoek onder 2.946 organisaties uit verschillende landen, waaronder Nederland, maakt gebruik van gegevens uit Aon’s Cyber Quotient Evaluation (CyQu) vanaf 2020. CyQu is een methodiek die organisaties helpt cyberrisico’s beter te beheren door inzicht te geven in de cybervolwassenheid.
Evolutie cyberrisico
De gezondheidszorg, detailhandel en vastgoedsector hebben in de afgelopen drie jaar de grootste vooruitgang geboekt in het beheersen van cyberrisico’s. Bedrijven hebben vooral meer gedaan op het gebied van systeem- en eindpuntbeveiliging, toegangsbeheer, gegevensbeveiliging, applicatiebeveiliging en werken op afstand. “Dat verzekeraars steeds kritischer worden bij het acceptatieproces voor het afsluiten van een cyberverzekering, kan zeker een rol gespeeld hebben. Zij verwachten meer actie van bedrijven om de kans op en de impact van incidenten te verkleinen,” weet Ralf Willems, practice leader cyber consulting bij Aon Nederland. “Het aantal en de ernst van aanvallen is toegenomen. De afhankelijkheid van digitalisering groeit nog steeds. Bedrijven ontkomen er niet meer aan minstens één keer per jaar te controleren of zij nog passende risicobeheer en ‑beveiliging hebben die aansluit op hun doel. Zo zorgt kunstmatige intelligentie voor nieuwe cyberdreigingen.”
Risico van binnenuit
Twee op de vijf bedrijven beschikt niet over de noodzakelijke maatregelen (Security Information and Event Management en Security Operations Center) om beveiligingsincidenten in het netwerk proactief te monitoren, analyseren, prioriteren en een eerste respons als een incidentrapport te bieden. Dat helpt niet om de dreiging van binnenuit te beperken. Wat beter geregeld is, is dat 70% van de bedrijven gebruik maakt van eindpuntdetectie en ‑respons (EDR) op alle werkstations. Hiermee worden verdachte activiteiten herkent en onderzocht.
Leveranciersrisico
Eén van de grootste uitdagingen is het beheersen van het cyberrisico in de toeleveringsketen. Bedrijven worstelen met het zicht en grip houden op de risico’s bij leveranciers, maar ook met de impact van internationale conflicten of andere geopolitieke ontwikkelingen. Organisaties geven zichzelf het laagste cijfer van volwassenheid op dit specifieke risicogebied. Zo beschikt meer dan de helft van de onderzochte bedrijven niet over multifactorauthenticatie voor toegang van derden, zoals leveranciers.
Continuïteit
“Bedrijven moeten voorbereid zijn op de meest sombere scenario’s. Wat gebeurt er als het bedrijfsnetwerk volledig uitvalt? Hoe blijft het bedrijf operationeel en hoe wordt de dienstverlening aan klanten gewaarborgd? Deze vragen zijn een belangrijk onderdeel van het business continuity management van een bedrijf,” legt Willems uit. Het niveau van de onderzochte organisaties bleef in de afgelopen jaren op dit gebied gelijk en bevindt zich op basisniveau. Zo geeft 70% van de bedrijven aan geen back-ups op een aparte, externe locatie te hebben of back-ups die onder geen beding verwijderd of aangepast kunnen worden.
Integrale aanpak
“Het loont om te investeren in cyberweerbaarheid. Integreer nieuwe Europese regelgeving die bedoeld is om beter te beschermen en weerbaarder te maken in de dagelijkse processen. Aanvallen op infrastructuur en technologie zijn onvermijdelijk. Een incident kan alle onderdelen van het bedrijf beïnvloeden. Het besef dat cyberdreiging integraal met alle andere bedrijfsrisico’s moet worden benaderd, is de afgelopen jaren gegroeid. Het is van belang dat we bijblijven met de veranderende cyberdreigingsomgeving,” besluit Willems.
