Cyberaanvallen treffen bedrijven niet bij toeval: sommige organisaties lopen structureel meer risico dan andere. Dat blijkt uit nieuw promotieonderzoek van Tal Strauss, die een omvangrijk databestand analyseerde van duizenden cyberincidenten bij Amerikaanse bedrijven. Dat meldt Tilburg University.
Volgens Strauss spelen bedrijfskenmerken een grote rol. Grote ondernemingen zijn duidelijk kwetsbaarder voor aanvallen, terwijl organisaties met sterke governance en hogere winstgevendheid minder risico lopen. “We denken vaak dat cyberaanvallen random zijn, maar dat klopt niet”, zegt Strauss. “Er zijn herkenbare patronen. Sommige bedrijven zijn jaar op jaar een aantrekkelijker doelwit, en dat zie je terug in de data.”
“Wetgeving schiet tekort in zowel EU als VS”
Opvallend is dat de bestaande wetgeving die bedrijven moet beschermen, zowel in de Europese Unie als in de Verenigde Staten, belangrijke gaten vertoont. In de EU bestaat wel een coherent systeem met GDPR en NIS2, maar de handhaving is te zwak om het volle effect te bereiken. In de VS is juist sprake van een sterkere sectorale aanpak, maar die vormt een versnipperd stelsel van regels per staat en sector. “Zowel de EU als de VS hebben delen van de oplossing, maar geen van beide systemen biedt bedrijven echt de juiste prikkels om hun beveiliging op orde te brengen”, aldus Strauss. “Daardoor blijven structureel kwetsbare bedrijven onnodig risico lopen.”
Striktere en beter gehandhaafde regels werken wél
Het onderzoek laat zien dat betere wetgeving wel degelijk effect heeft. In staten en sectoren waar strengere normen werden ingevoerd of gehandhaafd, nam het aantal cyberincidenten aantoonbaar af. “Als regels duidelijk zijn en serieus worden gehandhaafd, reageren bedrijven daar meteen op,” zegt Strauss. “Cyberveiligheid is niet alleen een technisch probleem: het is ook een kwestie van governance en de juiste prikkels.”
