Red Hat: “97% van de organisaties kreeg vorig jaar te maken met een cloudbeveiligingsincident”

Ondanks groeiend zelf­ver­trouwen blijft cloud­be­vei­li­ging een hekel punt bij secu­ri­ty­teams: te brede toegangs­rechten, miscon­fi­gu­ra­ties en een schrij­nend gebrek aan strategie zorgen ervoor dat orga­ni­sa­ties van incident naar incident hollen. Dat blijkt uit het State of Cloud-Native Security Report 2026 van Red Hat, dat de cloud­be­vei­li­gings­prak­tijken van orga­ni­sa­ties wereld­wijd onder de loep nam.

Voor secu­ri­ty­teams is 2025 geen rustig jaar geweest. 97% van de onder­vraagde orga­ni­sa­ties meldde minstens één cloud­be­vei­li­gings­in­ci­dent in de voorbije 12 maanden. Dat zijn zelden geso­fis­ti­ceerde, eenmalige aanvallen, maar het resultaat van alle­daagse fouten. De meest voor­ko­mende oorzaak zijn miscon­fi­gu­ra­ties van infra­struc­tuur of diensten (78%), gevolgd door het inzetten van workloads met bekende kwets­baar­heden (74%) en het niet naleven van regel­ge­ving (67%).

Verlies aan productiviteit

De impact gaat bovendien ver voorbij de IT-afdeling. 74% van de orga­ni­sa­ties heeft de afgelopen 12 maanden appli­catie-imple­men­ta­ties vertraagd of afgeremd wegens bevei­li­gings­pro­blemen. Daar­bo­venop rappor­teerde 92% aanzien­lijke gevolgen, waaronder: meer tijd kwijt aan herstel­werk (52%), minder produc­tieve ontwik­ke­laars (43%) en verlies van klant­ver­trouwen (32%).

Zelfperceptie vs. werkelijkheid

Een opval­lende vast­stel­ling is de kloof tussen zelf­per­ceptie en werke­lijk­heid. De helft (56%) omschrijft zijn cloud­aanpak als sterk proactief, maar slechts 39% heeft daarvoor ook een goed gede­fi­ni­eerde cloud­stra­tegie. Ongeveer 22% opereert zonder enige strategie, met voor­spel­bare gevolgen op vlak van security. Orga­ni­sa­ties met een volwassen strategie rappor­teren 61% vertrouwen in de bevei­li­ging van hun soft­wa­re­toe­le­ve­rings­keten, een stuk hoger dan de rest.

Voor 2026 wil een meer­der­heid de achter­stand wél wegwerken. Meer dan 60% plant inves­te­ringen in geau­to­ma­ti­seerde bevei­li­ging binnen CI/CD-pipelines, 56% focust op de soft­wa­re­toe­le­ve­rings­keten en 64% verwacht dat de EU Cyber Resi­lience Act inves­te­rings­be­slis­singen zal sturen. AI voegt daar nog een laag aan toe: 96% maakt zich zorgen over gene­ra­tieve AI in cloudom­ge­vingen, maar 59% heeft nog geen intern AI-beleid uitgewerkt.

Het rapport besluit met een duide­lijke boodschap: de snelheid van cloud-native innovatie heeft de tradi­ti­o­nele bevei­li­gings­aanpak ingehaald. Orga­ni­sa­ties die het verschil willen maken, bouwen bevei­li­ging struc­tu­reel in hun platform in, in plaats van er achteraf een laag overheen te leggen. Dat passert onder andere via een uitge­werkte strategie, auto­ma­ti­se­ring van bevei­li­gings­con­troles en een gover­nance-raamwerk voor AI dat niet wacht op externe regelgeving.

Lees het volledige rapport via de volgende link.