Het cyberrisico zal volgend jaar toenemen naarmate aanvallers van tactiek veranderen als reactie op de betere cyberverdediging van bedrijven en naarmate de vooruitgang op het gebied van kunstmatige intelligentie (AI) het volume en de effectiviteit van hun aanvallen vergroot, stelt Moody’s Ratings op basis van een marktinventarisatie.Volgens de cyberbeveiligingsvooruitzichten van Moody’s voor 2025 zullen ransomware-aanvallers zich naar verwachting richten op grotere organisaties, wat uiteindelijk zal leiden tot een grotere totale financiële impact.
“Ransomware-aanvallen nemen toe, zowel in aantal als in omvang van de losgeldeisen, maar het aandeel slachtoffers dat het losgeld betaalt daalt. Dit is waarschijnlijk toe te schrijven aan een grotere adoptie van cyberbeveiligingsmaatregelen en bedrijfscontinuïteitsplannen. Als reactie hierop richten ransomware-groepen hun aanvallen vooral op grotere organisaties die zich hogere losgeldbetalingen kunnen veroorloven. Omdat uitstaande schulden geconcentreerd zijn bij emittenten met hogere inkomsten, verwachten we dat deze verschuiving de potentiële kredietimpact voor een groter deel van de beoordeelde bedrijven zal vergroten,” aldus Moody’s.
Het is de moeite waard om te benadrukken dat het aantal ransomware-aanvallen wereldwijd tussen 2022 en 2023 met 70% is toegenomen tot 4.399 van 2.581, volgens gegevens van cyber threat intelligence bedrijf Recorded Future. Blockchain-onderzoekers van Chainalysis meldden ook dat losgeldbetalingen stegen naar $ 1,1 miljard in 2023, waarmee een nieuw record werd gevestigd, met 2024 op koers om het te overtreffen.“Het aandeel van organisaties die het doelwit waren en losgeld betaalden is echter gedaald, waarschijnlijk omdat organisaties beveiligingsmaatregelen en bedrijfscontinuïteitsplannen hebben geïmplementeerd die hen helpen om geen losgeld te betalen”, voegt het bureau eraan toe.
Dienovereenkomstig heeft de cyberverzekeringsmarkt sinds 2023 gematigde premiedalingen en enige versoepeling van de voorwaarden gezien bij een sterke winstgevendheid van de sector, aldus Moody’s. Naarmate generatieve AI (GenAI) zich verder ontwikkelt, zijn er bovendien veel tools ontstaan die het aanvallers makkelijker maken om fraude te plegen.“Generatieve kunstmatige intelligentietechnieken die worden gebruikt om geschreven tekst en afbeeldingen, maar ook audio- en video-inhoud te creëren, zijn een zegen voor kwaadwillende actoren die GenAI-tools gebruiken om organisaties en hun klanten op te lichten. Deze tools hebben zich de afgelopen jaren verspreid, waardoor GenAI-mogelijkheden toegankelijk zijn geworden voor grote delen van de bevolking. Als gevolg hiervan nemen phishing-aanvallen explosief toe en verliezen bedrijven miljoenen dollars aan oplichtingspraktijken die gebruik maken van GenAI.”
Daarnaast verwacht het bureau ook dat aanvallen op de toeleveringsketen in 2025 zullen toenemen. Volgens Moody’s zullen cybercriminelen, terwijl organisaties hun netwerkverdediging verbeteren, zich steeds meer richten op aanvallen in de toeleveringsketen, waarbij ze gebruikmaken van het vertrouwen tussen softwareleverancier en eindgebruiker en van de toegang die veel leveranciers hebben tot de netwerken van eindgebruikers.
Om dit risico te beperken, moeten organisaties risicobeoordelingen uitvoeren van hun leveranciers en verkopers, aldus Moody’s. Het bureau benadrukt ook dat de uitval van CrowdStrike een voorbeeld is van hoe cyberrisico’s kunnen voortvloeien uit niet-kwaadaardige incidenten in de toeleveringsketen.“De wijdverspreide uitval onthulde de brede risico’s van een single point of failure en de mate waarin veel segmenten van de economie onderling verbonden en afhankelijk zijn. Het laat ook zien dat cyberincidenten niet kwaadaardig hoeven te zijn om een significante systemische impact te hebben,” voegt Moody’s toe.
Verder onthullen de vooruitzichten van Moody’s dat IBM-onderzoekers ontdekten dat aanvallen met behulp van gestolen referenties tussen 2022 en 2023 met 71% toenamen en vorig jaar de belangrijkste manier waren waarop cybercriminelen ongeautoriseerde toegang kregen tot de systemen van bedrijven.Het bureau noemt passkeys – alternatieven voor wachtwoorden – als zeer effectief tegen aanvallen met gestolen inloggegevens en merkt op dat het gebruik ervan terrein wint, hoewel er nog steeds hindernissen zijn bij de invoering door bedrijven, waardoor de implementatie vertraging oploopt.
