Na twee jaar van hoge maar stabiele schadeactiviteit was er in 2023 een zorgwekkende heropleving van de schades door ransomware en afpersing, omdat het landschap van cyberdreigingen zich blijft ontwikkelen. Hackers richten zich steeds meer op IT en fysieke toeleveringsketens, lanceren massale cyberaanvallen en vinden nieuwe manieren om geld af te persen van grote en kleine bedrijven, zo valt te lezen in de deze week verschenen Allianz Risk Barometer.
Het is geen verrassing dat hieruit naar voren komt dat bedrijven in de
Allianz Risk Barometer van dit jaar voor het eerst cyberrisico’s als hun
grootste zorg zien, voor alle bedrijfsgroottes: groot (>$ 500 miljoen
jaarlijkse omzet), middelgroot ($100 miljoen tot $ 500 miljoen) en kleiner
(<$100 miljoen). Cyberincidenten (bijvoorbeeld cybercriminaliteit,
verstoringen van IT-netwerken en -diensten, malware/ransomware,
datalekken, boetes en straffen) blijven het nummer-een-risico in België sinds
2018, en klommen naar de top-drie-risico’s in Nederland.
Trends die de cyberactiviteit in 2024 stimuleren
Ransomware in opmars
Aan het begin van het volgende decennium zal alleen al ransomware de
slachtoffers naar verwachting jaarlijks 265 miljard dollar kosten. De zogeheten
Ransomware-as-a-Service-kits (RaaS-kits), met prijzen vanaf slechts $
40, zijn een belangrijke factor bij de stijgende activiteit in 2023. Bendes
voeren ook sneller aanvallen uit, waarbij het gemiddelde aantal dagen dat nodig
is om een aanval uit te voeren daalt van ongeveer 60 dagen in 2019 naar vier.
De activiteit van ransomware-claims steeg in 2023 met meer dan 50% op
jaarbasis.
Bij de meeste ransomware-aanvallen worden nu persoonlijke of gevoelige
commerciële gegevens gestolen met als doel afpersing, waardoor de kosten en
complexiteit van incidenten toenemen en er een grotere kans is op
reputatieschade. Allianz Commercial’s analyse van grote cyberschades (meer dan
€ 1 miljoen) in de afgelopen jaren laat zien dat het aantal gevallen waarin
gegevens worden geëxfiltreerd, toeneemt – een verdubbeling van 40% in 2019 tot
bijna 80% in 2022, waarbij de activiteit in 2023 nog hoger ligt.
“Het beschermen van een organisatie tegen inbraak is een
kat-en-muisspel, waarbij de cybercriminelen in het voordeel zijn”, zegt Rishi Baviskar,
Global Head of Cyber Risk Consulting, Allianz Commercial.
“Bedreigers onderzoeken nu manieren om kunstmatige intelligentie (AI) te
gebruiken om aanvallen te automatiseren en te versnellen, en zo effectievere malware
en phishing te creëren. In combinatie met de explosieve toename
van verbonden mobiele apparaten en het 5G-gebaseerde Internet of Things
(IoT), lijkt het erop dat de mogelijkheden voor cyberaanvallen in de toekomst
alleen maar zullen toenemen.”
De kracht van AI (om cyberaanvallen
te versnellen)
De toepassing van AI brengt tal van kansen en voordelen met zich mee,
maar ook risico’s. Bedreigingsactoren gebruiken al AI-gestuurde taalmodellen
zoals ChatGPT om code te schrijven. Generatieve AI kan minder vaardige
kwaadwillenden helpen om nieuwe stammen en variaties van bestaande ransomware
te maken, waardoor het aantal aanvallen dat ze kunnen uitvoeren mogelijk
toeneemt. In de toekomst valt een toenemend gebruik van AI door kwaadwillenden
te verwachten, waardoor nog sterkere cyberbeveiligingsmaatregelen nodig zijn.
Spraaksimulatiesoftware is al een krachtige aanvulling geworden op het arsenaal
van cybercriminelen. Ondertussen kan deepfake– videotechnologie,
ontworpen en verkocht voor phishingfraude, nu ook online worden gevonden, voor
prijzen vanaf $ 20 per minuut.
Mobiele apparaten leggen gegevens
bloot
Lakse beveiliging en het mengen van persoonlijke en bedrijfsgegevens op
mobiele apparaten, waaronder smartphones, tablets en laptops, is een
aantrekkelijke combinatie voor cybercriminelen. Allianz Commercial ziet een
groeiend aantal incidenten veroorzaakt door slechte cybersecurity rond mobiele
apparaten. Tijdens de pandemie maakten veel organisaties nieuwe manieren
mogelijk om toegang te krijgen tot hun bedrijfsnetwerk via privéapparaten,
zonder de noodzaak van multifactorauthenticatie (MFA). Dit resulteerde ook in
verschillende succesvolle cyberaanvallen en grote verzekeringsclaims.
“Criminelen richten zich nu op mobiele apparaten met specifieke
malware om op afstand toegang te krijgen, inloggegevens te stelen of ransomware
te implementeren”, zegt Baviskar. “Persoonlijke apparaten hebben vaak
minder strenge beveiligingsmaatregelen. Het gebruik van openbare wifi op
dergelijke apparaten kan hun kwetsbaarheid vergroten, inclusief blootstelling
aan phishingaanvallen via sociale media.” De uitrol van
5G-technologie is ook een potentieel punt van zorg als deze niet goed wordt
beheerd, aangezien deze technologie nog meer verbonden apparaten van stroom zal
voorzien. Veel IoT-apparaten hebben echter geen goede staat van dienst als het
gaat om cyberbeveiliging, zijn gemakkelijk te ontdekken en hebben geen
MFA-mechanismen, wat samen met de toevoeging van AI een serieuze cyberdreiging
vormt.
Tekort aan beveiligingsvaardigheden
een factor bij incidenten
Het huidige wereldwijde tekort aan cyberbeveiligingspersoneel bedraagt
meer dan vier miljoen mensen, waarbij de vraag twee keer zo snel groeit als het
aanbod. Gartner voorspelt dat een gebrek aan talent of menselijk falen
verantwoordelijk zal zijn voor meer dan de helft van de significante
cyberincidenten in 2025. Het tekort aan geschoolde arbeidskrachten staat op
plaats 5 in de topzorgen van de mediasector en is een top 10-risico in
technologie in de Allianz Risk Barometer.
Het is moeilijk om goede cyberbeveiligingsengineers in te huren en
zonder geschoold personeel is het moeilijker om incidenten te voorspellen en te
voorkomen, wat in de toekomst meer verliezen kan betekenen. Dit heeft ook
gevolgen voor de kosten van een incident. Volgens het IBM Cost of a Data Breach
Report 2023 hadden organisaties met een groot tekort aan
beveiligingsvaardigheden een gemiddelde kostprijs van 5,36 miljoen dollar voor
een datalek, ongeveer 20% hoger dan de werkelijke gemiddelde kostprijs.
Vroegtijdige detectie is de sleutel
Het voorkomen van een cyberaanval wordt dus steeds moeilijker en er
staat meer op het spel. Daarom worden mogelijkheden en tools voor vroegtijdige
detectie en respons steeds belangrijker. Investeringen in detectie ondersteund
door AI zouden ook moeten helpen om meer incidenten eerder op te sporen. Als
bedrijven geen effectieve tools voor vroegtijdige detectie hebben, kan dit
leiden tot langere ongeplande downtime, hogere kosten en een grotere impact op
klanten, omzet en reputatie. Het leeuwendeel van de IT-beveiligingsbudgetten
wordt momenteel besteed aan preventie, terwijl ongeveer 35% wordt besteed aan
detectie en respons.
“Als een inbraak echter niet wordt ontdekt, kan deze snel escaleren
en als gegevens eenmaal zijn versleuteld en/of gestolen, kunnen de kosten de
pan uit rijzen – tot wel 1000 keer hoger dan wanneer een incident in een vroeg
stadium wordt ontdekt en onder controle wordt gebracht. Het verschil tussen een
verlies van een bedrag van € 20.000 dat verandert in een verlies van € 20
miljoen”, legt Michael Daum uit, Global Head
of Cyber Claims bij Allianz Commercial.
“In de toekomst zullen detectietools voor de meeste bedrijven de volgende
logische stap zijn om in te investeren. Uiteindelijk zullen vroegtijdige
detectie en effectieve responsmogelijkheden de sleutel zijn tot het beperken
van de gevolgen van cyberaanvallen en het waarborgen van een duurzame
cyberverzekeringsmarkt in de toekomst.”
Mkb in toenemende mate een ‘sweet
spot’
Voor kleinere en middelgrote bedrijven (mkb) is de dreiging van
cyberrisico’s toegenomen omdat ze steeds meer vertrouwen op uitbesteding van
diensten, waaronder managed IT en cyberbeveiligingsproviders, omdat deze
bedrijven niet over de financiële middelen en interne expertise van grotere
organisaties beschikken. Terwijl grotere bedrijven hun cyberbescherming hebben
opgeschroefd, richten criminelen zich op kleinere bedrijven. Het mkb is minder
goed bestand tegen de gevolgen van een cyberaanval. Als een klein bedrijf met
slechte controles of inadequaat risicobeheer te maken krijgt met een ernstig
incident, bestaat de kans dat het niet overleeft.
“’Het mkb moet waakzaam blijven en een duidelijk beeld hebben van
de risico’s en voldoende middelen toewijzen in termen van personeel,
IT-infrastructuur en budget om de vereiste beveiligingsmaatregelen te
implementeren”, zegt Baviskar. “Een gesprek aangaan met een MSSP (Managed
Security Service Provider) kan dienen als een uitstekende eerste stap, die
het mogelijk maakt om een IT-budget en -strategie op te stellen die zijn
afgestemd op de specifieke prioriteiten van het bedrijf.”
Bedrijven kunnen cyberbedreigingen proactief aanpakken door ervoor te
zorgen dat hun cyberbeveiligingsstrategie de meest cruciale onderdelen van hun
informatiesysteem identificeert. Vervolgens moeten ze de juiste detectie- en
bewakingssoftware inzetten, zowel aan de rand van het netwerk als op
eindpunten, vaak in samenwerking met cyberbeveiligingspartners, om bedreigingen
die toegang proberen te krijgen tot het netwerk op te sporen en uit te
schakelen.