Onderzoek Veeam: 9 van 10 organisaties vertrouwt op halen vastgestelde hersteltijd na cyberincident

 

Organisaties staan ​​vandaag de dag voor een paradox. Digitale transformatie, cloudadoptie en AI hebben de waarde van bedrijfsdata verhoogd, maar tegelijkertijd ook het aanvalsoppervlak vergroot. Data beweegt zich nu sneller door clouds, applicaties, AI-modellen, agents en geautomatiseerde systemen dan de meeste organisaties kunnen bijhouden. Ondanks die complexiteit denken de meeste organisaties dat ze voorbereid zijn, zo blijkt uit een onderzoek van Veeam..

In het onderzoek onder meer dan 900 beveiligingsleiders op C-suite- en IT-frontlineniveau geeft verder 90% aan zeer tot extreem veel vertrouwen te hebben in hun vermogen om binnen hun vastgestelde hersteltijd (RTO) te herstellen van een cyberincident. De werkelijke uitkomsten zijn minder geruststellend. Van de organisaties die de afgelopen 12 maanden een cyberincident hebben meegemaakt, meldt meer dan 40% verstoring van de dienstverlening aan klanten of belanghebbenden, of financiële schade te hebben opgelopen.

Gevolgen ransomware

De gevolgen van ransomware zijn nog ernstiger. Bij incidenten die hebben geleid tot operationeel verlies of versleuteling van data, heeft slechts 28% alle getroffen data volledig kunnen herstellen. Nog eens 29% kampte met dataverlies, downtime (uitval) of verstoring van de bedrijfsvoering.

Deze maatregelen zijn niet identiek aan RTO-prestaties, maar samen vertellen zevolgens de onderzoekers  een consistent verhaal: “Vertrouwen in herstel is niet hetzelfde als bewezen herstelvermogen. In interviews stellen veel organisaties veerkracht gelijk aan het hebben van back-ups, beleid of verzekeringen. Echte veerkracht vereist meer. Het vereist een helder inzicht in waar data zich bevindt en hoe deze wordt gebruikt, afgedwongen controles die de blootstelling in de praktijk verminderen, en herstel dat is bewezen door middel van testen, niet door aannames.”

Naarmate organisaties AI integreren in hun bedrijfsvoering, worden de risico’s groter. AI introduceert nieuwe datastromen, nieuwe aanvalsoppervlakken en nieuwe governance-uitdagingen. In het opkomende agentische tijdperk handelen AI-systemen steeds vaker namens gebruikers, verplaatsen ze data en activeren ze acties met minder direct menselijk toezicht. In veel gevallen gaat de adoptie van AI sneller dan het vermogen van organisaties om de onderliggende data te beveiligen en te managen, waardoor de kloof tussen de waargenomen paraatheid en de operationele realiteit groter wordt.

Vertrouwen in herstel versus operationele afstemming

90% geeft aan zeer tot extreem veel vertrouwen te hebben in het halen van de RTO’s (Recovery Time Objectives). Daarnaast zegt 69%  dat hun RTO’s volledig zijn afgestemd op de bedrijfscontinuïteitsdoelen.

Organisaties met betere herstelresultaten delen vier bepalende kenmerken:

  1. Duidelijk inzicht in data- en AI-risico’s binnen de gehele organisatie.
  2. Afgedwongen beveiligingsmaatregelen, niet alleen beleid.
  3. Bewezen herstelmogelijkheden die zijn getest en gevalideerd.
  4. Afstemming op directieniveau over risicobeheer en -rapportage.

Samen vormen deze kenmerken de basis van moderne cyberweerbaarheid. Organisaties die deze kenmerken ontwikkelen, zijn beter in staat cyberincidenten te weerstaan ​​en de waarde van AI en digitale innovatie veilig te benutten.

De vertrouwenskloof

Bijna drie op de tien organisaties hebben de afgelopen 12 maanden een cyberincident meegemaakt dat resulteerde in dataverlies, downtime of bedrijfsstoringen.

Het patroon is vergelijkbaar bij organisaties die getroffen zijn door ransomware. Van de organisaties die de afgelopen 12 maanden een ransomware-aanval hebben meegemaakt, gaf 56% aan dat de aanvallers erin geslaagd waren data te versleutelen of te stelen. Van de door ransomware getroffen organisaties heeft slechts 28% hun gegevens volledig hersteld, terwijl 44% minder dan 75% van de getroffen gegevens heeft hersteld.

Deze resultaten bevestigen volgens het onderzoek de kernboodschap van dit rapport: “Vertrouwen is er, maar een gevalideerde herstelcapaciteit ontbreekt. Wanneer organisaties herstel niet routinematig testen onder realistische omstandigheden, kunnen ze hun paraatheid overschatten totdat een incident de tekortkomingen aan het licht brengt. Uit interviews blijkt dat het vertrouwen in herstel vaak wordt gevormd door de aanwezigheid van testen en planning, zelfs wanneer de frequentie en het realisme van die tests worden beperkt door operationele en zakelijke druk.”

Organisaties worden ook geconfronteerd met een tweede factor die dezelfde kloof kan vergroten. “Naarmate AI meer ingebed raakt in dagelijkse workflows, introduceert het nieuwe datapaden, nieuwe tools en nieuwe governance-vereisten. Zonder duidelijke verantwoordelijkheid en bijgewerkte beveiligingsrichtlijnen kan AI het risico sneller vergroten dan teams het kunnen managen.”

Wanneer incidenten zich voordoen, zijn de gevolgen vaak aanzienlijk. Onder organisaties die een cyberincident hebben meegemaakt: 42% meldde verstoring van de dienstverlening aan klanten of belanghebbenden; 41% meldde financieel verlies of een negatieve impact op de omzet; 38% ondervond langdurige downtime van kritieke systemen.

De adoptie van AI loopt voor op het inzicht in risico’s

AI evolueert van experimenteren naar dagelijkse implementatie. Beveiligingsleiders melden dat AI al is ingebed in kernprocessen en velen verwachten dat de rol ervan snel zal toenemen. Deze ontwikkeling creëert een nieuwe realiteit waarin AI-risico’s niet langer beperkt zijn tot modelbeveiliging. Dit is een probleem op het gebied van databeheer en operationele veerkracht.

De uitdaging is inzicht. AI-systemen introduceren nieuwe datapaden tussen gebruikers, applicaties, API’s en diensten van derden. Ze kunnen ook veelvoorkomende problemen versterken, zoals datawildgroei, inconsistente toegangscontroles en onduidelijk eigenaarschap. Wanneer teams niet kunnen zien hoe data wordt gebruikt, gedeeld of bewaard, wordt het moeilijker om beleid af te dwingen, misbruik te detecteren en na een incident een schone herstelprocedure te starten.

Net zo belangrijk is dat de adoptie van AI vaak voorloopt op het manegen ervan. Veel organisaties zijn nog steeds aan het uitzoeken wie verantwoordelijk is voor AI-risico’s, welke teams het acceptabele gebruik definiëren en hoe beleid afdwingbare controles oplevert. Zonder die duidelijkheid kunnen organisaties te maken krijgen met gefragmenteerd toezicht, inconsistente beveiligingsmaatregelen en trage besluitvorming tijdens een incident.

Kloof in herstelparaatheid

Hier komt de kloof in herstelparaatheid weer naar voren. AI vergroot de reikwijdte van wat beschermd en hersteld moet worden (bijv. data, pipelines, identiteiten en de systemen waarvan AI afhankelijk is). Als AI-gerelateerde databronnen niet met dezelfde discipline worden geclassificeerd, beheerd en geback-upt als andere kritieke systemen, kunnen herstelplannen onder druk falen. De adoptie van AI loopt voor op de risicozichtbaarheid.

Die kloof in zichtbaarheid komt duidelijk naar voren in de enquêtegegevens:

  • 43% van de respondenten zegt dat de adoptie van AI-tools hun vermogen om data en modellen te beveiligen overtreft.
  • 42% zegt beperkt inzicht te hebben in alle AI-tools of -modellen die binnen de organisatie worden gebruikt.
  • 40% zegt dat het beveiligingsbeleid nog niet is bijgewerkt met AI-specifieke risico’s, zoals het gebruik van generatieve AI.
  • 25% zegt dat schaduw-IT en ongeautoriseerd gebruik van AI-tools een primaire zorg vormen met betrekking tot het gebruik van AI-tools door werknemers en de gegevensbeveiliging.

Beleid alleen vermindert het risico niet.

Om de toenemende AI- en datarisico’s te verlagen, hebben organisaties AI-governancebenaderingen nodig die verder gaan dan beleidsverklaringen en beleid omvatten dat wordt ondersteund door afdwingbare controles. Een indicator van die verschuiving is de adoptie van handhavingstools zoals dataverliespreventie (DLP). In dit onderzoek geeft 48% van de respondenten aan dat DLP-controles al aanwezig waren.

Organisaties met DLP melden meetbaar meer inzicht en controle naarmate het AI-gebruik toeneemt. Vergeleken met organisaties zonder DLP, hebben ze beperkt inzicht in AI-tools en -modellen; 39% met DLP 45% zonder DLP

Handhaafbare controles helpen governance te vertalen naar de dagelijkse uitvoering door risicovolle dataverplaatsingen te verminderen en de blootstelling te beperken naarmate het gebruik van AI toeneemt. In de praktijk beschrijven organisaties governance alleen als effectief wanneer beleid wordt ondersteund door controles en validatie, in plaats van alleen te vertrouwen op intentie of richtlijnen.

Verantwoordelijkheid voor AI-governance

Naarmate organisaties kunstmatige intelligentie in hun bedrijfsvoering integreren, wordt de vraag wie verantwoordelijk is voor AI- en datarisico’s steeds belangrijker.

Het onderzoek toont aan dat de verantwoordelijkheid voor AI-governance zelden wordt gedeeld tussen managementteams. In plaats daarvan wordt deze doorgaans toegewezen aan één enkele leidinggevende. Van de organisaties die een cybersecurity-incident hebben meegemaakt geeft 38% aan dat de CIO verantwoordelijk is, 27% dat de CIO verantwoordelijk is en 17%  een cross-functionele governance-structuur rapporteert.

De verantwoordelijkheid voor AI- en datarisicobeheer ligt meestal bij één leidinggevende in plaats van bij een multidisciplinair team: bij 38% ligt de verantwoordelijkheid bij de CISO, bij 27% bij  de CIO en bij  17% bij een multidisciplinair comité. Duidelijke verantwoordelijkheid is belangrijk, maar het concentreren van verantwoordelijkheid in één rol kan blinde vlekken creëren. AI-risico’s bevinden zich op het snijvlak van meerdere domeinen, waaronder cybersecurity, databeheer, infrastructuur, compliance en bedrijfsvoering. Geen enkele leidinggevende heeft doorgaans volledig overzicht over al deze gebieden.

Binnen organisaties worden AI- en datarisico’s beschreven als een gebied dat zich uitstrekt over beveiliging, IT, data en bedrijfsfuncties, waardoor gedeeld toezicht effectiever is dan modellen met één verantwoordelijke. Organisaties die een multidisciplinair governancemodel hanteren door IT-, beveiligings- en dataleiders en zakelijke stakeholders samen te brengen, melden een betere afstemming tussen beleid, beveiligingsmaatregelen en operationele herstelmogelijkheden. AI- en datarisicobeheer was volgens een eerdere spreker de verantwoordelijkheid van de CISO.

Investeringen in cybersecurity nemen toe, maar dit geldt niet voor iedereen.

Volgens het onderzoek verhoogt 49% van de organisaties hun cybersecuritybudgetten jaar op jaar, terwijl 51% gelijk bleef of daalde. Deze verdeling verklaart mede waarom de resultaten op het gebied van veerkracht variëren, vooral wanneer organisaties de paraatheid niet consistent kunnen meten of het herstel niet consistent kunnen valideren.

Het bijhouden van de KPI’s die budgetten en herstel versterken. Organisaties met verhoogde budgetten houden vaker KPI’s bij voor de paraatheid voor herstel. Deze KPI’s maken tekortkomingen zichtbaar en ondersteunen een betere prioritering, waaronder:

  • Het gaat er niet om de hoeveelheid te rapporteren, maar om een ​​stabiele, besluitvaardige cyclus te creëren die risico’s zichtbaar houdt, prioriteiten duidelijk maakt en de voortgang meetbaar.
  • Budgetgroei komt vaker voor bij organisaties die maandelijks rapporteren over cyberrisico’s:
  • KPI’s gebruikt om de herstelbereidheid na cyberincidenten te meten Budget verhoogd Budget niet verhoogd Hersteltijddoelstellingen (RTO’s)
  • Tijd om incidenten te isoleren of in te dammen
  • Percentage volledig geautomatiseerde/georkestreerde herstelprocessen
  • Het bijhouden van deze metrics transformeert vertrouwen in iets dat leiders kunnen valideren als het gaat om veerkracht.

Frequente rapportage over risico’s

Organisaties met een verhoogd budget volgen vaker KPI’s voor herstelbereidheid die hiaten zichtbaar maken en een betere prioritering ondersteunen, waaronder het bijhouden van deze metrics transformeert vertrouwen in iets dat leiders kunnen valideren als het gaat om veerkracht. “Het gaat niet om de hoeveelheid rapportage; het gaat om het creëren van een gestage, besluitvaardige cyclus die risico’s zichtbaar houdt, prioriteiten duidelijk maakt en de voortgang meetbaar. Budgetgroei komt vaker voor bij organisaties die maandelijks rapporteren over cyberrisico’s”, aldus het rapport.

Gerelateerde artikelen

Meer verloren werkdagen door stakingen in 2025

Claims | 29-04-2026

In 2025 waren er 23 werkstakingen. Dat zijn er 13 minder dan in 2024. De stakingen duurden wel langer, waardoor er meer werkdagen verloren gingen. In 2025 waren dit er bijna 60.000, ruim 6.000 meer dan in 2024. Dit meldt het Centraal Bureau voor de Statistiek (CBS) op basis van nieuwe cijfers. Na een piek […]

Jeff Bray (Prologis) wint de RIMS Risk Manager of the Year Award

Risk - en Schadetransfers | 28-04-2026

Jeff Bray, Senior Vice President, Head of Global Risk Management bij Prologis, is uitgeroepen tot Risk Manager of the Year 2026. Emily Buckley, Insurance Risk Manager bij Specialized Bicycle Components, is opgenomen in de Risk Management Honor Roll. Jeff en Emily ontvangen hun onderscheidingen tijdens RISKWORLD in Philadelphia. Het Risk Manager of the Year-programma is […]

Webinar Allianz Trade ‘Fraude in het AI-tijdperk

Claims | 28-04-2026

  Allianz Trade houdt op 27 mei a.s. een gratis webinar over ‘Fraude in het AI-tijdperk’. In een toelichting stelt de kredietverzekeraar: “Fraude ontwikkelt zich razendsnel en vormt één van de grootste risico’s voor bedrijven in de Benelux. Fraudegevallen nemen niet alleen toe, ze worden ook steeds slimmer en complexer. Nieuwe technologieën, waaronder AI, geven […]

Independer: Verkoop thuisbatterijen in jaar tijd verdriedubbelt maar let op de verzekering

Claims | 13-04-2026

Nederlanders zijn hard op zoek naar manieren om geld te besparen op de gestegen energierekening en kiezen massaal voor de thuisbatterij. Uit een analyse van Independer op basis van cijfers van alle netbeheerders gaat het dit jaar al om een ruime verdriedubbeling. In het eerste kwartaal van 2026 werden er 9.417 nieuwe  batterijen geregistreerd tegenover […]