2023 Cyber Resilience Report
Dit is een artikel 1 van 14 In dit rapport.
August 01, 2023 / 4 minimale leestijd
Hoe cyberrisico’s bijna alle aspecten van bedrijfsrisico raken
Een strenger acceptatiebeleid in de cyber- en E&O-verzekeringsmarkt in 2021 en de eerste helft van 2022 heeft waarschijnlijk de vooruitgang van klanten op het gebied van cybervolwassenheid beïnvloed.
Belangrijkste resultaten
- Gemiddeld verbeterden organisaties in alle sectoren en omzetcategorieën hun cybervolwassenheid van "basis" naar "beheerd".
- De vijf domeinen - gegevensbeveiliging, applicatiebeveiliging, werken op afstand, toegangs-, eindpunt- en systeembeveiliging - lieten de meeste verbetering zien.
- Teams moeten voortdurend evalueren in hoeverre de organisatie voorbereid is op veranderende bedreigingen en kwantificeerbaar bewijs leveren van de effectiviteit van de huidige beheersmaatregelen.
Aon voorspelde in haar Global Risk Management Survey 2021 dat cyberdreiging in 2024 wereldwijd het grootste risico zou blijven, groter dan COVID-19 en verbroken toeleveringsketens.1 Het langdurig hybride werken, aanvallen op de toeleveringsketen, geopolitieke instabiliteit en digitale connectiviteit bleven de aandacht voor cyberrisico’s voor organisaties over de hele wereld aanzienlijk vergroten.2 Daarnaast maakten strengere eisen van verzekeringsmaatschappijen het van 2020 tot 2022 moeilijker om een cyberpolis af te sluiten. Ze verhoogden de noodzaak voor bedrijven om goede beveiligingsbeheersmaatregelen en de daaruit voortvloeiende effectiviteit aan te tonen. In deze context van hogere dreigingen en strengere acceptatievoorwaarden konden organisaties niet langer verwachten dat ze direct over cyberverzekeringskapitaal konden beschikken om zich in te dekken tegen de financiële volatiliteit die voortvloeit uit cyberrisico’s.
Cyberrisico’s kunnen worden gedefinieerd als risico’s van financieel verlies, bedrijfsonderbreking of schade aan een organisatie als gevolg van een storing in de informatie- of operationele technologiesystemen. Maar cyberrisico’s gaan veel verder dan technologie. Cyber is onder andere een holistisch en bedrijfsrisico dat een financiële, operationele, menselijke, regelgevende en zelfs catastrofale bedreiging vormt voor alle organisaties, ongeacht hun grootte of sector. Als zodanig is begrip van de zakelijke drijfveren van een organisatie en de dagelijkse beslissingen die daarmee samenhangen vaak de cruciale schakel voor het beheersen van de reis naar het bereiken van holistische en duurzame cyberveerkracht.
CyQu-bevindingen: Aon Klantenrapport
De CyQu-klantgegevens van 2022 vertellen ons dat organisaties in alle sectoren en omzetcategorieën hun cybervolwassenheid gemiddeld hebben verbeterd van “basis” naar “beheerd”. Het wereldwijde gemiddelde van de CyQu-risicoscores, dat in 2022 steeg ten opzichte van 2020, weerspiegelt deze groei. In 2021 en de eerste helft van 2022 zorgden strengere acceptatievoorwaarden in de Cyber- en E&O-verzekeringsmarkt voor meer toezicht op beveiligingsbeheersmaatregelen, strengere richtlijnen, een herbeoordeling van risico’s en een verminderde marktcapaciteit. Dit zorgde waarschijnlijk voor deze vooruitgang in cybervolwassenheid.
Klanten uit alle sectoren en omzetcategorieën meldden dat het budget voor cyberbeveiliging tussen 2020 en 2022 steeg, waarvan gemiddeld 10 procent van het IT-budget naar verluidt aan beveiliging werd besteed.
CyQu-domeinscores
| CyQu-scores domein | 2020 | 2022 | Wijziging |
|---|---|---|---|
| Eindpunt- en systeembeveiliging | 2.5 | 2.9 | +0.4 |
| Werken op afstand | 2.5 | 2.8 | +0.4 |
| Applicatiebeveiliging | 1.9 | 2.3 | +0.4 |
| Netwerkbeveiliging | 2.7 | 3.0 | +0.3 |
| Toegangscontrole | 2.5 | 2.8 | +0.3 |
| Gegevensbeveiliging | 2.3 | 2.6 | +0.3 |
| Bedrijfsveerkracht | 2.2 | 2.5 | +0.3 |
| Fysieke beveiliging | 2.6 | 2.8 | +0.2 |
| Derde partij | 2.0 | 2.2 | +0.2 |
CyQu Risico-volwassenheidsscore
Initieel: 1.0 - 1.9
Basis: 2.0 - 2.5
Beheerd: 2.6 - 3.4
Geavanceerd: 3.5 - 4.0
Vanuit het perspectief van beheersmaatregelen lieten vijf domeinen de meest aanzienlijke scoreverbeteringen zien, met daaruit afgeleide budgetverhogingen: gegevensbeveiliging, applicatiebeveiliging, werken op afstand, toegangsbeveiliging en eindpunt- en systeembeveiliging.
Klanten uit het middensegment meldden In alle omzetcategorieënanten de grootste verbeteringen in de algehele cybervolwassenheid. Organisaties in het wereldwijde en zakelijke segment meldden daarentegen verbeteringen, maar bleven op een “beheerde” volwassenheid. Verbeteringen van de planning van incidentrespons (IR), gegevensbescherming, logboekregistratie en monitoring van eindpunten, kwetsbaarheid en de monitoring van werken op afstand waren de drijvende krachten achter de upgrade van het beveiligingsprofiel voor het middensegment. Deze beheersmaatregelen zijn in 2022 van “basis” naar “beheerd” gegaan. Uit klantgegevens blijkt dat de meeste omzetcategorieën zich richtten op verbetering van de toegangsbeveiliging, gegevensbeveiliging en bedrijfsveerkracht. Tegelijkertijd bleven de risicoscores voor contracten met derden en voorraadbeheer gelijk.
Wijzigingen in de score van het CyQu-klantsegment
| Jaaromzet (groep) | 2020 | 2022 | Wijziging |
|---|---|---|---|
| Wereldwijd | 2.8 | 2.9 | +0.1 |
| Onderneming | 2.6 | 2.9 | +0.3 |
| Middensegment | 2.4 | 2.7 | +0.3 |
| MKB | 2.2 | 2.5 | +0.3 |
CyQu Risico-volwassenheidsscore
Initieel: 1.0 - 1.9
Basis: 2.0 - 2.5
Beheerd: 2.6 - 3.4
Geavanceerd: 3.5 - 4.0
Vanuit sectorperspectief gezien meldden alle sectoren verbeteringen in de algehele CyQu-risicoscores. De sectoren gezondheidszorg en sociale bijstand, detailhandel en vastgoed meldden aanzienlijke verbeteringen bij de overgang van “basis” naar “beheerde” beveiligingsrisicoprofielen.
Veranderingen in de CyQu-industriescore
| Bedrijfssector | 2020 | 2022 | Wijziging |
|---|---|---|---|
| Productie | 2.2 | 2.5 | +0.3 |
| Overige sectoren* | 2.3 | 2.5 | +0.2 |
| Overige diensten** | 2.3 | 2.7 | +0.4 |
| Informatie, software en technologie | 2.6 | 2.9 | +0.3 |
| Financiën en verzekeringen | 2.7 | 2.9 | +0.2 |
| Gezondheidszorg en sociale bijstand | 2.4 | 2.7 | +0.3 |
| Professionele, wetenschappelijke en technische diensten | 2.6 | 2.9 | +0.3 |
| Detailhandel | 2.3 | 2.6 | +0.3 |
| Transport en opslag | 2.2 | 2.5 | +0.3 |
| Bouw | 2.1 | 2.4 | +0.3 |
| Onderwijs | 2.4 | 2.5 | +0.1 |
| Onroerend goed, verhuur en leasing | 2.3 | 2.7 | +0.4 |
CyQu Risico-volwassenheidsscore
Initieel: 1.0 - 1.9
Basis: 2.0 - 2.5
Beheerd: 2.6 - 3.4
Geavanceerd: 3.5 - 4.0
* De categorie ‘Overige sectoren’ vertegenwoordigt reacties van klanten in de volgende sectoren: accommodatie- en horecadiensten, landbouw, kunst, amusement en recreatie, management van bedrijven en ondernemingen, openbaar bestuur, nutsbedrijven, afvalbeheer- en saneringsbedrijven, en administratie en ondersteuning, groothandel.
** De categorie ‘Overige diensten’ is door de klant zelf geselecteerd.
De grootste toename in CyQu-risicoscores voor de gezondheidszorg werd gemeld voor multifactorauthenticatie (MFA) (1,9 in 2020 tot 2,6 in 2022) en gegevensbescherming (2,4 in 2020 tot 3,0). De sector bleef echter een marginale beweging melden in risicoprofielen voor beveiliging van derden, softwarebeheer en applicaties. Binnen de detailhandel rapporteerde 74 procent van de organisaties scores hoger dan 2,5 voor training in gebruikersbewustzijn, en meer dan de helft rapporteerde vergelijkbare scores voor logging- en monitoringsmogelijkheden, waardoor het algehele risicoprofiel van de sector werd verbeterd.
In de vastgoedsector zorgden veranderingen in de scores voor de ontwikkeling van applicatiebeveiliging (1,8 in 2021 naar 2,5 in 2022), softwarebeheer (1,9 in 2021 vs. 2,3 in 2022), risicobeheer (1,9 in 2021 naar 2,4 in 2022) en training in gebruikersbewustzijn (2,5 in 2021 naar 3,2 in 2022) voor een algehele verbetering van het profiel.
Samengevat:
Het is altijd een uitdaging geweest om door dit risicolandschap te navigeren en tegelijkertijd de correlatie tussen cyber- en bedrijfsrisico’s te begrijpen. De druk is groot om niet alleen voortdurend kwetsbare systemen te blokkeren en aan te pakken, te patchen en de verbindingspunten tussen sterk geïntegreerde technologieën te begrijpen, maar ook om op de hoogte te blijven van de potentiële impact van opkomende bedreigingen en veranderingen in de regelgeving. Het resultaat is dat beveiligings- en technologieteams voortdurend moeten evalueren in hoeverre de organisatie voorbereid is op veranderende bedreigingen en aan verzekeringsmaatschappijen en de markt kwantificeerbaar bewijs moeten leveren van de effectiviteit van de huidige beheersmaatregelen. Afstemming met best practice beheersmaatregelenstandaarden, zoals gespecificeerd door het National Institute of Standards and Technology (NIST) of het Center for Internet Security (CIS), is verstandig. Beveiligingsteams moeten regelmatig beheersmaatregelen beoordelen om de effectiviteit van preventieve en responsieve cybervolwassenheid te bepalen.
Verzekeringsproducten en -diensten worden aangeboden door Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. en Aon Risk Services, Inc. of Florida, en hun gelicentieerde dochterondernemingen.
De hierin opgenomen informatie en gedane uitspraken zijn van algemene aard, niet bedoeld om de omstandigheden van een bepaald individu of entiteit te behandelen en uitsluitend bedoeld voor informatieve doeleinden. De informatie is geen vervanging voor het advies van een juridisch adviseur of een cyberverzekeringsprofessional en mag niet worden gebruikt voor dergelijke doeleinden. Hoewel wij ernaar streven om nauwkeurige en tijdige informatie te verstrekken en bronnen gebruiken die wij als betrouwbaar beschouwen, kunnen wij geen garantie geven dat dergelijke informatie nauwkeurig is op de datum waarop deze wordt ontvangen en of dat deze in de toekomst nauwkeurig zal blijven.
Cyberbeheer in zes thema’s.
Het rapport van dit jaar is een gids voor leidinggevenden om de risicovolwassenheid van hun organisatie te vergelijken met die van overeenkomende organisaties en om betere beslissingen te kunnen nemen over het beheer van cyberrisico’s op zes specifieke risicothema’s: cyber, operationeel, toeleveringsketen, ingewijde, reputatie en systematisch.
