Vijf jaar onderzoeksgegevens tonen kleine vooruitgang in cyberparaatheid

Het is niet echt een nieuwsflits om te verklaren dat de dreigingen voor cyberbeveiliging de afgelopen vijf jaar veel, veel erger zijn geworden. De meer intrigerende vragen zijn: Zijn de beveiligingen en verdedigingsmechanismen van bedrijven verbeterd? En hebben ze gelijke tred gehouden met de nieuwe gevaren?

Terugkijken en de resultaten van het jaarlijkse Mimecast-rapport State of Email Security 2021 (SOES) vergelijken met eerdere edities (het onderzoek werd voor het eerst uitgevoerd in 2017) werpt een interessant licht op de zaak. Hier zijn vijf belangrijke punten van zorg en hoe ze zich over de periode van vijf jaar hebben ontwikkeld.

1. Het cyberbedreigingslandschap
   
   Hoewel de tactieken die cybercriminelen gebruiken en de mix van aanvalstypen zijn verschoven, zijn twee punten de afgelopen vijf jaar opmerkelijk consistent gebleven: Het volume van de bedreigingen is van jaar tot jaar drastisch gestegen, en e-mail blijft de primaire manier waarop deze aanvallen worden afgeleverd.
   
   Om dit te kwantificeren: in 2018 zei 90% van de ondervraagde wereldwijde organisaties dat het volume van phishingaanvallen in de afgelopen 12 maanden is toegenomen of gelijk is gebleven ten opzichte van het jaar ervoor. In 2019 meldde 67% een toename ten opzichte van het voorgaande jaar. In 2020 zei 58% een stijging te zien in het volume van phishingaanvallen. En dan dit jaar, in grote mate gedreven door de COVID-19 pandemie, meldde 64% een stijging van het volume van e-mailbedreigingen.
   
   De verwachtingen van een e-mailaanval zijn ook consistent hoog gebleven. In 2018 verwachtte 59% van de ondervraagde bedrijven dat hun bedrijf schade zou ondervinden van een dergelijke aanval. Twee jaar later en gevangen in de greep van de pandemie, zeiden zeven van de 10 bedrijven dat ze hetzelfde verwachtten in 2021.
   
2. Phishing and Other Email-Borne Dangers
   
   In deze periode van vijf jaar hebben drie vormen van e-mailaanvallen de overhand gehad: phishing, impersonatie en het compromitteren van zakelijke e-mail. In de afgelopen twee jaar, met de pandemie, is er ook een aanzienlijke toename geweest van spear phishing - een bijzondere vorm van phishing waarbij specifieke personen het doelwit zijn. Elk jaar was het volume van deze aanvallen groter dan het jaar ervoor, en ook het aantal bedrijven dat te maken kreeg met een of meer succesvolle aanvallen nam toe.
   
   Jaar na jaar zijn deze aanvallen ook moeilijker te detecteren geworden. In de SOES-enquête van 2021 gaf bijvoorbeeld 60% van de deelnemers aan dat zij de toenemende complexiteit van de aanvallen waarmee zij te maken krijgen, als hun grootste beveiligingsuitdaging beschouwen.
   
3. Here, There, Ransomware
   
   In de afgelopen vijf jaar hebben ransomwarebedreigingen zich meer verspreid dan enig ander type e-mailaanval. De resultaten van de SOES-enquête vertellen het verhaal: In 2018 zei slechts 27% van de respondenten dat een ransomware-aanval een negatief effect had op hun bedrijfsvoering in de afgelopen 12 maanden. Dat cijfer sprong naar 53% in 2019 en bleef min of meer stabiel op 51% in 2020. Maar het steeg opnieuw in de enquête van 2021, met 61% van de respondenten die meldden dat een ransomware-aanval hun bedrijf in het afgelopen jaar had verstoord.
   
   De impact van deze verstoringen is ook toegenomen. In 2020 gaven bedrijven aan gemiddeld drie dagen downtime te ervaren als gevolg van een ransomware-aanval. In 2021 is de downtime verdubbeld tot gemiddeld zes dagen; voor meer dan een derde van de getroffen organisaties (37%) was het een week of langer.
   
4. Worden bedrijven meer cyberresilient?
   
   Ondanks de groeiende gevaren van een cyberaanval is het aantal bedrijven dat stappen heeft ondernomen om zich tegen dergelijke bedreigingen te beschermen hardnekkig gelijk gebleven. In 2019 - het eerste jaar dat bedrijven in de SOES-enquête werd gevraagd of ze een strategie voor cyberresilience hadden - zei minder dan de helft (46%) dat ze dat hadden. Dat percentage steeg licht in 2020 tot 49% en daalde vervolgens dit jaar weer tot 44%.
   
   Ondertussen groeit het aantal bedrijven dat erkent dat ze schade hebben ondervonden van hun falen om een cyberweerbaarheidsstrategie te ontwikkelen en te implementeren. In 2019 zei 31% van de SOES-respondenten dat hun gebrek aan cyberparaatheid resulteerde in een bedrijfsstoring. Dat cijfer daalde licht tot 29% in 2020, maar piekte vervolgens tot 38% in de enquête van 2021.
   
   Evenzo gaf in 2019 33% van de respondenten toe dat hun falen om zich voor te bereiden op een cyberaanval de productiviteit van werknemers had verminderd. Dat aantal daalde weer een beetje in 2020 tot 29%, maar knalde weer omhoog tot meer dan een derde (36%) van de bedrijven in de enquête van 2021.
   
   De gegevens van de vijfjarige enquête ondersteunen ook het idee dat organisaties met een cyberweerbaarheidsstrategie meer vertrouwen hebben en zekerder zijn als het gaat om het omgaan met een aanval dan degenen die geen strategie hebben. In 2019 zei 85% van degenen zonder een cyberweerbaarheidsstrategie dat ze in de voorgaande 12 maanden verliezen hebben geleden als gevolg van een impersonatieaanval, terwijl slechts 61% van degenen met een dergelijke strategie hetzelfde soort verliezen heeft geleden. Evenzo meldde in 2021 meer dan een derde (35%) van de respondenten van bedrijven met een cyberweerbaarheidsstrategie dat het onwaarschijnlijk, zeer onwaarschijnlijk of zelfs onmogelijk is dat hun organisaties schade zullen ondervinden van een e-mailaanval. Dit in vergelijking met slechts 22% van de respondenten van bedrijven zonder een dergelijke strategie die hetzelfde dachten.
   
5. Human Error and Cybersecurity Awareness Training
   
   Een belangrijk - misschien wel het meest doorslaggevende - element van cyberweerbaarheid is hoe goed de werknemers van een bedrijf voorbereid zijn om een e-mailaanval te herkennen en af te slaan. De SOES-gegevens van de afgelopen vijf jaar laten op dit vlak een gemengd beeld zien.
   
   Als het gaat om het terugdringen van risicovol gedrag van werknemers, is er sprake van een afname van gedragingen zoals een slechte wachtwoordhygiëne en onopzettelijk gegevens lekken. Het aantal bedrijven dat hun werknemers permanente cyberbewustmakingstraining geeft, daalt echter ook, hoewel het aantal organisaties dat maandelijks zo'n training geeft, toeneemt.

De kern van de zaak

Zoals uit de SOES-gegevens van de afgelopen vijf jaar blijkt, blijven de cyberdreigingen waarmee bedrijven wereldwijd worden geconfronteerd, toenemen en worden ze steeds schadelijker. Vooral dit jaar en vorig jaar hebben kwaadwillenden snel hun voordeel gedaan met de chaos die is ontstaan door een wereldwijde besmetting en hebben ze hun invallen opgevoerd. Om deze uitdaging het hoofd te bieden, is cyberparaatheid van cruciaal belang. Bedrijven met een strategie voor cyberbestendigheid hebben meer vertrouwen in hun vermogen om een e-mailaanval te voorkomen en te weerstaan. Maar meer dan de helft van de bedrijven die hebben gereageerd, loopt nog steeds achter op dit cruciale gebied.