Organisaties werken in de cloud, maar niet veilig genoeg

Uit de Digital Trust Insights 2024 komt naar voren dat organisaties zich grote zorgen maken over hun cybersecurity. De gevolgen van een cyberaanval kunnen ernstig zijn, zo geven respondenten aan, vooral omdat dit het vertrouwen van klanten aantast. In Nederland zegt 54 procent van de respondenten bang te zijn voor beschadiging van de bedrijfsreputatie. De ‘reparatiekosten’ als gevolg van cybercriminaliteit zijn bovendien hoog. Ongeveer een kwart van de ondervraagden die de afgelopen drie jaar te maken hebben gehad met een datalek geeft aan dat dit tussen de één en negen miljoen dollar heeft gekost. Het overgrote deel van de respondenten (zo’n 75 procent) zegt de cyberbudgetten voor 2024 te verhogen, waarvan bijna een kwart met meer dan elf procent. Organisaties besteden de extra middelen vooral aan het verbeteren van bestaande cyberinfrastructuur en vaardigheden.

De respondenten van de Digital Trust Insights 2024 zijn het meest bezorgd over cloudgerelateerde aanvallen. Overal in de wereld, ook in Nederland, zetten zij dit bovenaan hun lijst met zorgen. Wat opvalt, is dat slechts een klein deel van de ondervraagde organisaties een state-of-the-artplan heeft om de risico’s te managen; ruwweg een derde van de ondervraagde organisaties heeft hiervoor een risicoplan dat zij regelmatig updaten. Daarmee wijken de Nederlandse respondenten niet veel af van hun collega’s in het buitenland.

‘Bijna alle organisaties, nationaal of internationaal, werken in de cloud’, zegt cyberexpert Angeli Hoekstra van PwC Nederland. ‘Logisch, want het heeft grote voordelen. Het maakt organisaties veel wendbaarder, of het nu gaat om de manier van werken of het opschalen van benodigde infrastructuur. Organisaties realiseren zich echter te weinig dat werken in de cloud nog steeds betekent dat zij zelf verantwoordelijk zijn voor een groot deel van de security, ook al hebben zij een contract gesloten met een serviceprovider. Als zij databases onderbrengen in de cloud moeten zij zelf zorgen voor adequaat ‘access and identity management’, dus dat niemand toegang heeft tot die data, behalve de eigen medewerkers voor wie toegang relevant is.

Ook moeten zij zelf zorgen voor encryptie als dat nodig is. De verantwoordelijkheid van de serviceprovider is het zorgen voor de fysieke veiligheid van de servers waarop de data staan. Organisaties moeten zich hiervan veel meer bewust zijn. Het implementeren van een zogenaamd ‘zero trust’-concept kan helpen de cyberveiligheid sterk te verbeteren. Veel organisaties zijn bezig met transformaties om toekomstbestendig te blijven en de cloud is vrijwel altijd een onderdeel daarvan. Wie het heeft over transformaties moet het dus tegelijkertijd ook over cyberveiligheid hebben.’

Bijna de helft van de Nederlandse respondenten is van plan de komende maanden AI-tools in te zetten voor het afslaan van cyberaanvallen. Uit de antwoorden van de respondenten van de Digital Trust Insights 2024 blijkt ook dat zij AI tegelijkertijd zien als een wapen dat tegen hen gebruikt kan worden. Nederlandse respondenten lijken zowel als het gaat om de kansen als de bedreigingen van AI een iets gematigdere opvatting te hebben dan hun buitenlandse collega’s.

Hoekstra: ‘In security is het gebruik van AI niet nieuw, maar de stroomversnelling waarin generatieve AI ons nu brengt is wel een gamechanger. Generatieve AI vormt een bedreiging omdat het ingezet kan worden voor geavanceerde ‘phishing attacks’. Maar het is ook een kans om je cyberdefensie beter in te richten. In vergelijking met de buitenlandse respondenten zijn Nederlanders wat gematigder over de kansen dan over de bedreigingen van AI. Ik zou organisaties echter aanraden niet te afwachtend te zijn. Persoonlijk zou ik graag Nederlanders die actief zijn in cybersecurity motiveren te experimenteren, want anders lopen we straks achter bij het afweren van geavanceerde cyberaanvallen.’