Nederlandse CISO's zien menselijke fouten als belangrijkste securityrisico
Bijna 70% van de CISO’s in Nederland identificeren menselijke fouten als belangrijkste cybersecurity risico. Ter bescherming hiertegen en voor het blokkeren van geavanceerde mensgerichte cyberdreigingen wenden veel Nederlandse CISO's zich tot kunstmatige intelligentie (AI).
Dit blijkt uit het jaarlijks Voice of the CISO-rapport van Proofpoint, speler op het gebied van cybersecurity en compliance. Het rapport onderzoekt de uitdagingen, verwachtingen en prioriteiten van Chief Information Security Officers (CISO’s) wereldwijd. Hieruit blijkt dat er een gelijke toename is van de angst voor cyberaanvallen aan de ene kant en het vertrouwen in de verdediging tegen deze dreigingen aan de andere kant. Dit duidt op een belangrijke verschuiving in het cybersecuritylandschap. Bijna twee derde (63%) van de ondervraagde CISO's in Nederland acht een cyberaanval op hun organisatie in de komende maanden waarschijnlijk, vergeleken met 58% in 2023, en 28% in 2022. Wereldwijd voelt 70% van de CISO's zich bedreigd door cybercriminelen.
Op de vraag of men denkt voldoende beschermd te zijn om een cyberaanval te kunnen weerstaan stelt 41% van de CISO’s in Nederland dat hun organisatie onvoldoende is voorbereid op een gerichte cyberaanval. Dit is een aanzienlijke daling tegenover 59% in 2023 en 53% in 2022. Er is dus meer vertrouwen in (vooral) technologie.
Menselijke fouten leiden tot zorgen
Menselijke fouten blijven het grote knelpunt in cybersecurity met bijna driekwart van de CISO's die dit als belangrijkste kwetsbaarheid benoemt. In een jaar waarin het aantal dreigingen van binnenuit en dataverlies dat wordt veroorzaakt door mensen stijgt, zien meer CISO's (75%) menselijke risico's – denk aan nalatige werknemers – als een cybersecurity prioriteit voor de komende twee jaar. Dit gaat gepaard met groeiend optimisme over de rol van op AI-gebaseerde oplossingen. Deze perken mensgerichte risico's in en getuigt van een verschuiving naar technologie-aangedreven verdediging.
Menselijke fouten vormen de grootste cyberkwetsbaarheid voor dreigingen en CISO’s in Nederland wenden zich tot AI-oplossingen voor ondersteuning. In 2024 is het aantal CISO’s in Nederland dat menselijke fouten ziet als de grootste cyberkwetsbaarheid binnen hun organisatie toegenomen. 70% in 2024 tegenover 56% in 2023. Daarentegen vindt 79% dat zij hun rol in het beschermen van de organisatie begrijpen. Dit vertrouwen is hoger dan in 2023 (46%) en in 2022 (54%). En 78% van de CISO’s in Nederland is bereid AI-tools in te zetten om zich zo te beschermen tegen menselijke fouten en geavanceerde mensgerichte cyberdreigingen.
Beter voorbereid
Meer CISO’s in Nederland vrezen cyberaanvallen, maar ze voelen zich tegelijkertijd beter voorbereid, wat duidt op een stijgend vertrouwen in securitymaatregelen. In 2024 voelt 63% van ondervraagde CISO's zich in de komende twaalf maanden bedreigd door een materiële cyberaanval. In 2023 bedroeg dit 58% en in 2022 was dit 28%. Uit het rapport blijkt verder dat slechts 41% vindt dat hun organisatie onvoldoende is voorbereid op een gerichte cyberaanval, vergeleken met 59% in 2023 en 53% in 2022.
Generatieve AI is topprioriteit onder CISO's in Nederland (47%). In 2024 denkt 47% van de ondervraagde CISO's dat generatieve AI een securityrisico vormt voor hun organisatie. De top drie systemen die volgens CISO's een risico vormen voor hun organisatie zijn ChatGPT/andere genAI-tools (46%), Microsoft 365 (41%) en Slack/Teams/Zoom/andere samenwerkingstools (40%).
Personeelsverloop blijft zorgenpunt
Personeelsverloop blijft een zorg in 2024, maar toch vertrouwen CISO’s in Nederland op hun verdediging. Dit jaar meldde 45% van securityleiders dat ze in de afgelopen twaalf maanden materieel verlies van gevoelige gegevens ervaarden. Hiervan was 67% het eens over dat het personeelsverloop bijdroeg aan de schade. Ondanks de verliezen beweert 66% van de CISO's genoeg controles uit te voeren voor de bescherming van gegevens.
De meerderheid van de CISO's in Nederland heeft DLP-technologie geïmplementeerd en investeert meer in securityopleiding. Van de ondervraagde CISO's beschikt in 2024 45% over Data Loss Prevention (DLP) technologie. Een jaar geleden was dit slechts 37%. Meer dan de helft (56%) van de ondervraagde CISO's investeert in het opleiden van medewerkers in datasecurity best practices, een stijging vergeleken met 2023 (toen was dit 45%).
Ransomware en Business Email Compromise (BEC) zijn de grootste zorgen onder CISO's in Nederland. De grootste cybersecuritybedreigingen in 2024 zijn ransomware-aanvallen (49%), e-mailfraude (42%) en Distributed Denial of Service (DDoS) aanvallen (34%). Deze topdreigingen verschillen van vorig jaar. In 2023 waren smishing/vishing, compromittering van cloudaccounts (Microsoft 365, G Suite of andere) en e-mailfraude de grootste dreigingen.
Terughoudend met losgeldbetalingen
CISO’s in Nederland hebben in 2024 een stevige houding ten opzichte van losgeldbetalingen en een groter vertrouwen in cyberverzekeringen. In 2024 denkt 55% van CISO's (in 2023 53%) dat bij een ransomeware-aanval in de komende twaalf maanden hun organisatie betaalt voor het herstellen van systemen en het voorkomen dat gegevens vrijkomen. 69% van de CISO's zegt dat zij vertrouwen op cyberverzekeringsclaims die het herstellen van eventueel geleden verliezen mogelijk maken. In 2023 was dit 52%.
De relatie tussen de raad van bestuur en CISO's in Nederland verbetert aanzienlijk. In 2024 voelt 80% van CISO's meer overeenstemming met de leden van de raad van bestuur over cybersecurityonderwerpen. Dit is een aanzienlijke stijging ten opzichte van 57% in 2023 en 55% in 2022.
Onder druk
CISO’s in Nederland voelen de druk. 43% van de CISO's geeft toe dat zij een burn-out hebben vergeleken met 50% in 2023. Daarnaast vindt 51% dat ze te maken hebben met buitensporige verwachtingen, een geleidelijke daling ten opzichte van 52% in 2023 en 49% in 2022. De duurzaamheid van de voortdurende verwachtingen van CISO's blijft op de proef gesteld worden: 48% maakt zich zorgen over persoonlijke aansprakelijkheid (55% in 2023) en 60% (52% in 2023) zou zich niet aansluiten bij een organisatie die geen Directors & Officers (D&O)-verzekering biedt. Daarnaast is 52% van de CISO's het ermee eens dat de huidige economische situatie hun vermogen om bedrijfskritische investeringen uit te voeren belemmert. Hierbij is 37% van de CISO's gevraagd om personeel in te krimpen, het invullen van backfills uit te stellen en om securitybudgetten te verlagen.
“Terwijl we door de complexiteit van het huidige cybersecuritylandschap navigeren, is het bemoedigend om te zien dat steeds meer CISO’s vertrouwen hebben in hun strategie en tooling”, zegt Siegfried Huijgen, Regional Sales Director Benelux bij Proofpoint. “De eindeloze uitdagingen van personeelsverloop, de druk op (financiële) middelen en de noodzaak van voortdurende betrokkenheid van het bestuur bevestigt dat waakzaamheid en aanpassing de sleutel zijn tot collectieve cyberweerbaarheid.”
'Meer veerkracht, paraatheid en vertrouwen'
"Terwijl het cybersecuritylandschap blijft evolueren en mensgerichte bedreigingen stijgen, onderstreept het Voice of The CISO rapport een verschuiving naar meer veerkracht, paraatheid en vertrouwen onder CISO's wereldwijd," aldus Patrick Joyce, Global Resident CISO bij Proofpoint. "De bevindingen van dit jaar benadrukken een collectieve verschuiving naar strategische verdediging, waaronder een betere opleiding, technologische adoptie, en een adaptieve benadering voor opkomende dreigingen zoals generatieve AI."
Het 2024 Voice of the CISO-rapport onderzoekt wereldwijd de antwoorden van 1.600 CISO's uit organisaties van meer dan 1.000 werknemers die actief zijn in verschillende industrieën en landen waaronder Nederland, de Verenigde Staten, Canada, het Verenigd Koninkrijk, Frankrijk, Duitsland, Italië, Spanje, Zweden, de Verenigde Arabische Emiraten, Zuid-Afrika, Australië, Japan, Singapore, Zuid-Korea en Brazilië. Het onderzoek werd uitgevoerd onder 100 CISO's in het eerste kwartaal van 2024.
Het rapport biedt inzicht in de huidige staat van cybersecurity op basis van inzichten van leidinggevenden over het beschermen van mensen en data. Daarnaast benadrukt het onderzoek het belang van een robuuste handhaving van cybersecuritymaatregelen en de rol die menselijke factoren spelen binnen cybervolwassenheid. Ook meet het onderzoek veranderingen in de overeenstemming tussen leiders op het gebied van security en hun raad van bestuur. Verder onderzoekt dit hoe de relatie tussen de twee de prioriteiten op gebied van security beïnvloedt. Het 2024 Voice of the CISO-rapport is hier beschikbaar.