De nieuwste editie van Kaspersky's jaarlijkse IT Security Economics-rapport onthult de toenemende ernst van cybersecurity-incidenten die bedrijven treffen via leveranciers met wie ze gegevens delen
Voor een Europees bedrijf was de gemiddelde financiële impact van een dergelijk incident 1,7 miljoen euro (2 miljoen dollar) in 2021. Daarmee is dit het vijfde duurste type incident voor Europese bedrijven. Op wereldwijd niveau was de gemiddelde financiële impact van zo’n aanval 1,2 miljoen euro (1,4 miljoen dollar) en staat daarmee wereldwijd wel op de eerste plaats van duurste type indicent. De algemene rangorde van verliezen als gevolg van verschillende soorten aanvallen is sinds 2020 daarnaast aanzienlijk veranderd.
Aanvallen waarbij wereldwijde bedrijven via hun aannemers worden getroffen, zijn een duidelijke trend geworden. Bedrijfsgegevens worden doorgaans verspreid over meerdere derde partijen, waaronder dienstverleners, partners, leveranciers en dochterondernemingen. Daarom moeten organisaties niet alleen rekening houden met de cybersecurityrisico's die hun IT-infrastructuur treffen, maar ook met de risico's die van buitenaf kunnen komen.
Volgens het onderzoek is bijna een derde (28 procent) van de grote Europese organisaties het slachtoffer geworden van aanvallen waarbij gegevens zijn gedeeld met leveranciers. Dit aantal is niet significant veranderd sinds het rapport van 2020 (toen 29 procent).
Aanvalstypen die hogere financiële impact hebben zijn DDoS aanvallen (1,7 miljoen euro / 2 miljoen dollar), ongepast gebruik van IT-middelen door werknemers (1,8 miljoen euro / 2 miljoen dollar), ransomware aanvallen (1,8 miljoen euro / 2,1 miljoen dollar) en cryptomining aanvallen (1,9 miljoen euro / 2,2 miljoen dollar).
De gemiddelde financiële impact voor een Europees bedrijf van een aanval is daarnaast toegenomen. Het liet een opmerkelijke stijging van 31 procent zien ten opzichte van de resultaten van vorig jaar – €947k ($1,1 miljoen) in 2021 versus €722k ($839k) in 2020 – terwijl het gemiddelde in 2017 €807k ($938k) bedroeg.
Opmerkelijk is dat op wereldwijd niveau een andere trend te zien is. Daar daalde de gemiddelde financiële impact van €938k ($1,09 miljoen) in 2020 naar €799k ($927k) in 2021, wat nog lager was dan het gemiddelde in 2017 (€855k / $992k). De mogelijke reden hierachter is dat eerdere investeringen in preventie- en risicobeperkende maatregelen goed uitpakten voor bedrijven. Een andere mogelijkheid is dat de gemiddelde kosten worden beïnvloed door het feit dat bedrijven dit jaar minder geneigd waren om datalekken te melden: 34 procent van de wereldwijde bedrijven slaagde erin om dat niet te doen, vergeleken met slechts 28 procent in 2020. Financieel kwetsbare bedrijven zijn wellicht terughoudend om tijd en geld te steken in een strafrechtelijk onderzoek of reputatieschade te riskeren als een inbreuk bekend wordt.
Evgeniya Naumova, Executive VP, Corporate Business bij Kaspersky: "De ernst van cyberaanvallen maakt duidelijk dat organisaties bij de beoordeling van de cybersecuritybehoeften van hun bedrijf rekening moeten houden met het risico van een inbreuk op gedeelde gegevens met leveranciers. De pandemie heeft het bedreigingslandschap veranderd en organisaties moeten klaar zijn om zich daaraan aan te passen. Bedrijven moeten hun leveranciers rangschikken op basis van het soort werk dat ze doen en de complexiteit van de toegang die ze krijgen (of ze nu omgaan met gevoelige gegevens en infrastructuur of niet), en in overstemming daarmee securityvereisten toepassen. Bedrijven moeten ervoor zorgen dat ze alleen gegevens delen met betrouwbare derde partijen en hun bestaande security-eisen uitbreiden tot leveranciers. In het geval van de overdracht van gevoelige gegevens of informatie betekent dit dat alle documentatie en certificeringen (zoals SOC 2) van leveranciers moeten worden gevraagd om te bevestigen dat zij op een dergelijk niveau kunnen werken. In zeer gevoelige gevallen raden we bovendien aan om een voorafgaande compliance-audit van een leverancier uit te voeren voordat een contract wordt ondertekend."
Om het risico op aanvallen en datalekken voor bedrijven tot een minimum te beperken, moet een effectieve endpointbescherming met bedreigingsdetectie en reactiemogelijkheden worden gebruikt. Daarnaast zullen managed protection services bedrijven helpen met hun aanvalsonderzoek en deskundige respons. Dit essentiële niveau van endpointbescherming is opgenomen in het Kaspersky Optimum Security framework. Voor organisaties met een volwassen IT-securityfunctie biedt het Kaspersky Expert Security-framework bovendien anti-APT, de nieuwste informatie over bedreigingen en speciale professionele training.
Om meer inzichten te krijgen over IT-securitykosten en -budgetten in bedrijven in 2021 bezoek de interactieve Kaspersky IT Security Calculator. Het volledige rapport "IT Security Economics 2021: Managing the trend of growing IT complexity" is hier te downloaden.