Het overgrote deel van organisaties verwacht een cyberaanval. Voor liefst 94 procent van de bedrijven is het niet de vraag of dit gebeurt, maar wanneer. Ruim de helft van de organisaties heeft cybersecurity een topprioriteit gemaakt, waaruit blijkt dat het bewustzijn van de gevaren van een cyberaanval groot is. De focus ligt nu echter vooral op preventie, terwijl detectie en een adequate afhandeling van een mogelijke aanval bij veel organisaties nog minder aandacht krijgt. Dit blijkt uit onderzoek van IT-specialist Conscia in samenwerking met onderzoeksbureau The Blue Hour.
Grootschalige dreigingen vanuit statelijke actoren
Ruim de helft van de deelnemende organisaties geeft aan dat cybersecurity topprioriteit is binnen de organisatie. Tweederde van de organisaties geeft aan daarvoor voldoende budget beschikbaar te hebben. Het gemiddelde cijfer dat organisaties zichzelf voor cybersecurity geven komt uit op een 6,1.
Het type dreiging waartegen organisaties zich wapenen, verandert. Twee jaar geleden werd een DDoS aanval nog gezien als grootste gevaar. Inmiddels geven de respondenten aan vooral te vrezen voor ransomware, phishing en keten-aanvallen. Door grootschalige crisissen, zoals de oorlog in Oekraïne, is er meer aandacht voor bescherming tegen schade vanuit statelijke actoren. Dit, terwijl het daarvoor draaide om activiteiten vanuit criminele groeperingen.
Nadruk op preventie, te weinig aandacht voor detectie
Organisaties leggen de nadruk van hun cybersecurity-strategie nog altijd op preventie. Hier wordt door 43 procent van de organisaties de meeste tijd en energie in gestoken. Detectie van aanvallen is doorgaans de volgende stap, maar blijft ver achter met 15 procent. Slechts 39 procent van de organisaties gelooft dat het eigen Security Operations Center (SOC)- of securityteam in staat is om adequaat te reageren op een cyberincident.
Maarten Werff, solution consultant cybersecurity bij Conscia is van mening dat de kracht van een goede cybersecurity-strategie ligt in een bredere benadering. Een goede strategie gaat daarbij over identificatie, preventie, detectie en respons.
